Ứng dụng có tên static html:iframe tabs do bên thứ ba phát triển (cho phép các quản trị FanPage tạo ra trang HTML tĩnh để chèn vào trang của mình) đang tồn tại lỗ hổng nguy hiểm trong việc kiểm soát dữ liệu đầu vào.
Theo nhóm bảo mật SecurityDaily, lợi dụng lỗ hổng này, tin tặc có thể tạo các trang HTML chứa mã độc. Cụ thể, khi người dùng truy cập vào đường dẫn tới ứng dụng, trình duyệt sẽ tự động chuyến hướng đến các trang web lừa đảo hay các trang có giao diện đăng nhập giống hệt của Facebook.
Tuy nhiên, khi bấm vào, hệ thống sẽ chuyển hướng đến site yêu cầu người dùng đăng nhập lại và nhiều người không để ý là đường link không phải là facebook.com. |
Địa chỉ của trang web không phải là dạng https://facebook.com |
Chẳng hạn, khi bấm vào đường link một chia sẻ nào đó trên facebook, trình duyệt sẽ chyển hướng đến một site đăng nhập giả mạo giống hệt trang đăng nhập mặc định của Facebook.
Nếu thực hiện theo, các thông tin cá nhân gồm tên đăng nhập, mật khẩu sẽ bị gửi về cho tin tặc và tài khoản của người dùng sẽ bị mất.
Hiện SecurityDaily đã cảnh báo lỗ hổng này đến của Facebook. Nhóm bảo mật này cũng khuyến cáo người dùng nên xem xét kỹ trước khi bấm vào các đường dẫn mời chào được chia sẻ hay được gửi qua Facebook. Nếu bị yêu cầu đăng nhập lại, người dùng cần kiểm tra xem đường dẫn đăng nhập có phải là https://facebook.com và biểu tượng https có màu xanh (an toàn) hay không.