Sau BKAV bị lộ mã nguồn, đến Zalo bị đe dọa tấn công chỉ bằng 1 “click”
Hacker cũng nhắn những chuyên gia bảo mật khác hãy thử khám phá, biết đâu sẽ phát hiện ra lỗ hổng này.
Diễn đàn Raid*** đang liên tục xuất hiện những bài đăng về việc mua bán dữ liệu, công cụ khai thác lỗ hổng của các “ông lớn” công nghệ tại Việt Nam.
Sau bài đăng rao bán mã nguồn của phần mềm diệt virus BKAV với giá lên tới hàng trăm ngàn USD bằng tiền ảo XMR từ tài khoản chunx***, thì lại vừa xuất hiện tài khoản ilove*** rao bán công cụ khai thác lỗ hổng được coi là “chết người” đối với ứng dụng Zalo.
Theo mô tả của tài khoản ilove***, người này đã phát hiện ra một lỗ hổng 0-day (lỗ hổng chưa từng được công bố) giúp bất kỳ ai cũng có thể chiếm đoạt tài khoản Zalo của người khác chỉ bằng một đường link. Ngay khi nạn nhân click vào đường link này, họ lập tức bị chiếm quyền kiểm soát tài khoản Zalo dù không thực hiện thêm bất kỳ thao tác nào khác.
ilove*** cho biết sẽ gửi một đoạn video thực tế cách chiếm đoạt tài khoản Zalo của nạn nhân cho khách hàng xem, trước khi quyết định có mua công cụ khai thác này hay không. Hacker giao dịch bằng tiền ảo và tuyên bố chỉ trao đổi với người thiện chí.
Bên dưới bài đăng, ilove*** cho biết thêm, người này sẽ không cung cấp thêm bất kỳ thông tin gì khác vì có thể đội ngũ phát triển ứng dụng Zalo là VNG sẽ nhận ra và sửa lỗi. “Tôi biết các kỹ sư bảo mật của VNG rất giỏi. Họ vừa quét tìm lỗ hổng chưa ra, nhưng tôi không nghĩ họ mãi thất bại trong quá trình tìm cách sửa lỗi này”, ilove*** nhắn gửi các khách hàng của mình.
Hacker cũng nhắn những chuyên gia bảo mật khác hãy thử khám phá, biết đâu sẽ phát hiện ra lỗ hổng này.
Trả lời các bình luận, ilove*** chia sẻ: “Tôi yêu VNG và cũng yêu tiền. Tôi nghĩ việc bán lỗ hổng 0-day này vào thời điểm hiện tại là hợp lý. Vì một số người bạn Việt Nam nói với tôi rằng, ở Việt Nam, nhiều cơ quan, tổ chức chính phủ đang sử dụng Zalo như một phương tiện thông báo chính thức trong đợt dịch COVID-19”.
Bên cạnh các bình luận cho rằng công cụ này không đáng để mua, là cũ hoặc không giá trị thì cũng có một số bình luận thắc mắc về danh tính của ilove***. Về phía Zalo, bộ phận truyền thông của siêu ứng dụng này chưa có phát ngôn chính thức nào.
Ngọc Phạm