✨Nhồi nhét thông tin đăng nhập

Nhồi nhét thông tin đăng nhập hay nhồi nhét thông tin xác thực () là một dạng tấn công mạng, trong đó kẻ tấn công thu thập thông tin đăng nhập bị đánh cắp – thường là danh sách tên người dùng hoặc địa chỉ email kèm theo mật khẩu (chủ yếu được lấy từ các vụ rò rỉ dữ liệu) – sau đó sử dụng chúng để truy cập trái phép vào tài khoản người dùng trên các hệ thống khác. Quá trình này được thực hiện thông qua các yêu cầu đăng nhập tự động trên quy mô lớn nhằm vào một ứng dụng web. Không giống như bẻ khóa thông tin xác thực, các cuộc tấn công nhồi nhét thông tin xác thực không cố gắng sử dụng kỹ thuật brute force hoặc đoán mật khẩu. Thay vào đó, kẻ tấn công chỉ đơn giản tự động hóa quá trình đăng nhập với số lượng lớn (hàng nghìn đến hàng triệu) cặp thông tin xác thực đã bị lộ trước đó, bằng cách sử dụng các công cụ tự động hóa web tiêu chuẩn như Selenium, cURL, PhantomJS hoặc các công cụ chuyên biệt cho loại tấn công này như Sentry MBA, SNIPR, STORM, Blackbullet và Openbullet.

Các cuộc tấn công nhồi nhét thông tin xác thực có thể xảy ra do nhiều người dùng tái sử dụng cùng một cặp tên đăng nhập/mật khẩu trên nhiều website khác nhau. Một khảo sát cho thấy có 81% người dùng đã sử dụng lại mật khẩu trên ít nhất hai website, và 25% người dùng sử dụng cùng một mật khẩu cho phần lớn tài khoản của họ. Năm 2017, Ủy ban Thương mại Liên bang Hoa Kỳ (FTC) đã đưa ra một khuyến nghị, đề xuất các biện pháp mà các công ty cần thực hiện để chống lại nhồi thông tin xác thực, chẳng hạn như yêu cầu có mật khẩu đủ an toàn và bảo vệ hệ thống trước các cuộc tấn công. Theo Shuman Ghosemajumder, cựu giám đốc mảng chống gian lận nhấp chuột của Google, các cuộc tấn công nhồi thông tin xác thực thường có tỷ lệ thành công lên đến 2%, nghĩa là với một triệu thông tin đăng nhập bị đánh cắp, kẻ tấn công có thể chiếm đoạt hơn 20.000 tài khoản. Tạp chí Wired cho rằng cách tốt nhất để bảo vệ khỏi kiểu tấn công này là sử dụng mật khẩu độc lập cho mỗi tài khoản (chẳng hạn như mật khẩu được tạo tự động bởi trình quản lý mật khẩu), kích hoạt xác thực hai yếu tố và yêu cầu các công ty phát hiện cũng như ngăn chặn các cuộc tấn công kiểu vậy.

Rò rỉ thông tin đăng nhập

Rò rỉ thông tin đăng nhập, còn được gọi là rò rỉ thông tin xác thực hoặc rò rỉ dữ liệu, xảy ra khi các cá nhân hoặc nhóm không được phép truy cập trái phép vào thông tin đăng nhập nhạy cảm do tổ chức lưu trữ. Các thông tin này thường bao gồm tên người dùng, địa chỉ email và mật khẩu. Hậu quả của rò rỉ thông tin xác thực có thể nghiêm trọng, khiến người dùng đối mặt với nhiều rủi ro như đánh cắp danh tính, gian lận tài chính và xâm nhập trái phép vào tài khoản.

Các cuộc tấn công nhồi thông tin xác thực được coi là một trong những mối đe dọa hàng đầu đối với các ứng dụng web và di động do số lượng lớn các vụ rò rỉ dữ liệu. Chỉ trong năm 2016, hơn ba tỷ thông tin đăng nhập đã bị rò rỉ từ các vụ rò rỉ dữ liệu trực tuyến.

Nguồn gốc thuật ngữ

Thuật ngữ này được đặt ra bởi Sumit Agarwal, đồng sáng lập Shape Security, khi ông đang giữ chức Phó Trợ lý Bộ trưởng Quốc phòng tại Lầu Năm Góc.

Sự cố

Vào ngày 20 tháng 8 năm 2018, nhà bán lẻ mỹ phẩm và chăm sóc sức khỏe Superdrug (Anh) đã trở thành mục tiêu của một vụ tống tiền, trong đó tin tặc đưa ra bằng chứng cho thấy chúng đã xâm nhập vào website của công ty và tải xuống dữ liệu của 20.000 người dùng. Tuy nhiên, bằng chứng này nhiều khả năng được thu thập từ các vụ tấn công và rò rỉ dữ liệu trước đó, sau đó được sử dụng làm nguồn cho các cuộc tấn công nhồi nhét thông tin đăng nhập nhằm lấy thêm thông tin để tạo ra bằng chứng giả mạo.

Vào tháng 10 và tháng 11 năm 2016, tin tặc đã truy cập vào kho mã nguồn riêng tư trên GitHub được các nhà phát triển của Uber (Uber BV và Uber UK) sử dụng, bằng cách khai thác tên người dùng và mật khẩu của nhân viên đã bị lộ từ các vụ rò rỉ trước đó. Họ tuyên bố đã chiếm đoạt tài khoản của 12 nhân viên bằng phương pháp nhồi nhét thông tin xác thực, do các địa chỉ email và mật khẩu của họ được tái sử dụng trên nhiều nền tảng khác. Mặc dù có sẵn xác thực đa yếu tố, nhưng tính năng này đã không được kích hoạt cho các tài khoản bị ảnh hưởng. Tin tặc sau đó tìm thấy thông tin đăng nhập vào kho dữ liệu AWS của công ty trong các tệp của kho GitHub và sử dụng chúng để truy cập vào hồ sơ của 32 triệu người dùng ngoài Mỹ, 3,7 triệu tài xế ngoài Mỹ, cùng với nhiều dữ liệu khác trong hơn 100 bucket S3. Nhóm tấn công đã liên hệ với Uber, yêu cầu khoản tiền chuộc 100.000 USD để xóa dữ liệu. Công ty đã thanh toán số tiền này thông qua chương trình tiền thưởng lỗi (bug bounty) nhưng không thông báo cho các bên bị ảnh hưởng trong hơn một năm. Sau khi vụ việc bị phanh phui, Uber đã bị Văn phòng Ủy viên Thông tin Vương quốc Anh (ICO) phạt 385.000 bảng Anh (sau đó giảm xuống còn 308.000 bảng).

Năm 2019, công ty nghiên cứu an ninh mạng Knight Lion Security tuyên bố trong một báo cáo rằng nhồi thông tin xác thực là phương thức tấn công ưa thích của nhóm tin tặc GnosticPlayers.

Kiểm tra thông tin xác thực bị xâm nhập

Kiểm tra thông tin xác thực bị xâm nhập là một kỹ thuật cho phép các website, trình duyệt web hoặc các trình quản lý mật khẩu thông báo cho người dùng khi mật khẩu của họ bị rò rỉ.

Vào tháng 2 năm 2018, nhà khoa học máy tính người Anh Junade Ali đã tạo ra một giao thức truyền thông sử dụng k-anonymity và hàm băm mật mã để kiểm tra một cách ẩn danh xem một mật khẩu có bị rò rỉ hay không mà không tiết lộ hoàn toàn mật khẩu được tìm kiếm. Giao thức này đã được triển khai dưới dạng API công khai và hiện được nhiều website, dịch vụ, bao gồm các trình quản lý mật khẩu và tiện ích mở rộng trình duyệt sử dụng. Phương pháp này sau đó đã được Google áp dụng trong tính năng Trình kiểm tra Mật khẩu (Password Checkup). Ali cũng đã hợp tác với các nhà nghiên cứu tại Đại học Cornell để phát triển các phiên bản mới của giao thức này, được gọi là Frequency Smoothing Bucketization (FSB) và Identifier-Based Bucketization (IDB). Vào tháng 3 năm 2020, kỹ thuật lớp đệm mật mã (cryptographic padding) đã được bổ sung vào giao thức này.