Nhận định, soi kèo Slavia Sofia vs Lokomotiv Sofia, 23h30 ngày 6/6

Bước 2: Nhập email, số điện thoại hoặc "username" để Facebook lấy cơ sở xác định tài khoản bị quên mật khẩu. Thông thường dùng email là tốt nhất nhưng nếu quên thì chúng ta dùng số điện thoại.

Bước 3: Kiểm tra nếu thấy đúng tài khoản Facebook của mình thì bấm This is my account.

Bước 4: Với việc tìm tài khoản bằng email, chúng ta sẽ có 2 lựa chọn, hoặc đăng nhập luôn tài khoản email đó để xac nhận, hoặc xác nhận bằng thư gửi về tài khoản email đó. Nếu lấy lại mật khẩu Facebook bằng điện thoại thì sẽ có mã xac nhận gửi tin nhắn SMS đến điện thoại.

Theo Gizmodo,Cloudflare là một trong những công ty an ninh mạng lớn nhất thế giới. Tin tốt là hãng đã hành động rất nhanh chóng khi nhà nghiên cứu bảo mật Tavis Ormandy của dự án Project Zero của Google phát hiện ra lỗ hổng gọi là Cloudbleed.

Tin xấu là các website được Cloudflare hỗ trợ đã bị rò rỉ dữ liệu nhiều tháng trời trước khi ông Ormandy phát hiện ra lỗ hổng. Cloudflare cho biết những ngày dữ liệu rò rỉ đầu tiên là từ hồi tháng Chín năm ngoái. Cho đến nay không rõ liệu các tin tặc mũ đen đã phát hiện và bí mật khai thác lỗ hổng này trước khi Cloudflare xử lý xong code lỗi chưa. Các khách hàng lớn của Cloudflare bao gồm Uber, OKCupid, 1Password (1Password đã khẳng định dữ liệu người dùng của họ an toàn) và FitBit. Điều đó có nghĩa có vô số dữ liệu nhạy cảm có khả năng đã bị thâm nhập.

Như bất kỳ lỗ hổng bảo mật lớn nào, sẽ cần phải mất một thời gian trước khi chúng ta có thể hiểu đầy đủ về mức độ thiệt hại do Cloudbleed gây ra. Hiện tại, để bảo đảm an toàn, bạn nên thay đổi mật khẩu của mình – tất cả mật khẩu – và áp dụng xác thực hai bước ở bất cứ nơi nào có thể. Bạn sẽ biết tại sao đây là cách bảo vệ tốt nhất khi đọc tiếp lỗ hổng bảo mật này tồi tệ như thế nào.

Cloudflare là gì?

Bạn có thể không biết đến Cloudflare nhưng công nghệ của hãng đang được sử dụng ở rất nhiều website phổ biến. Cloudflare mô tả bản thân là một "công ty bảo mật và hiệu suất web". Khởi điểm từ một ứng dụng theo dõi nguồn phát tán spam, hãng hiện nay cung cấp toàn bộ menu sản phẩm cho các website, bao gồm các dịch vụ dự trên hiệu quả như dịch vụ phân phối nội dung, dịch vụ cung cấp tên miền, dịch vụ an ninh mạng như bảo vệ website chống các cuộc tấn công từ chối dịch vụ DDoS.

Thực tế là Cloudflare là một công ty bảo mật và điều này làm cho việc phát hiện mã nguồn của hãng có lỗ hổng trở nên vô cùng trớ trêu. Xét cho cùng, có vô số doanh nghiệp đang trả tiền cho Cloudflare để giúp cho dữ liệu của họ an toàn. Trong khi đó, "dính" phải lỗ hổng Cloudbleed, Cloudflare lại làm ngược lại.

"Tôi đã thông báo cho Cloudflare những gì tôi phát hiện. Tôi tìm thấy nhiều tin nhắn riêng tư từ nhiều trang hẹn hò trực tuyến lớn, toàn bộ tin nhắn từ một dịch vụ chat nổi tiếng, dữ liệu quản lý mật khẩu online...",ông Tavis Ormandy cho biết."Chúng tôi đang nói đến tất cả những địa chỉ IP của khách hàng, tất cả phản hồi, cookie, mật khẩu, dữ liệu, mọi thứ". Ông cũng cho biết lỗ hổng Cloudbleed đã rò rĩ dữ liệu của 3.438 tên miền trong giai đoạn 5 ngày trong tháng Hai này.

Cloudbleed hoạt động như thế nào?

Với những người am hiểu công nghệ, Cloudbleed là đặc biệt thú vị bởi vì một ký tự duy nhất trong code của Cloudflare là nguyên nhân dẫn đến lỗ hổng này. Dường như đó là một lỗi coding đơn giản, nhưng dựa trên những gì đã được đưa tin trước đó, có lẽ Cloudbleed hoạt động hơi giống như lỗ hổng Heartbleed xét về cách nó rò rỉ thông tin trong suốt một số tiến trình nhất định. Quy mô tác động đến người dùng của Cloudbleed cũng giống như Heartbleed, vì nó ảnh hưởng đến một dịch vụ bảo mật thông thường được nhiều website sử dụng.

Theo một bài đăng trên blog của Cloudflare, vấn đề này xuất phát từ quyết định của hãng sử dụng một cú pháp HTML mới, gọi là cf-html. Một cú pháp HTML là một ứng dụng quét mã nguồn để lọc ra những thông tin liên quan như tag khởi đầu và tag kết thúc. Điều này giúp cho việc điều chỉnh mã nguồn đó dễ dàng hơn.

Cloudflare rơi vào rắc rối khi định dạng (formatting) mã nguồn cf-html và cú pháp cũ Ragel để chạy với phần mềm của mình. Mỗi lỗi trong code đã tạo ra thứ gì đó gọi là lỗ hổng tràn bộ đệm (lỗi liên quan đến đoạn "= =" trong code mà lẽ ra nó phải là "> =". Điều này có nghĩa là khi phần mềm đang viết dữ liệu cho một bộ đệm - một lượng không gian lưu trữ giới hạn cho dữ liệu tạm thời - nó sẽ điền đầy bộ nhớ đệm và sau đó tiếp tục viết code ở chỗ khác.

Nói một cách đơn giản hơn, phần mềm của Cloudflare cố lưu dữ liệu người dùng ở đúng chỗ nhưng chỗ đó lại đầy quá nên phần mềm của Cloudflare cuối cùng cất dữ liệu đó ở nơi khác , như trên một website hoàn toàn khác. Thêm nữa, dữ liệu đó bao gồm mọi thứ, từ mã API cho đến tin nhắn riêng tư. Những dữ liệu này cũng được các website khác và Google lưu lại, có nghĩa là bây giờ Cloudflare phải săn tất cả dữ liệu này trước khi các hacker phát hiện ra.

Bạn có bị ảnh hưởng?

Vẫn chưa rõ chính xác đối tượng người dùng nào bị ảnh hưởng bởi lỗ hổng Cloudbleed. Cloudlfare tuyên bố chỉ một lượng rất nhỏ yêu cầu dẫn đến dữ liệu bị rò rỉ nhưng do lỗ hổng đã có từ gần 6 tháng rồi nên ai dám chắc có bao nhiêu thông tin đã bị rò rỉ? Hơn nữa, thực tế là có quá nhiều dữ liệu như vậy đã được lưu (cache) ở khắp các website khác nhau nên một mặt vá lỗi để ngăn chặn rò rỉ, Cloudflare cần phải làm rất nhiều để đảm bảo tất cả những thông tin đã rò rỉ không bị lợi dụng. Và thậm chí tệ hơn là ngay cả những website không sử dụng dịch vụ của Cloudflare, nhưng có nhiều người dùng Cloudflare cũng có thể bị liên luỵ.

Chuyên gia bảo mật Ryan Lackey đã đưa ra một số lời khuyên hữu ích, bởi công ty CryptoSeal của ông được Cloudflare mua lại năm 2014.

"Cloudflare đứng sau nhiều dịch vụ web như Uber, Fitbit, OKCupid … nên thay vì cố xác định dịch vụ nào đang dùng Cloudflare, có lẽ bạn nên nhân cơ hội này thay đổi tất cả mật khẩu trên tất cả các website bạn đăng nhập. Người dùng cũng nên đăng nhập và đăng thoát trên các ứng dụng di động sau cập nhật này. Nếu có thể, bạn nên sử dụng xác thực bảo mật 2 lớp với những trang bạn cho là quan trọng".

Liệu bạn có cảm thấy lo lắng không khi sẽ có ai đó có thể thâm nhập vào tài khoản cá nhân của bạn để theo dõi nhất cử nhất động của bạn, từ việc luyện tập thể dục cho tới những thứ mà bạn yêu thích trong cuộc sống này?

Theo Cnet, dù vẫn chưa thấy dấu hiệu các hacker sử dụng các tài khoản và mật khẩu của người dùng hay đánh cắp thông tin riêng tư của mọi người gửi gắm thông qua các dịch vụ này, nhưng thông tin đã bị lộ qua kết quả tìm kiếm trên cả hai phiên bản web và bộ nhớ đệm (cache) của các dịch vụ tìm kiếm như Google và Bing.

"Lỗ hổng này rất nghiêm trọng vì rò rỉ các "bản ghi" có thể chứa thông tin riêng tư và một phần do nó được lưu vào bộ nhớ đệm (cache) của các công cụ tìm kiếm", John Graham-Cumming, Giám đốc kỹ thuật của công ty an ninh mạng Cloudflare, đã chia sẻ trên một bài blog về chi tiết các lỗ hổng được đăng vào hôm thứ Năm vừa rồi.

Nhà nghiên cứu bảo mật của Google là Tavis Ormandy đã xác định được các lỗ hổng và liên hệ với những phát hiện của Cloudflare vào cuối tuần trước. Trong bản báo cáo của anh về lỗ hổng này – vốn được công bố vào hôm thứ Năm vừa rồi, Ormandy cho biết, anh đã tìm thấy "các tin nhắn từ những trang web hẹn hò lớn, thậm chí là nội dung đầy đủ của các tin nhắn từ một dịch vụ chat nổi tiếng, các dữ liệu quản lý mật khẩu trực tuyến, các dữ liệu riêng tư từ các trang video "người lớn" và cả các thông tin đặt phòng khách sạn".

Cũng trong bản báo cáo về lỗ hổng, Ormandy đã bông đùa rằng có thể đặt tên lỗ hổng này "CloudBleed", một cái tên gợi nhớ tới lỗ hổng Trái tim rỉ máu (Heartbleed) đã từng gây bão trước đó, một lỗ hổng trong giao thức web phổ biến vốn liên quan tới các lưu lượng thông tin Internet nhạy cảm trong nhiều năm cho tới khi nó bị phát hiện vào năm 2014. Cái tên CloudBleed lập tức được nhắc tới trên các trang mạng xã hội kể từ khi bản báo cáo của Ormandy được đăng tải vào hôm thứ Năm vừa qua.

Một "Trái tim rỉ máu" mới?

Lỗ hổng này xuất phát từ một công cụ của chính CloudFlare đang được sử dụng rộng rãi để quản lý và bảo vệ các lưu lượng Internet cho các trang web khỏi bị lây nhiễm mã độc. Ngoài tên tài khoản và mật khẩu, các tin nhắn được gửi qua bất kỳ trang nào thuộc các nền tảng này và các thông tin khác gửi qua trình duyệt web tới các trang bị ảnh hưởng – cũng có thể đã bị rò rỉ.

Graham-Cumming cho biết, tổng cộng đã có tới 3.400 trang web sử dụng công cụ có chứa lỗ hổng của công ty anh và xác nhận trong đó có cả những trang web lớn như Uber, Fibit và OkCupid cũng là nạn nhân của họ. Anh từ chối nêu thêm tên cụ thể của các dịch vụ khác có thể bị rò rỉ dữ liệu từ lỗ hổng này.

Trong một e-mail chia sẻ về lỗ hổng này, Ormandy cho biết trong số 3.400 trang web bị rò rỉ dữ liệu, tất cả đều là các khách hàng của Cloudflare. Anh cũng nói rằng ông tìm được cả dữ liệu từ dịch vụ quản lý mật khẩu 1Password và đã giúp họ xóa bỏ dữ liệu nhạy cảm này từ cache của trình tìm kiếm Google. Hơn nữa, Jeffrey Goldberg– một chuyên gia bảo mật của 1Password cũng lập tức cho rằng, dù sao đi nữa thì dữ liệu người dùng của họ cũng đã được an toàn.

Thậm chí, do đã được mã hóa nên dù có bị rò rỉ qua lỗ hổng này đi chăng nữa thì bất cứ ai có được dữ liệu từ 1Password cũng không thể giải mã/phân tích nó được. "Chúng tôi đã thiết kế 1Password để không bị phụ thuộc vào giao thức bảo mật HTTPS", Goldberg viết.

Phía Uber cho biết, các mật khẩu của dịch vụ này không bị rò rỉ và "chỉ có một số ít các section tokens" bị ảnh hưởng và đã được thay đổi (vá lỗi) kể từ khi được phát hiện. Trong khi đó, đại diện Fitbit cũng cho biết họ đã đánh giá các tác động tiềm tàng về việc sử dụng hệ thống của họ do các lỗ hổng của Cloudflare, và đã thực hiện một số biện pháp nội bộ để ngăn chặn các thiệt hại trong tương lai. "Những người dùng trong diện bị ảnh hưởng có thể thay đổi mật khẩu của tài khoản, sau đó thoát ra và sau đó đăng nhập lại trên ứng dụng di động với mật khẩu mới", công ty này thông báo trên website của họ. Ngoài ra, Fibit cũng đưa ra một hướng dẫn cho người dùng về những gì mà họ có thể làm để bảo vệ mình trước lỗ hổng.

OkCupid cũng đã nhận thấy vấn đề và họ cho biết sẽ thực hiện bất kỳ biện pháp nào cần thiết để bảo vệ người dùng của mình. "Cuộc điều tra ban đầu của chúng tôi cho thấy, đã có có rất ít thông tin bị rò rỉ (nếu có)", Elie Seidman, CEO của OkCupid cho biết.

Một lỗ hổng nhỏ và kéo theo đó là một hệ lụy lớn

Lỗ hổng hiện nay đã được vá và các thông tin rò rỉ đã được các dịch vụ tìm kiếm thanh lọc, nhưng không có nghĩa là nó không còn bị phát tán trên Internet. Sau khi Ormandy nhận được thông báo từ Cloudflare, Google ngay lập tức đã thành lập một đội để khắc phục lỗ hổng ngay sau đó một vài giờ. Cuối cùng, lỗ hổng cũng chính thức được bít lại vào hôm nay (25/2).

Các thông tin bị rò rỉ dần dần bắt đầu từ những tương tác của người dùng với các website trong diện bị ảnh hưởng từ hồi tháng Chín năm ngoái. Vụ rò rỉ lên đến đỉnh điểm vào ngày 13-17/2 vừa rồi, Graham-Cumming chia sẻ trong một bài phỏng vấn. Các thông tin xuất hiện trên các trang web trông giống như các chuỗi ký tự vô nghĩa, khiến người dùng có thể không biết xử lý thế nào. Việc rò rỉ dữ liệu này mang tính "phù du" do nó sẽ biến mất ngay sau khi người dùng đóng trang web vài giây.

Tuy nhiên, điều đáng lo ngại là các dữ liệu rò rỉ này cũng được các công cụ tìm kiếm như Google và Bing lưu lại, dưới dạng các dữ liệu tự động thu thập hằng ngày để cung cấp kết quả cho người dùng ngay cả khi các trang web gặp sự cố.

Sau khi vá lỗ hổng, Cloudflare đã tập trung vào việc xóa dấu vết các thông tin bị rò rỉ trên Internet. Điều đó có nghĩa là họ phải làm việc với các dịch vụ tìm kiếm để xóa bỏ các bản ghi cache (bộ nhớ đệm/lưu trữ) của các trang web.

Nguy hiểm cỡ nào?

Graham-Cumming cho biết, người dùng thông thường không cần phải đổi mật khẩu, bởi khả năng những kẻ xấu lấy được thông tin đăng nhập của họ là rất thấp.

Tuy nhiên, trong bản báo cáo về lỗ hổng, chuyên gia bảo mật Ormandy của Google cho rằng Cloudflare đã "hạ thấp về tầm nghiêm trọng của lỗ hổng đối với khách hàng [của Cloudflare]". Ormandy đã đề cập tới một dự thảo tiết lộ việc ông biết [về lỗ hổng] trước khi Cloudflare công bố rộng rãi vào hôm thứ Năm vừa rồi.

Qua chia sẻ email, Ormandy khuyến cáo người dùng nên thay đổi mật khẩu cho tài khoản các website sử dụng dịch vụ Cloudflare. Các công ty sở hữu các website đang dùng dịch vụ này cũng nên kiểm tra và vá lỗi nội bộ nhằm bảo vệ người dùng cũng như dịch vụ của họ.

Theo Gizmodo,Cloudflare là một trong những công ty an ninh mạng lớn nhất thế giới. Tin tốt là hãng đã hành động rất nhanh chóng khi nhà nghiên cứu bảo mật Tavis Ormandy của dự án Project Zero của Google phát hiện ra lỗ hổng gọi là Cloudbleed.

Tin xấu là các website được Cloudflare hỗ trợ đã bị rò rỉ dữ liệu nhiều tháng trời trước khi ông Ormandy phát hiện ra lỗ hổng. Cloudflare cho biết những ngày dữ liệu rò rỉ đầu tiên là từ hồi tháng Chín năm ngoái. Cho đến nay không rõ liệu các tin tặc mũ đen đã phát hiện và bí mật khai thác lỗ hổng này trước khi Cloudflare xử lý xong code lỗi chưa. Các khách hàng lớn của Cloudflare bao gồm Uber, OKCupid, 1Password (1Password đã khẳng định dữ liệu người dùng của họ an toàn) và FitBit. Điều đó có nghĩa có vô số dữ liệu nhạy cảm có khả năng đã bị thâm nhập.

Như bất kỳ lỗ hổng bảo mật lớn nào, sẽ cần phải mất một thời gian trước khi chúng ta có thể hiểu đầy đủ về mức độ thiệt hại do Cloudbleed gây ra. Hiện tại, để bảo đảm an toàn, bạn nên thay đổi mật khẩu của mình – tất cả mật khẩu – và áp dụng xác thực hai bước ở bất cứ nơi nào có thể. Bạn sẽ biết tại sao đây là cách bảo vệ tốt nhất khi đọc tiếp lỗ hổng bảo mật này tồi tệ như thế nào.

Cloudflare là gì?

Bạn có thể không biết đến Cloudflare nhưng công nghệ của hãng đang được sử dụng ở rất nhiều website phổ biến. Cloudflare mô tả bản thân là một "công ty bảo mật và hiệu suất web". Khởi điểm từ một ứng dụng theo dõi nguồn phát tán spam, hãng hiện nay cung cấp toàn bộ menu sản phẩm cho các website, bao gồm các dịch vụ dự trên hiệu quả như dịch vụ phân phối nội dung, dịch vụ cung cấp tên miền, dịch vụ an ninh mạng như bảo vệ website chống các cuộc tấn công từ chối dịch vụ DDoS.

Thực tế là Cloudflare là một công ty bảo mật và điều này làm cho việc phát hiện mã nguồn của hãng có lỗ hổng trở nên vô cùng trớ trêu. Xét cho cùng, có vô số doanh nghiệp đang trả tiền cho Cloudflare để giúp cho dữ liệu của họ an toàn. Trong khi đó, "dính" phải lỗ hổng Cloudbleed, Cloudflare lại làm ngược lại.

"Tôi đã thông báo cho Cloudflare những gì tôi phát hiện. Tôi tìm thấy nhiều tin nhắn riêng tư từ nhiều trang hẹn hò trực tuyến lớn, toàn bộ tin nhắn từ một dịch vụ chat nổi tiếng, dữ liệu quản lý mật khẩu online...",ông Tavis Ormandy cho biết."Chúng tôi đang nói đến tất cả những địa chỉ IP của khách hàng, tất cả phản hồi, cookie, mật khẩu, dữ liệu, mọi thứ". Ông cũng cho biết lỗ hổng Cloudbleed đã rò rĩ dữ liệu của 3.438 tên miền trong giai đoạn 5 ngày trong tháng Hai này.

Cloudbleed hoạt động như thế nào?

Với những người am hiểu công nghệ, Cloudbleed là đặc biệt thú vị bởi vì một ký tự duy nhất trong code của Cloudflare là nguyên nhân dẫn đến lỗ hổng này. Dường như đó là một lỗi coding đơn giản, nhưng dựa trên những gì đã được đưa tin trước đó, có lẽ Cloudbleed hoạt động hơi giống như lỗ hổng Heartbleed xét về cách nó rò rỉ thông tin trong suốt một số tiến trình nhất định. Quy mô tác động đến người dùng của Cloudbleed cũng giống như Heartbleed, vì nó ảnh hưởng đến một dịch vụ bảo mật thông thường được nhiều website sử dụng.

Theo một bài đăng trên blog của Cloudflare, vấn đề này xuất phát từ quyết định của hãng sử dụng một cú pháp HTML mới, gọi là cf-html. Một cú pháp HTML là một ứng dụng quét mã nguồn để lọc ra những thông tin liên quan như tag khởi đầu và tag kết thúc. Điều này giúp cho việc điều chỉnh mã nguồn đó dễ dàng hơn.

Cloudflare rơi vào rắc rối khi định dạng (formatting) mã nguồn cf-html và cú pháp cũ Ragel để chạy với phần mềm của mình. Mỗi lỗi trong code đã tạo ra thứ gì đó gọi là lỗ hổng tràn bộ đệm (lỗi liên quan đến đoạn "= =" trong code mà lẽ ra nó phải là "> =". Điều này có nghĩa là khi phần mềm đang viết dữ liệu cho một bộ đệm - một lượng không gian lưu trữ giới hạn cho dữ liệu tạm thời - nó sẽ điền đầy bộ nhớ đệm và sau đó tiếp tục viết code ở chỗ khác.

Nói một cách đơn giản hơn, phần mềm của Cloudflare cố lưu dữ liệu người dùng ở đúng chỗ nhưng chỗ đó lại đầy quá nên phần mềm của Cloudflare cuối cùng cất dữ liệu đó ở nơi khác , như trên một website hoàn toàn khác. Thêm nữa, dữ liệu đó bao gồm mọi thứ, từ mã API cho đến tin nhắn riêng tư. Những dữ liệu này cũng được các website khác và Google lưu lại, có nghĩa là bây giờ Cloudflare phải săn tất cả dữ liệu này trước khi các hacker phát hiện ra.

Bạn có bị ảnh hưởng?

Vẫn chưa rõ chính xác đối tượng người dùng nào bị ảnh hưởng bởi lỗ hổng Cloudbleed. Cloudlfare tuyên bố chỉ một lượng rất nhỏ yêu cầu dẫn đến dữ liệu bị rò rỉ nhưng do lỗ hổng đã có từ gần 6 tháng rồi nên ai dám chắc có bao nhiêu thông tin đã bị rò rỉ? Hơn nữa, thực tế là có quá nhiều dữ liệu như vậy đã được lưu (cache) ở khắp các website khác nhau nên một mặt vá lỗi để ngăn chặn rò rỉ, Cloudflare cần phải làm rất nhiều để đảm bảo tất cả những thông tin đã rò rỉ không bị lợi dụng. Và thậm chí tệ hơn là ngay cả những website không sử dụng dịch vụ của Cloudflare, nhưng có nhiều người dùng Cloudflare cũng có thể bị liên luỵ.

Chuyên gia bảo mật Ryan Lackey đã đưa ra một số lời khuyên hữu ích, bởi công ty CryptoSeal của ông được Cloudflare mua lại năm 2014.

"Cloudflare đứng sau nhiều dịch vụ web như Uber, Fitbit, OKCupid … nên thay vì cố xác định dịch vụ nào đang dùng Cloudflare, có lẽ bạn nên nhân cơ hội này thay đổi tất cả mật khẩu trên tất cả các website bạn đăng nhập. Người dùng cũng nên đăng nhập và đăng thoát trên các ứng dụng di động sau cập nhật này. Nếu có thể, bạn nên sử dụng xác thực bảo mật 2 lớp với những trang bạn cho là quan trọng".