Uber bị tấn công bởi một tin tặc chỉ mới 18 tuổi
Tối 15/9 (sáng 16/9 theo giờ Việt Nam), một tin tặc đã xâm nhập thành công vào cơ sở hạ tầng nội bộ của Uber, và công bố việc này bằng cách sử dụng chính tài khoản của Uber trên HackerOne - nền tảng kết nối các doanh nghiệp và những nhà nghiên cứu bảo mật.
Các ảnh chụp màn hình do tin tặc này đăng tải sau đó cho thấy người này đã chiếm được quyền quản trị hầu hết các cơ sở hạ tầng quan trọng nhất của Uber: Amazon Web Services (AWS), Google Cloud Platform (GCP), SentinelOne, Slack,…
Cuộc tấn công này diễn ra như thế nào? Trong một đoạn chat, tin tặc này tiết lộ đã sử dụng kỹ thuật Social Engineering để đánh cắp tài khoản của một nhân viên Uber, sau đó sử dụng tài khoản này để truy cập vào mạng riêng ảo (VPN) của Uber.
Tin tặc phát hiện trong mạng nội bộ của Uber có một thư mục chứa các Powershell scripts, và một trong số các scripts này chứa username và password để truy cập vào Thycotic - nền tảng quản lý các tài khoản quản trị. Nhờ đó, tin tặc đã xâm nhập được vào các dịch vụ mà Uber sử dụng.
Social Engineering là một kỹ thuật kinh điển để đánh cắp thông tin, và hầu hết các doanh nghiệp phòng chống kỹ thuật này bằng việc triển khai xác thực đa yếu tố (Multi-Factor Authentication - MFA). Sau khi đăng nhập bằng tên người dùng và mật khẩu, người dùng sẽ phải sử dụng một yếu tố đăng nhập thứ hai (như điện thoại cá nhân, mã có sẵn, hay thiết bị phần cứng) để xác nhận rằng chính bản thân họ đang thực hiện việc đăng nhập này. Điều này đảm bảo rằng kẻ tấn công sẽ không thể đăng nhập nếu chỉ có được tên người dùng và mật khẩu.
Câu hỏi được đặt ra là tin tặc đã làm thế nào để vượt qua bảo mật hai lớp và truy cập vào mạng nội bộ của Uber? Bill Demirkapi - chuyên gia bảo mật của Microsoft đặt ra giả thuyết rằng tin tặc đã cài đặt một server giả để đánh lừa nhân viên rằng họ đang đăng nhập vào Uber. Server giả này có khả năng gửi thông báo về điện thoại của nhân viên (yếu tố đăng nhập thứ hai) giống hệt như server thật, và server giả sẽ sử dụng token có được từ nhân viên để lấy quyền truy cập hợp lệ.
Uber tuyên bố họ chưa tìm thấy chứng cứ cho thấy tin tặc đã truy cập được vào các “dữ liệu nhạy cảm”.
Dù vậy, với việc tin tặc đã chiếm được quyền quản trị của Uber trên các nền tảng quan trọng như AWS hay GCP, rất khó để đảm bảo rằng các dữ liệu nhạy cảm của Uber vẫn chưa bị khai thác.
Sự cố này cho thấy tất cả các doanh nghiệp, kể cả các doanh nghiệp tỷ đô, đều có thể trở thành nạn nhân của các cuộc tấn công mạng.
MidJourney - thách thức mới của giới hội hoạ
Trí tuệ nhân tạo đang đến gần hơn với công chúng - ít nhất là qua những lần chúng tạo nên những trào lưu trên mạng xã hội.
Đầu tháng này, MidJourney có lẽ đã khiến nhiều hoạ sĩ trải qua một cú sốc tâm lý nhẹ - khi công cụ này giúp những người chưa cầm cọ vẽ lần nào trong đời tạo nên những bức tranh đẹp chẳng kém gì hoạ sĩ. Quy trình rất đơn giản: truy cập vào MidJourney, nhập những từ khoá miêu tả bức tranh mà họ mong muốn. Và boom, MidJourney không chỉ cho họ một bức tranh, mà còn cho họ cảm giác kinh ngạc về những gì trí tuệ nhân tạo có thể làm được.
Khá lâu trước khi trở thành một xu hướng bùng nổ, MidJourney từng giúp các biên tập viên hình ảnh của The Economist có giây phút nghỉ ngơi hiếm hoi, khi thay họ thiết kế trang bìa ấn bản tuần của tạp chí này.
Megan Paetzhold - biên tập viên hình ảnh của New York Magazine, tổ chức một cuộc đối đầu để xem liệu các nền tảng trí tuệ nhân tạo hình ảnh như MidJourney hay DALL-E có thể khiến bà phải “về vườn” hay không?
AI cũng như con người - mỗi hoạ sĩ sẽ có một phong cách sáng tác rất đặc trưng. Cùng dựa trên một chỉ dẫn giống nhau, hai nền tảng MidJourney và DALL-E đã tạo ra những bức tranh rất khác biệt.
Các trường Đại học công bố điểm chuẩn
Các ngành thuộc khối khoa học xã hội và nhân văn trở thành tâm điểm của kỳ tuyển sinh năm nay, khi chiếm tỉ lệ vượt trội trong danh sách các ngành học có mức điểm trúng tuyển cao nhất.
Nhiều ý kiến nhận định mùa tuyển sinh đại học năm nay rối, phức tạp khiến không chỉ thí sinh, phụ huynh lo lắng mà các trường cũng bị động.
Nhưng thực tế để được tham gia xét tuyển, thí sinh phải trải qua nhiều thủ tục phức tạp như: trước hết thí sinh làm hồ sơ đăng ký dự thi tốt nghiệp THPT theo hình thức trực tuyến (tháng 4 đến giữa tháng 5-2022); tiếp theo, thí sinh phải đăng ký xét tuyển tại các trường (các phương thức xét học bạ, đánh giá năng lực...); sau đó tất cả thí sinh đã đăng ký xét tuyển tại trường bằng bất kỳ phương thức nào (đã đủ điều kiện trúng tuyển cũng phải đăng ký nguyện vọng xét tuyển lại trên hệ thống chung của bộ).
Quy định trên khiến hàng ngàn thí sinh tự do (đã tốt nghiệp THPT những năm trước) không có tài khoản để đăng nhập lên hệ thống để đăng ký nguyện vọng... Bộ GD-ĐT lại phải thay đổi quy định để tiếp tục mở hệ thống cho thí sinh tự do đăng ký. Rất nhiều thí sinh đã trúng tuyển sớm vẫn không nắm được thông tin này.
Đã vậy, phần mềm thanh toán lệ phí xét tuyển bị sự cố về kết nối, bộ tiếp tục chỉnh sửa quy trình xét tuyển đến giờ vẫn chưa xong, còn vài bước nữa, trong khi bộ lại liên tục thay đổi lịch và quy định đóng lệ phí xét tuyển trực tuyến khiến thí sinh không kịp nắm bắt thông tin.
Ngày 18/9, nhiều thí sinh đăng nhập hệ thống của Bộ Giáo dục và Đào tạo để xác nhận nhập học theo quy định thì phát hiện "đỗ" hàng loạt nguyện vọng, nên không biết phải làm sao.
Apple ra mắt iPhone 14 series
Một trong những tính năng nổi bật nhất trên dòng iPhone 14 Pro mới chính là Dynamic Island, đóng vai trò như một màn hình phụ để hiển thị các thông báo cũng như cảnh báo hệ thống, đồng thời che đi phần đục lỗ trên màn hình.
Liệu Dynamic Island sẽ tạo nên một cuộc cách mạng trong thiết kế giao diện, hay sẽ trở thành một cơn ác mộng với những nhà phát triển ứng dụng trên nền tảng iOS?
Podcast of the Week
