Một lỗi bảo mật vừa được phát hiện trên website Amazon.com. Theo đó, với các tài khoản cũ, bạn có thể đăng nhập bằng một mật khẩu... gần đúng với mật khẩu thực tế.

Một thành viên trang Reddit đã phát hiện điều này và hiện nay vẫn chưa có phản hồi từ Amazon.

Mật khẩu của các tài khoản cũ trên Amazon chỉ nhận 8 kí tự đầu tiên, và không phân biệt chữ hoa, thường. Chẳng hạn, nếu mật khẩu của bạn là "Mat_khau", thì ai đó gõ MAT_KHAU, Mat_Khau hay MAT_KHAU123 đều có thể vào được tài khoản của bạn.

Theo như một số phân tích, Amazon trước đây chuyển mật khẩu sang chữ hoa, sau đó mã hoá nó bằng hàm crypt() cũ trên UNIX. Hàm crypt cũ này lại cắt bỏ mọi kí tự sau vị trí thứ 8, do đó xảy ra lỗi trên.

Có vẻ như Amazon biết điều này từ vài năm gần đây, và chuyển sang sử dụng hình thức mã hoá mới. Tuy nhiên, để mang lại tiện lợi cho khách hàng, các mật khẩu cũ vẫn được giữ nguyên.

Để khắc phục lỗi này, bạn chỉ việc vào đổi mật khẩu của Amazon nếu bạn chưa làm việc này trong vài năm trở lại đây. Mật khẩu sẽ được mã hoá theo thuật toán mới.




Bình luận

  • TTCN (0)