iTunes bị tấn công trên toàn cầu

Tất cả bắt đầu với ứng dụng mang tên: Kingdom Conquest

Phóng to

Ảnh minh họa: Betanews

Đây là một tựa game của hãng Sega dành cho hệ máy iPhone, iPod Touch và iPad, đang được bán trên iTunes theo hình tức thanh toán trực tuyến và tải về. Mọi chuyện bắt đầu khi một độc giả gửi thư đến trang công nghệ Betanews, tường thuật chi tiết việc người này đã bị hack trên iTunes ra làm sao.

Cụ thể, độc giả này đã bất ngờ nhận được hóa đơn thanh toán từ PayPal, nói rằng anh vừa mua hàng trên iTunes, trong khi thực tế anh không hề làm vậy. Với mỗi ứng dụng in-app có giá 8,99 USD, số tiền người này phải trả lên đến 95,30 USD cho một game anh chưa từng trực tiếp tải hay có bất cứ hành động tương tác nào. Trong cơn “bấn loạn”, độc giả này cho biết anh lập tức thay đổi “mọi thứ có thể liên quan đến iTunes”. Đầu tiên anh thay ID Apple của mình sang một địa chỉ e-mail khác, rồi đến mật khẩu cho ID đó. Trong khi đang làm điều này, anh lại nhận thêm một… hóa đơn PayPal khác, cũng cho game “Kingdom Conquest” của Sega, giá 9.53 USD.

Phóng to

Một trong những đơn thanh toán mà “khổ chủ” trong bài nhận được trong lịch trình thanh toán từ dịch vụ Paypal - Ảnh minh họa: Betanews.com

Vụ việc xảy ra đúng vào lúc Sega hoan hỉ công bố lượt tải thứ 1 triệu của “Kingdom Conquest”. Sau khi nhận được tin, đại diện của Sega lập tức cho biết họ sẽ “tiến hành điều tra” và cáo buộc mọi nghi ngờ hãng này có liên quan đến biến cố kể trên. Cũng có nghĩa, Apple là đơn vị duy nhất cần có trách nhiệm khắc phục những lỗ hổng (nếu có) đang tồn tại trong dịch vụ trực tuyến của họ.

Nguy cơ "bùng phát" lan mạnh, Apple vẫn im lặng

Vụ việc còn lan ra bên ngoài lãnh thổ Hoa Kỳ, khi liên tiếp có những phản hồi tương tự từ phía người dùng tại Anh, Ai Len, Đức, và New Zealand. Rõ ràng, vụ việc đang có chiều hướng lan rộng ra toàn thế giới.

Theo những báo cáo được ghi nhận, những tựa game được xem là cốt lõi của vấn đề cũng trở nên đa dạng: ngoài Kingdom Conquest, nhiều giao dịch bất hợp lệ đã được thực hiện cho những tựa game World War (hãng Storm8) và Texas Poker (Kamagame). Có nghĩa, còn rất nhiều ứng dụng bày bán trên iTunes đã trở thành “nạn nhân bất đắc dĩ” của bọn tội phạm.

Những yếu tố trên cho thấy rõ, những vụ hack nhằm vào iTunes rất có thể đã được thực hiện bằng cách khai thác những lỗ hổng tiềm ẩn trong cơ chế mua (purchasing) các ứng dụng in-app. Kết luận sơ bộ từ các cuộc điều tra ban đầu cho thấy, những kẻ tấn công chủ yếu nhắm vào đối tượng người dùng còn số dư tài khoản trực tiếp với iTunes.

Phóng to

Game vẫn được người dùng iOS (iPhone / iPad / iPod Touch) ưa chuộng và tải về nhiều nhất từ iTunes App Store - Ảnh minh họa: internet

Phương thức những kẻ tấn công dùng để thực hiện vụ hack vẫn chưa được làm rõ. Drew Church, một nạn nhân khác của trò lừa đảo liên quan đến game Kingdom Conquest, cho hay số dư tài khoản của anh (trong iTunes) đã bị “tiêu sạch” cho những giao dịch ứng dụng in-app. Anh cho biết không ai có thể biết được ID Apple của anh, vốn đặt theo tên vợ. Church là một kỹ sư IT, nên khả năng anh sơ hở với việc quản lý thông tin cá nhân trực tuyến là không cao.

Trong trường hợp của một chuyên gia IT “kiêm” nạn nhân khác, Barry Scheelar, mọi thứ còn khó hiểu hơn. Sau khi được tặng một thẻ iTunes giá 100 USD, Scheelar liền nạp nó vào tài khoản (iTunes) đang sử dụng. Chỉ trong vòng chưa đầy 24 giờ đồng hồ, 40 USD trong tổng số 100 USD đã “không cánh mà bay”, chính xác thì số tiền đã được “xài hộ” bởi một “ai đó” ở nước ngoài.

Apple đã hoàn tiền cho toàn bộ các nạn nhân, nhưng điều mọi người muốn biết nhất: nguyên nhân vụ việc, vẫn chưa xuất hiện. Đây không phải lần đầu tiên iTunes gặp rắc rối với hệ thống Thẻ quà tặng (gift cards). Cách đây hai năm, tội phạm mạng đã dùng những thẻ quà tặng giả mạo để chiếm đoạt mật khẩu tài khoản của người bị lừa mua phải đống thẻ giả mạo này.