Hi anh em, Vụ này Nasadows98 mới phát hiện ra cách đây chưa đầy 5 phút, đang rất bận nhưng phải viết luôn. Bài viết này anh em cứ mang đi càng nhiều diễn đàn càng tốt để cảnh báo anh em. Gần 1 tháng trở lại đây có hiện tượng anh em kêu tự nhiên bị ăn cắp account, mặc dù chắc chắn là máy ko bị nhiễm virus hay keylog và cũng toàn là anh em khá thạo máy tính cả. Bản thân đầu tháng 2 vừa qua Nasadows98 cũng bị mất tích 2 account 1 cách bí ẩn. Sau 2 tuần thì mới biết 2 account đó đã bị redeem point và sử dụng bởi một số kẻ bên Mỹ. Có 1 nguồn tin khác cho hay "tụi nó hack đc acc, ko phải xài keylog, trojan, web giả.... đâu". Điều này làm tui rất lo ngại. Chẳng lẽ RS đã bị nó bẻ khóa? Vì mật khẩu của mình đặt (và chắc là đa số những anh em khác) đều thuộc dạng KHÔNG AI CÓ THỂ ĐOÁN ĐƯỢC - vậy thì chắc vấn đề ko phải bên mình. Hôm nay vô tình lâu lắm không bật URL Helper lên để xem máy mình kết nối với những địa chỉ nào (dò link), nghịch ngợm thế nào lại click lại vào cái nút "View all" (hiển thị cả link vô nghĩa). Thế quái nào mà lại nhìn thấy connection này trong list: Mã: http://zshareaudio.phpnet.us/?user=ACCOUNT CỦA MÌNH-PASS CỦA MÌNH CHẾT CHA! Vậy tức là acc & mật khẩu của mình đã bị gửi đến 1 địa chỉ thu thập tin mà mình ko biết. Google địa chỉ này thì thấy có bài phân tích & tố cáo ở đây: Mã: http://userscripts.org/topics/704?page=5 Như vậy thủ phạm là 1 GreaseMonkey Userscript mà anh em vẫn hay dùng: Rapidshare Collectors/Premium Zone Tweak của tên có nick là lifetalk Chức năng của script này ở FireFox như anh em đã biết, là để xóa nhanh list remote upload của Rapidshare. Có lẽ dân Uploader là người hay dùng nhất. NHƯNG ĐỒNG THỜI VỚI VIỆC XÓA LINK CHO MÌNH NHANH THÌ NÓ CŨNG LẠI ĂN CẮP ACCOUNT CỦA MÌNH!!! Lý do Antivirus không phát hiện ra được là vì chúng ta chưa có khả năng quét Javascript Virus. Disable script này trong FF, thì y như rằng ko còn hiện ra cái trang thu thập trong URL Helper nữa -> safe! Vậy khẳng định: chính thủ đoạn này mà tên lifetalk đã dùng để ăn cắp account của anh em. Được biết (nhờ bài viết trang web kia) rằng script này trước giờ đã bị xóa rất nhiều lần nhưng tên lifetalk vẫn cố tình đưa lên và tạo 2 nick ảo comment tốt để lừa đảo anh em. Hiện chưa thử (thử làm gì nữa!) nên ko biết phiên bản mới nhất của script này thằng đó có còn "dám" chèn code ăn cắp vào ko, nhưng TỪ BÂY GIỜ ANH EM CẠCH MẶT THẰNG NÀY & CẨN THẬN HƠN VỚI TẤT CẢ NHỮNG GREASEMONKEY SCRIPT ANH EM NHÉ!!!!!!!!!! Mong anh em nhanh chóng xóa script & đổi lại tất cả các password đã bị lộ, và BÁO CHO CÁC ANH EM KHÁC. Mong các coder trong giới khẳng định lại thông tin này, và nếu có ai có tiếng nói ở trang Userscript thì thông báo giùm với admin để trừng trị tên lifetalk như đã nói ở trên. Xin cám ơn. UPDATE: Thông báo với anh em là con này sử dụng JSQuery để giải mã Cookie trong máy & send cho nên CÓ THỂ NGUY HIỂM VỚI CẢ ACC MEGAUPLOAD NỮA NHÉ!!!
