Facebook từng có cơ hội, nhưng đã chọn cách tệ nhất

Trong gần một tuần, thông tin cá nhân của hơn 500 triệu tài khoản Facebook bị lan truyền công khai trên Internet. Phải mất nhiều ngày sau, mạng xã hội lớn nhất thế giới mới thừa nhận sai lầm của mình, đồng thời thông báo đã khắc phục lỗ hổng bảo mật từ năm 2019.

Thế nhưng, theo các nhà nghiên cứu, nền tảng này đã biết về những lỗ hổng bảo mật từ nhiều năm trước và đáng lẽ cần nỗ lực hơn để ngăn chặn nó.

Lỗ hổng đến từ chính tính năng

Nhập liên hệ là một tính năng giúp người dùng tìm kiếm bạn bè thông qua địa chỉ liên lạc (email, số điện thoại). Không riêng gì Facebook, nhiều mạng xã hội và ứng dụng liên lạc cũng tích hợp tính năng này. Theo Wired, đây là cách các nền tảng nâng cao tính xã hội, lôi kéo thêm người dùng.

“Tôi tin chắc rằng các công ty khác đang lo lắng đến đổ mồ hôi”, Inti De Ceukelaire, nhà nghiên cứu bảo mật người Bỉ. Vào năm 2017, Ceukelaire đã báo cáo một lỗ hổng trong tính năng nhập liên hệ của Facebook.

Facebook đã có cơ hội khắc phục sớm lỗ hổng bảo mật. Ảnh: Ubergizmo.

Năm 2012, mạng xã hội này từng làm lộ số điện thoại và email người dùng thông qua công cụ “Tải xuống thông tin của bạn”. Sau đó, một nhà nghiên cứu đã phản ánh tình trạng này cho Facebook vào năm 2013. Vào năm 2018, Văn phòng Cao ủy Quyền riêng tư Canada và Văn phòng Cao ủy Bảo vệ Dữ liệu Ireland chính thức tham gia điều tra vụ việc.

"Trước khi vụ lộ dữ liệu xảy ra, chúng tôi nhận thấy Facebook không có các biện pháp bảo vệ thông tin cá nhân của người dùng và đối tượng không phải người dùng", cuộc điều tra tuyên bố.

Ceukelaire và các nhà nghiên cứu khác đã cảnh báo Facebook về những vấn đề tương tự.

Đối với lỗ hổng gần đây, hacker nắm trong tay số điện thoại của người dùng đến từ hơn 100 quốc gia. Chỉ cần nhập dữ liệu này lên công cụ truy xuất thông tin, hacker có thể dễ dàng thu thập được Facebook ID cũng như các dữ liệu khác mà người dùng đăng trên trang cá nhân.

“Tôi phát hiện ra rằng việc tiết lộ số điện thoại riêng tư trên Facebook tương đối đơn giản, ngay cả khi đó là số của giới nổi tiếng hay chính trị gia. Dù kỹ thuật này chỉ phát huy tác dụng tại một quốc gia nhỏ như Bỉ, nhiều người dùng vẫn có khả năng trở thành nạn nhân của một vụ rò rỉ thông tin riêng tư”, Ceukelaire viết đầu năm 2017.

Tuy phương pháp lấy thông tin người dùng của Ceukelaire vẫn còn thủ công và hạn chế, song nó vẫn đem lại hiệu quả. Anh đã gửi các phát hiện của mình cho chương trình săn lỗi lấy tiền thưởng của Facebook. Mặc dù vậy, chia sẻ với Wired, Ceukelaire cho biết công ty nay từ chối thưởng tiền do những vấn đề anh đưa ra chưa đáp ứng đủ điều kiện.

Ceukelaire đã nêu 2 điểm quan trọng. Thứ nhất, những kẻ tấn công có thể vạch ra nhiều kế hoạch tấn công vào tính năng nhập liên hệ. Thời điểm đó, Facebook cho biết công ty có thể sửa giới hạn nhập liên hệ của người dùng, dẫu vậy Facebook vẫn từ chối coi vấn đề này là lỗ hổng bảo mật.

Thứ 2, các thiết lập kiểm soát quyền riêng tư trên Facebook có thể khiến người gặp nhiều bối rối. Mạng xã hội này cho phép người dùng ẩn số điện thoại và địa chỉ email ở chế độ xem “Chỉ tôi”. Tuy nhiên, nếu người dùng thiết lập quyền “Ai có thể tra cứu tôi” thành chế độ “Mọi người”, hacker vẫn có thể đoán được số điện thoại của bạn, từ đó tra cứu thêm nhiều thông tin khác.

Vào thời điểm Ceukelaire nghiên cứu, Facebook thậm chí không cung cấp chế độ “Chỉ tôi” trong quyền “Ai có thể tra cứu tôi”. Mãi đến tháng 5/2019, tính năng này mới được bổ sung và cập nhật.

Cho đến nay, Facebook vẫn chưa thể giải thích cơ chế tạo kho dữ liệu người dùng khổng lồ của hacker.

Facebook xem nhẹ các cảnh báo bảo mật?

Tháng 8/2019, nhà nghiên cứu bảo mật có nickname @ZHacker13 báo cáo lỗi liên quan đến tính năng nhập liên hệ của Instagram. Thông qua một cuộc tấn công liệt kê số điện thoại tự động và hiệu quả, hacker dễ dàng kéo dữ liệu người dùng về tay.

Ban đầu, Facebook cho rằng lỗ hổng mà @ZHacker13 tìm ra có rủi ro cực kỳ thấp. Cuối cùng, vào cuối tháng 9/2019, Facebook tuyên bố nhóm bảo mật của họ “đã biết về vấn đề này qua một nghiên cứu nội bộ”. Năm 2019, Forbes quyết định công bố câu chuyện của @ZHacker13.

Dữ liệu của người dùng Facebook lan truyền công khai trên các diễn đàn hacker. Ảnh: Chụp màn hình.

“Lúc đầu, Facebook từ chối công nhận bản báo cáo, ngay cả khi tôi cung cấp cho họ đầy đủ bằng chứng. Sau khi tôi nói chuyện với Forbes, Facebook mới nhận ra sai lầm. Công ty đã khắc phục sự cố và trả cho tôi một khoản tiền thưởng nhỏ là 4.000 USD”, @ZHacker13 chia sẻ với Wired.

“Lỗ hổng này cho phép một số người dùng mô phỏng tính năng của Instagram và thu thập thông tin số điện thoại của người dùng khác”, Facebook thừa nhận cảnh báo của @ZHacker13.

“Chúng tôi đã thay đổi và ngăn chặn kẻ xấu sử dụng phần mềm mô phỏng ứng dụng của chúng tôi để tra cứu, thu thập số điện thoại người dùng”, Facebook đưa ra quan điểm tương tự trong thông báo xác nhận vụ lộ hơn 500 triệu dữ liệu người dùng.

Theo Wired, Facebook liên tục “xem nhẹ” vụ việc này. Công ty nhấn mạnh rằng việc ngăn chặn sự can thiệp của các hacker là trò chơi “mèo vờn chuột vô tận”. Facebook cũng lập luận rằng dữ liệu bị rò rỉ không nhạy cảm như thông tin sức khỏe hoặc tài chính. Bên cạnh đó, nền tảng phủ nhận khả năng hệ thống của công ty bị hack.

Tuy nhiên, bằng cách miễn cưỡng trao tiền thưởng cho các phát hiện lỗ hổng bảo mật trên Instagram, Facebook đã công khai thừa nhận tính năng của nền tảng có vấn đề.

Ngoài ra, vẫn còn một số điểm chưa rõ ràng trong các thông báo của Facebook. Công ty cho biết vụ lộ thông tin diễn ra trước tháng 9/2019 nhưng không thể nêu chi tiết thời điểm xảy ra, ảnh hưởng liên quan hay thời điểm nhận biết được vụ việc.

Qua quá trình phân tích tập dữ liệu, Wired cho rằng những thông tin này được thu thập ít nhất từ năm 2018 và không muộn quá tháng 6/2019.

Đặc biệt, việc Facebook đưa ra những phát ngôn cẩn trọng phản ánh nỗi lo bị cơ quan quản lý Mỹ điều tra, điển hình như Ủy ban Thương mại Liên bang Mỹ (FTC). Từ năm 2011, Facebook ký thỏa thuận với FTC, theo đó, thỏa thuận này yêu cầu công ty tiết lộ các phát hiện cho cơ quan quản lý Mỹ.

Minh Khánh

Theo Wired