Facebook dửng dưng trước lỗi bảo mật nghiêm trọng đe doạ 1.44 tỷ người dùng

Một chuyên gia bảo mật cho biết tội phạm mạng có thể quét thông tin dân số của cả một nước để tìm ra mục tiêu tấn công qua Facebook một cách dễ dàng. Và lỗ hổng này lại là lỗi hết sức căn bản mà bất kì người dùng Facebook nào cũng có thể phạm phải.

Giám đốc kỹ thuật tại Salt Agency, ông Reza Moaiandin, vừa công bố một phương pháp khai thác tính năng bảo mật trên Facebook nhằm thu thập dữ liệu cá nhân và xâm nhập vào tài khoản của người dùng bất cứ lúc nào. Cụ thể, đó là mục “Ai có thể tìm ra tôi?”, hoặc “Ai có thể nhìn thấy bạn bằng cách sử dụng số điện thoại bạn cung cấp?” trong phần thiết lập cá nhân tài khoản mạng xã hội này. Ở mục này, thông thường sẽ được cài mặc định là “Tất cả mọi người”, nghĩa là bất cứ ai có số điện thoại của người dùng là có thể tìm kiếm thông tin hồ sơ cá nhân của người đó chỉ bằng cách nhập số vào thanh tìm kiếm trên Facebook.

Được biết, cách đây không lâu, cũng chính lỗ hổng trong công cụ tìm kiếm trên Facebook đã dẫn đến một vụ hack dữ liệu của 1.5 triệu người dùng mạng xã hội này, bao gồm cả họ tên, số điện thoại, địa điểm, hình ảnh và nhiều hơn thế.

Ông Reza Moaiandin đã thực nghiệm cho thấy chỉ bằng thủ thuật đơn giản dựa vào API là có thể thu thập ID người dùng, kết nối với hàng ngàn số điện thoại vào tài khoản Facebook tương ứng. Chỉ cần ID người dùng là các API sẽ trả về các chi tiết thông tin bao gồm: Số điện thoại, họ tên, ảnh đại diện, loại thiết bị sử dụng, tài khoản Messeger tương ứng với tài khoản Facebook, và những dữ liệu khác tuỳ theo cách mà kẻ tấn công muốn khai thác. Với những dữ liệu mà tin tặc thu thập được, có rất nhiều cách để sử dụng và sinh lời như bán dữ liệu cho các nhà quảng cáo, spam tin nhắn rác, spam link chứa virus, thậm chí bán các thông tin cá nhân của người dùng cho những bên mua hàng có mục đích.

Đây có lẽ là một trong những lý do mà bạn nhận thấy ngày càng có nhiều tin nhắn rác, tin nhắn quảng cáo vào trong hộp tin nhắn của Facebook (Messenger). Thậm chí đã từng có trường hợp xảy ra thách thức của spammer như trong hình ảnh bên dưới:

Reza Moaiandin đã báo cáo về lỗi bảo mật nghiêm trọng này và đề nghị Facebool sớm cập nhật bản vá mã hoá các API của mình nhằm bảo vệ người dùng trước các mối đe doạ mạng. Ông đã báo cáo hai lần nhưng đều chỉ nhận được phản hồi là nhóm nghiên cứu bảo mật của Facebook nhận thấy đây là lỗ hổng không gây nguy hiểm hay mang tính chất nghiêm trọng ảnh hưởng đến người dùng. Cho đến thời điểm hiện tại, Facebook vẫn dửng dưng và chưa khắc phục lỗ hổng an ninh này, đưa hơn 1.44 tỳ người dùng đối mặt nguy cơ bị đánh cắp thông tin cá nhân có thể xảy ra bất cứ lúc nào.

Để có thể an toàn trước lỗ hổng bảo mật này trước khi Facebook có biện pháp xử lý, người dùng cần:

- Không chia sẻ số điện thoại công khai trong hồ sơ tài khoản Facebook.

- Thay đổi thiết lập mặc định thành “Chỉ dành cho bạn bè”.

- Luôn cẩn trọng với những thông tin mà mình đăng tải công khai trên mạng.

Xuân Dung

Vui lòng trích dẫn nguồn Kaspersky Proguide khi sao chép bài viết