Rạng sáng thứ 6 ngày 28/9, hàng loạt tài khoản Facebook bắt buộc đăng xuất đột ngột. Lỗi liên quan đến tính năng "view as", giúp người dùng có thể tự xem lại trang cá nhân của mình hiển thị như thế nào trong mắt bạn bè, đã bị khai thác.
Từ đó, hacker có thể chiếm đoạt được tài khoản người dùng bằng cách sử dụng chuỗi mã token. Đây là chuỗi mã dùng để đăng nhập Facebook mỗi khi người dùng nhập tài khoản và mật khẩu mà không cần bảo mật hai lớp hay cảnh báo đăng nhập. Có được chuỗi mã này, hacker có thể "thay mặt" người dùng Facebook thực hiện nhiều hành tung khác mà chủ nhân tài khoản đó không hề hay biết.
Trước đây, mã token thường bị hacker đánh cắp bằng cách dụ dỗ người dùng cấp quyền cho các ứng dụng bên thứ ba. Tuy nhiên trong lần tấn công này, tin tặc lấy nó trực tiếp từ Facebook. Ước tính có khoảng 90 triệu tài khoản bị ảnh hưởng.
Người dùng giận dữ
Trên khắp các diễn đàn mạng, vụ việc được đem ra bàn tán xôn xao vì đây không phải là lần đầu tiên trong năm Facebook vướng phải scandal liên quan đến bảo mật tài khoản người dùng.
"Thế này thì ai dám tin tưởng Facebook nữa, sử dụng cái khác thôi", một người dùng chia sẻ trên Twitter.
"Khi một mạng xã hội có vấn đề, người ta chuyển sang một mạng xã hội khác để tha hồ chỉ trích cái cũ. Đó là thói quen sử dụng Internet của người dùng bây giờ", Will Oremus, cây bút của tờ Slate viết.
Nhiều bình luận bức xúc, công kích dưới status của Mark Zuckerberg đến từ khắp nơi trên thế giới, trong đó có người dùng Việt Nam. |
Bên dưới "tâm thư" của Mark Zuckerberg về sự cố, nhiều ý kiến cho rằng ông chủ Facebook nên có lời xin lỗi thích đáng cho sự việc và tìm ra động cơ thực sự của hacker càng sớm càng tốt.
Tiêu cực hơn, nhiều bình luận khác công kích CEO Facebook bằng lời lẽ tục tĩu, tự nhận là hacker đến từ Việt Nam... cũng xuất hiện bên dưới dòng status của Zuckerberg.
Không chỉ trên mạng xã hội, Facebook đang đối mặt với những vụ kiện ngoài đời thật liên quan đến sự cố. Hai người dùng có tên Carla Echavarrai và Derrick Walker, tự mô tả mình là những người dùng mạng xã hội thông thường, đã gửi đơn kiện tới Tòa án quận Bắc California.
Trong đơn kiện, nguyên đơn cho rằng Facebook đã vi phạm luật cạnh tranh của bang California, thiếu sát sao và áp dụng những biện pháp bảo mật “rất sơ sài”.
Theo Gizmodo, những người gửi đơn kiện này cũng muốn đại diện cho “tất cả người dùng đăng ký tài khoản Facebook tại Mỹ, và những người mà thông tin cá nhân đã bị truy cập, ảnh hưởng hoặc đánh cắp trong vụ mất dữ liệu vào tháng 9/2018”.
Facebook tham tính năng, mắc lỗi ngớ ngẩn
Nhận định về sự cố gây ảnh hưởng đến 90 triệu tài khoản, CEO của công ty bảo mật Steelhouse cho rằng Facebook đã quá bất cẩn khi để ngỏ tính năng "view as".
Trả lời Zing.vn, Mark Doughlas cho rằng số tài khoản bị ảnh hưởng mà Mark Zuckerberg thông báo chỉ chiếm phần nhỏ. Con số thực tế có thể lớn hơn.
"Vụ việc được xem là một lỗ hổng mạng trầm trọng. Hacker xâm nhập một cách đường đường chính chính, không hề dùng bất cứ cửa hậu nào. Mọi cơ sở dữ liệu trên trang web bị phơi bày hoàn toàn", Mark Doughlas nói.
Bên cạnh đó, chuyên gia này còn dự đoán rằng động cơ của hacker không bị chi phối bởi mục tiêu chính trị. Việc Facebook làm ảnh hưởng 90 triệu tài khoản chỉ là sớm hay muộn.
Tính năng "view as" của Facebook là cửa ngỏ để hacker thâm nhập. |
Trả lời trên tờ ABPlive, Gary McGraw, Phó chủ tịch Sercurity Technology nói rằng tính năng "view as" là một lỗi thiết kế ngớ ngẩn, dễ dàng để hacker đánh cắp dữ liệu hàng chục triệu người dùng.
"Facebook cố gắng làm phức tạp hóa thiết kế giao diện nhưng vô tình tạo điều kiện cho hacker đánh cắp token. Người dùng nên chú ý đăng nhập lại và đăng xuất khỏi những thiết bị đáng ngờ", Gary khuyến cáo.
Theo Newshub, sự cố bảo mật gây ảnh hưởng gần 90 triệu tài khoản Facebook là một hồi chuông báo động. Chuyên gia bảo mật Graeme Muller cảnh tỉnh người dùng phải tự mình thực hiện việc bảo mật thông tin cá nhân trên Internet.
"Những tập đoàn công nghệ lớn đúng là có đầu tư nhiều cho việc bảo mật. Nhưng chúng ta không nên dựa dẫm quá nhiều. Hãy tự thực hiện những thao tác bảo mật cơ bản", Muller nói.
Chuyên gia này còn cho rằng một khi người dùng có sự tương tác trên Internet, mặc dù ở bất kì nền tảng nào, họ đã không còn an toàn nữa. Bên cạnh đó, Muller khuyên người dùng hạn chế liên kết các dịch vụ online qua mạng xã hội, đồng thời ngưng đặt một mật khẩu giống nhau cho nhiều tài khoản.
Facebook 'bịt miệng' người dùng, cố ngăn hiệu ứng Domino
Nhiều người dùng Facebook chia sẻ lên Twitter cho biết họ không thể đăng tải thông tin liên quan đến việc mạng xã hội này bị hack. Theo The Next Web, những liên kết bị cấm chia sẻ chủ yếu đến từ các trang báo lớn của Anh và Mỹ chẳng hạn The Guardian, The Verge, AP, NY Times,...
"Facebook vừa chặn liên kết từ trang AP mà tôi share lên Twitter, giờ là The Guardian", người dùng Kate Conger chia sẻ trên Twitter.
Facebook cố tình bịt miệng người dùng. |
Trước động thái này, đã có một số chỉ trích nhằm vào Facebook, tố cáo mạng xã hội này có hành động ích kỷ, lấp liếm sự cố của mình thay vì công khai và khắc phục chúng.
Tuy nhiên, cũng có ý kiến cho rằng đây chỉ là việc của hệ thống kiểm duyệt Facebook. Hệ thống này sẽ nhận dạng một liên kết có lượng chia sẻ lớn bất thường và báo cáo spam, đồng thời chặn chúng.
Hiện tại, Facebook đã bỏ chặn người dùng chia sẻ liên kết và thông tin về vụ tấn công nhằm vào mình. Facebook cho biết đã vá lỗ hổng dẫn đến việc 50 triệu tài khoản bị ảnh hưởng nhưng chưa trả lời được những câu hỏi quan trọng về an toàn thông tin của người dùng.
Không chỉ nền tảng Facebook, những tài khoản bị ảnh hưởng được sử dụng để đăng nhập các ứng dụng như Tinder, Instagram, Spotify, Airbnb... và hàng trăm nghìn ứng dụng khác cũng có nguy cơ bị tấn công.
Với chuỗi mã token dùng để đăng nhập của người dùng, các hacker có thể truy cập vào bất kỳ ứng dụng nào người dùng liên kết với tài khoản Facebook.
Theo Business Insider, Airbnb, Spotify, Tinder và cả Instagram - ứng dụng "một nhà" của Facebook có lẽ là những công ty chịu ảnh hưởng nặng nề nhất từ vụ tấn công này. "Có thể các công ty trên phải buộc người dùng đăng xuất tài khoản để kiểm tra hệ thống của họ có bị ảnh hưởng hay không", Business Insider viết thêm.