Cuộc tấn công tinh vi nhằm vào Facebook cho thấy những cam kết bảo vệ dữ liệu người dùng của mạng xã hội này đã sớm bị phá vỡ.

Ngày 28/9, hàng triệu người sử dụng bị ép thoát khỏi tài khoản Facebook. Sau đó, Facebook giải thích rằng họ đã phát hiện kẻ tấn công khai thác lỗ hổng kỹ thuật để ăn cắp mã truy cập (token) trên khoảng 50 triệu tài khoản nên buộc phải đăng xuất các tài khoản trong diện bị ảnh hưởng. New York Times cho biết trong số này có cả tài khoản của CEO Mark Zuckerberg và COO Sheryl Sandberg.

Theo Bloomberg, đây là vụ tấn công bảo mật tồi tệ nhất trong lịch sử Facebook và là "một cú đấm mạnh" vào nỗ lực tạo dựng lại niềm tin với người dùng sau bê bối dữ liệu hồi tháng ba.

Facebook một lần nữa đánh mất lòng tin của người dùng
Vận đen vẫn không ngừng đeo bám Facebook. Ảnh: New Scientist

Mạng xã hội lớn nhất thế giới đã xử lý lỗ hổng, nhưng chưa thể trả lời được những câu hỏi quan trọng như vụ tấn công diễn ra như thế nào, ai đứng đằng sau, liệu đã có tài khoản nào thực sự bị xâm nhập hay chưa và đặc biệt là hacker đã làm gì với khoá kỹ thuật số đánh cắp được.

Facebook cho biết kẻ tấn công khai thác lỗ hổng liên quan đến tính năng View As (Xem dưới tư cách của một nhóm người) của Facebook, từ đó đánh cắp được chuỗi mã khoá kỹ thuật số (token). Mã này cho phép người dùng duy trì đăng nhập tài khoản mà không phải tốn thời gian nhập tên, mật khẩu mỗi lần truy cập Facebook.

Hacker chỉ lấy được token, chứ không phải thông tin đăng nhập, do đó người dùng không cần thiết phải đổi mật khẩu. Tuy vậy, theo Forbes, việc đổi mật khẩu thường xuyên cũng không bao giờ thừa.

Để giải quyết vấn đề, Facebook đã reset hệ thống, vô hiệu hoá token cũ và đăng xuất tài khoản của người sử dụng. Có nghĩa, hacker không thể tiếp tục đăng nhập được vào tài khoản của người dùng nữa vì không có mật khẩu.

Tuy nhiên, Guy Rosen, Phó chủ tịch phụ trách sản phẩm của Facebook, thừa nhận kẻ tấn công với token có thể thâm nhập vào những ứng dụng khác nếu người dùng log-in vào những ứng dụng này bằng tài khoản Facebook, như Instagram, Tinder, Uber... Rosen cho hay chưa có dấu hiệu nào cho thấy kẻ tấn công đã khai thác các token này trên ứng dụng bên thứ ba.

Dù thế nào, vụ tấn công đã khiến người dùng càng không còn tin vào lời hứa bảo vệ dữ liệu của Facebook. Khi không còn tin, họ sẽ dành ít thời gian hơn, chia sẻ ít hơn trên mạng xã hội. Trong một cuộc thăm dò hồi tháng 3, cũng chỉ 41% người Mỹ tin tưởng Facebook tuân thủ luật bảo vệ thông tin cá nhân.

Ngay sau khi đưa ra thông báo về vụ hack, Facebook đã phải đối mặt với vụ kiện tập thể, đại diện là Carla Echavarria, công dân California và Derick Walker ở Virginia (Mỹ). Cả hai cho rằng sự thiếu hụt những biện pháp bảo mật cần thiết đã khiến Facebook bị tấn công, và nhiều khả năng sẽ dẫn đến những vụ ăn cắp và khai thác thông tin người dùng trong tương lai. Đơn kiện cáo buộc Facebook có những hoạt động kinh doanh trái phép, cố tình che giấu, cẩu thả về bảo mật và vi phạm luật bang California.

Sau bê bối để lộ và mua bán thông tin của 87 triệu người dùng đầu năm nay, đây là rắc rối lớn thứ hai liên quan tới dữ liệu người dùng của Facebook trong năm 2018.

Theo Châu An (VnExpress.net)