Ngày hôm qua, Facebook vừa công bố có một số tin tặc đã lợi dụng lỗ hổng mã phần mềm để lấy access token, khiến gần 50 triệu tài khoản Facebook bị rò rỉ dữ liệu.
Access token là các khóa điện tử giúp người dùng luôn đăng nhập vào Facebook và không cần nhập lại mật khẩu mỗi lần sử dụng ứng dụng. Nếu tin tặc có được access token thì có khả năng chiếm được cả tài khoản, theo như Facebook cho biết.
Lỗ hổng này được đội ngũ Facebook phát hiện hôm thứ 3, tồn tại trong tính năng “Xem trang với tư cách khác” (View As). Đây là tính năng cho người dùng xem trang của họ dưới tư cách tài khoản khác.
Thay đổi này đã tồn tại ít nhất 2 tháng nhưng không rõ vụ tấn công khiến Facebook bị rò rỉ dữ liệu này xảy ra lúc nào. Rosen cho biết Facebook mới bắt đầu điều tra vụ việc này, và vẫn chưa tìm hiểu được tài khoản Facebook nào bị tấn công hay thông tin nào bị truy cập. Công ty hiện vẫn chưa biết ai là người đứng sau vụ rò rỉ thông tin này. Facebook đã cài đặt lại access token của 50 triệu tài khoản bị ảnh hưởng, cũng như của 40 triệu tài khoản còn lại. Đó là lí do vì sao sáng hôm nay người dùng phải đăng nhập lại Facebook. Vụ việc này hoàn toàn khác vụ Cambridge Analytica, nó tấn công trực tiếp vào lỗ hổng trong tính năng “Xem trang với tư cách khác”. Còn ngược lại, vụ Cambridge Analytica diễn ra do Facebook tự nguyên cung cấp dữ liệu. Facebook thực sự đang gặp quá nhiều vấn đề về dữ liệu. Thượng nghị sĩ Mark R. Warner, đồng chủ tịch Cuộc họp thượng nghị sĩ về an ninh mạng ngày hôm qua đã phát biểu vụ 50 triệu tài khoản Facebook bị rò rỉ dữ liệu là “một minh chứng rõ ràng cho thấy chính phủ cần hành động để bảo vệ quyền riêng tư và an ninh mạng xã hội cho người dân.” Facebook đã cố gắng cải thiện an ninh bằng một chương trình tìm lỗi trao thưởng nhằm ngăn chặn bên thứ ba truy cập dữ liệu. Đầu tháng 9, Facebook lại công bố mở rộng chương trình giải thưởng này để phát hiện những lỗ hổng liên quan đến lộ access token.“Vụ tấn công khiến Facebook bị rò rỉ dữ liệu lớn này khai thác một chuỗi vấn đề trong mã phần mềm” – Guy Rosen, phó giám đốc quản lí sản phẩm của Facebook viết. “Vụ việc xuất phát từ sự thay đổi trong tính năng video hồi tháng 7/2017, từ đó ảnh hưởng tới tính năng “Xem trang với tư cách khác”.
Threatpost
