Facebook mạnh tay thanh lọc

Theo Digital Trends, Facebook vừa đình chỉ hàng nghìn ứng dụng có nghi vấn xâm phạm dữ liệu người dùng sau một cuộc điều tra hậu scandal Cambridge Analytica.

Hồi tháng 3/2018, “gã khổng lồ” mạng xã hội từng cam kết đánh giá toàn diện những ứng dụng trên Facebook đã truy cập một lượng lớn thông tin người dùng sau khi công ty thay đổi chính sách hồi năm 2014. Ngày 20/9, thông báo đình chỉ các ứng dụng được đăng tải công khai trên trang chủ công ty.

“Cuộc điều tra các Nhà phát triển Ứng dụng vẫn chưa kết thúc. Cho đến nay, cuộc điều tra đã giải quyết trường hợp của hàng triệu ứng dụng. Hàng nghìn ứng dụng đã bị đình chỉ vì nhiều lý do và chúng tôi đang tiếp tục điều tra thêm”, Ime Archibong – phó giám đốc Quan hệ Đối tác Sản phẩm của Facebook viết trong bài đăng.

Theo Facebook, cuộc điều tra bước đầu nhắm vào những ứng dụng có lượng người dùng lớn với nghi vấn đã thu thập dữ liệu trái phép. Kể từ đó, cuộc điều tra được mở rộng thêm với một số ứng dụng bị nghi ngờ lạm dụng chính sách của Facebook.

Theo Archibong, đã có hàng trăm người liên quan đến cuộc điều tra như các luật sư, kỹ sư, chuyên gia chính sách và một số nền tảng hợp tác trong công ty.

Dù đình chỉ hàng nghìn ứng dụng nhưng theo Facebook, chúng chỉ được tạo ra bởi khoảng 400 nhà phát triển. Theo công ty, việc các nhà phát triển có nhiều ứng dụng thử nghiệm nhưng chưa triển khai rộng rãi khá phổ biến.

Trong nhiều trường hợp, một số ứng dụng bị đình chỉ do nhà phát triển không cung cấp thông tin cho Facebook chứ không phải vì vi phạm chính sách. Điển hình như trường hợp của ứng dụng myPersonality dù đã chia sẻ thông tin với các nhà nghiên cứu nhưng sau đó bị đình chỉ vì từ chối để Facebook kiểm toán.

Bên cạnh cuộc điều tra, phía Facebook cho biết đã cải thiện cách thức đánh giá và thiết lập chính sách cho những nhà phát triển trên nền tảng của họ. Ngoài ra, Facebook còn tăng cường thêm nhân lực cho đội điều tra để quá trình xử lý các ứng dụng vi phạm tốt hơn.

Hệ quả từ án phạt kỷ lục 5 tỷ USD

Hồi tháng 7, Ủy ban Thương mại Liên bang Mỹ (FTC) đã ban hành mức phạt kỷ lục 5 tỷ USD và nhiều hình phạt khác đối với Facebook sau một loạt vụ bê bối về quyền riêng tư, bao gồm cả những sai lầm liên quan đến công ty Cambridge Analytica.

Để đạt được thỏa thuận kết thúc cuộc điều tra, tòa án yêu cầu Facebook phải chấp thuận sự giám sát chưa từng có của chính phủ đối với các hoạt động bảo mật của công ty. Đồng thời, “gã khổng lồ” mạng xã hội cũng cần phải kiểm soát các ứng dụng bên thứ ba minh bạch hơn.

Tuy nhiên, nhiều nhân vật bao gồm cả các ủy viên Dân chủ FTC đã phản đối bằng lập luận rằng họ không thể chịu trách nhiệm hoàn toàn về Facebook hoặc chấn chỉnh hoạt động thu thập dữ liệu của công ty này.

“FTC nhận thức được những sai phầm trên diện rộng liên quan đến các nhà phát triển ứng dụng trên nền tảng của Facebook và đó là lý do tại sao chúng tôi cần nhận được giúp đỡ. FTC đã thực hiện một cuộc điều tra kỹ lưỡng và phát hiện Facebook không kiểm soát một cách đầy đủ các nhà phát triển ứng dụng bên thứ 3”, Juliana Gruenwald – phát ngôn viên của FTC nói trong một tuyên bố.

Hiện cơ quan này đã từ chối cung cấp chi tiết bằng chứng chính xác mà họ thu được, bao gồm cuộc điều tra dẫn tới hàng nghìn ứng dụng bị đình chỉ vừa qua.

Vụ bê bối dữ liệu mới nhất

Theo Tech Crunch, hàng triệu số điện điện thoại đươc liên kết với các tài khoản Facebook vừa đươc tìm thấy trên mạng.

Cụ thể, thông tin bị lộ từ máy chủ chứa hơn 419 triệu hồ sơ tại một số cơ sở dữ liệu về người dùng khắp thế giới. Điều đó có nghĩa rằng hồ sơ của hơn 133 triệu của người dùng Facebook Mỹ, 18 triệu người dùng Anh và 50 triệu người dùng Việt Nam có thể bị truy cập mà không cần bất kỳ mật khẩu nào.

Mỗi hồ sơ đều bao gồm một ID của người dùng và số điện thoại liên kết với tài khoản. ID của người dùng Facebook thường là một số dài, được thể hiện công khai với tài khoản và dễ phân biệt so với tên người dùng.

Tuy nhiên, đáng nói là hơn một năm trước đây, Facebook từng tuyên bố công ty sẽ hạn chế truy cập số điện thoại của người dùng.

TechCrunch đã xác minh số lượng hồ sơ bị lộ này với cơ sở dữ liệu bằng cách kiểm tra số điện thoại của người dùng Facebook với ID Facebook được liệt kê của họ. Ngoài ra, TechCrunch còn kiểm tra thêm một số hồ sơ khác bằng cách khớp các số điện thoại với tính năng đặt lại mật khẩu của Facebook.

Điều này có thể được sử dụng để tiết lộ một phần số điện thoại của người dùng được liên kết với tài khoản của họ. Một số hồ sơ bị lộ còn bao gồm cả tên, giới tính và quốc gia của người dùng.

Đây là bê bối bảo mật mới nhất liên quan đến dữ liệu của Facebook sau một loạt sự cố kể từ scandal Cambridge Analytica. Vụ bê bối lịch sử này đã khiến hơn 80 triệu hồ sơ người dùng bị lợi dụng trong cuộc tranh cử tổng thống Mỹ năm 2016.

Kễ từ sau bê bối lịch sử, hàng loạt vụ lộ dữ liệu liên tục bị phát hiện (bao gồm cả Instagram) và chính Facebook phải thừa nhận sai sót

Với việc lộ hàng triệu số điện thoại, người dùng Facebook có thể phải đối mặt với nguy cơ bị quấy rối và bị tấn công bằng cách hoán đổi SIM (lừa các nhà mạng di động đưa số điện thoại của một người cho kẻ tấn công). Chỉ cần có số điện thoại của người dùng, kẻ tấn công có thể buộc đặt lại mật khẩu trên bất kỳ tài khoản Internet nào được liên kết với nó.

Nghi vấn Facebook vẫn còn thu thập số điện thoại người dùng?

Sanyam Jain, một nhà nghiên cứu bảo mật và là thành viên của GDI Foundation, đã tìm thấy cơ sở dữ liệu trên và liên hệ với TechCrunch sau khi không thể tìm thấy chủ sở hữu. Sau khi xem xét, phía TechCrunch cũng bất lực trong việc tìm ra người sở hữu. Tuy nhiên, sau khi các phóng viên liên lạc với máy chủ web, cơ sở dữ liệu đã bị ngắt kết nối Internet.

Jain còn cho biết thêm anh đã tìm thấy những số điện thoại được liên kết với tài khoản của một số người nổi tiếng.

Jay Nancarrow, người phát ngôn của Facebook cho biết dữ liệu đã bị loại bỏ trước khi Facebook dừng việc truy cập số điện thoại người dùng.

“Lượng dữ liệu bị lộ đã cũ và dường như được thu thập từ trước khi chúng tôi loại bỏ tính năng tìm ai đó bằng cách sử dụng số điện thoại của họ năm ngoái. Hiện tại số dữ liệu này đã được gỡ xuống và chúng tôi không tim thấy bằng chứng nào cho thấy người dùng bị xâm phạm”, Nancarrow nói.

Facebook sau đó thừa nhận máy chủ bị lộ chứa khoảng 220 triệu hồ sơ. Thế nhưng, mục đích chính xác của kẻ đưa lượng dữ diệu này lên mang vẫn là một câu hỏi bí ẩn.

Trong khi đó, Facebook từ lâu đã nghiêm cấm các nhà phát triển truy cập sử dụng số điện thoại người dùng. Thêm vào đó, Facebook cũng làm cho việc tìm kiếm số điện thoại của bạn bè trở nên khó khăn hơn.

Vụ lộ dữ liệu mới nhất này là ví dụ gần đây nhất về những bất cập của việc lưu trữ dữ liệu trực tuyến và công khai mà không cần mật khẩu. Mặc dù đây thường là lỗi từ phía con người gây ra thay vì do các mã độc, tuy nhiên việc dữ liệu bị đánh cắp đại diện cho một vấn đề bảo mật mới nổi.

Trong những tháng gần đây, hàng loạt vụ lộ dữ liệu đã diễn ra ở Mỹ. Điển hình là các vụ như 885 triệu thông tin bảo hiểm nhạy cảm của “gã khổng lồ” bảo hiểm First American hay hàng ngàn thông tin thẻ tín dụng của nền tảng mua vé MoviePass.

Hiểm họa tiềm tàng

Theo một báo cáo mới từ The Financial Times, tập đoàn bảo mật công nghệ cao từ Israel, NSO Group đã tuyên bố “người mua công nghệ của chúng tôi có thể xâm nhập và lấy đi tất cả dữ liệu cá nhân người dùng từ các máy chủ của Apple, Google, Facebook, Amazon và Microsoft”.

Nguồn tin từ The Financial Times sau khi tiếp xúc với những khách hàng đã sử dụng sản phẩm, NSO Group có thể bí mật đánh cắp dữ liệu từ máy chủ của các “gã khổng lồ” công nghệ trên để khai thác thông tin cá nhân, hình ảnh hoặc tin nhắn của một người.

Nguồn tin dựa trên các báo cáo về những người đã tham dự một cuộc trình diễn sản phẩm gần đây của công ty Israel này. Vẫn chưa rõ liệu có bao nhiêu tài khoản trên các nền tảng điện toán đám mây như Azure, Google, iCloud có thể đã bị nhắm làm mục tiêu bởi phần mềm này.

Tuy nhiên, người phát ngôn của NSO sau đó đã cho biết: “chúng tôi không cung cấp và tiếp thị bất kỳ loại khả năng hack hoặc thu thập hàng loạt dữ liệu cho bất kỳ ứng dụng, dịch vụ hoặc cơ sở hạ tầng đám mây nào”.

Trước đây, NSO Group đã nổi tiếng trong giới bảo mật với phần mềm độc hại Pegasus. Phần mềm này thậm chí còn được chính các cơ quan tình báo sử dụng để lấy dữ liệu riêng tư từ điện thoại thông minh của người dân.

Pegasus và NSO Group hồi đầu năm cho biết họ đã khai thác lỗ hổng nghiêm trọng trong WhatsApp, cho phép Pegasus lây nhiễm tới điện thoại iPhone của người dùng bằng cách gọi WhatsApp. Một khi đã bị lây nhiễm, phần mềm sẽ có toàn quyền kiểm soát và truy cập mọi thứ trong điện thoại. Trong đó, bao gồm các tin nhắn đã được mã hóa, dữ liệu vị trí, micrô và máy ảnh của người dùng.

WhatsApp sau đó đã đưa ra một tuyên bố trong đó họ thừa nhận rằng cuộc tấn công thật sự đã diễn ra. Hiện WhatsApp đã đóng lỗ hổng này và Bộ Tư pháp Hoa Kỳ đang tiến hành điều tra.

Công ty nghiên cứu an ninh mạng có trụ sở tại Canada, Citizen Lab, công ty đã giúp phát hiện ra phần mềm của NSO, mô tả Pegasus cũng như NSO là “một phần mềm gián điệp điển hình” và “được thiết kế để giám sát từ xa thiết bị điện thoại di động. Khi đã vào thâm nhập, đối tượng khai thác sẽ có toàn quyền kiểm soát và truy cập mọi thứ trong điện thoại, bao gồm tin nhắn, bộ phận ghi âm và camera của người dùng”.

Pegasus hoạt động như thế nào?

Khác với phiên bản Pegasus hồi đầu năm, phần mềm này đã có những sự “tiến hóa” nhất định. Kỹ thuật mới được cho là sao chép khóa xác thực của các dịch vụ như Google Drive, Messenger của Facebook và iCloud. Sau đó, từ một chiếc điện thoại bị lây nhiễm, nó sẽ cho phép tạo ra một máy chủ riêng biệt để mạo danh điện thoại, bao gồm cả vị trí của nó.

Theo một tài liệu, điều này sẽ cấp quyền truy cập vào dữ liệu điện toán đám mây của các ứng dụng trên mà không cần dính phải giao thức xác minh 2 lớp hoặc email cảnh báo trên thiết bị của chủ nhân.

Cũng theo tài liệu trên, Pegasus có thể hoạt động và lây nhiễm trên mọi thiết bị, bao gồm các dòng smartphone iPhone, Android mới nhất và cho phép truy cập liên tục vào dữ liệu được tải lên các dịch vụ lưu trữ đám mây từ tất cả thiết bị điện tử ngay cả khi Pegasus đã bị xóa.

Một tài liệu từ công ty mẹ của NSO, Q-Cyber, được chuẩn bị cho chính phủ Nhật Bản hồi đầu năm, đã giới thiệu về khả năng của Pegasus “nhận khóa xác minh để mở kho dữ liệu cá nhân” và sau đó “trích xuất dữ liệu”.

Điểm đáng sợ của Pegasus là khả năng truy cập vào “cloud endpoint” (một giải pháp điểm nút mới để lưu trữ mọi thông tin quan trọng về hạ tầng mạng và kinh doanh). Điều này có nghĩa là những kẻ hacker có thể tiếp cận được với các nội dung trên điện thoại thông minh và ở một phạm vi rất xa, cho phép thu thập các thông tin từ nhiều ứng dụng và dịch vụ được “cuộn” về một mục tiêu. Vẫn chưa rõ liệu chính phủ Nhật Bản có ra giá và đấu thầu dịch vụ này với chi phí hàng triệu USD hay không.