Theo Facebook, chiều ngày 25/9, nhóm kỹ thuật của mạng xã hội này đã phát hiện một vấn đề bảo mật ảnh hưởng đến gần 50 triệu tài khoản. Tin tặc đã khai thác lỗ hổng kỹ thuật để đánh cắp mã thông báo của Facebook tại tính năng “View As” (Xem trang với tư cách khác), một tính năng giúp người dùng xem trang cá nhân của họ hiển thị như thế nào đối với bạn bè. Lỗ hổng này cho phép tin tặc chiếm đoạt chuỗi mã truy cập Facebook, từ đó có thể chiếm đoạt tài khoản của người dùng. Mã truy cập giống như một chìa khóa kỹ thuật số giúp người dùng đăng nhập vào Facebook mà không cần phải nhập lại mật khẩu mỗi khi sử dụng ứng dụng.
Tin tặc đã lợi dụng lỗ hổng tại tính năng “View As” để tấn công
Theo Facebook, lỗ hổng này là kết quả hợp thành của 03 lỗi riêng biệt:
Thứ nhất: View As là một tính năng riêng tư giúp người dùng xem trang cá nhân của họ hiển thị như thế nào đối với bạn bè. View As nên tồn tại ở giao diện view-only. Tuy nhiên, đối với một dạng đăng nội dung (hộp thoại nơi người dùng đăng nội dung lên Facebook), cụ thể hơn là phiên bản giúp người dùng gửi lời chúc mừng sinh nhật tới bạn bè, View As đã cho phép đăng video không chính xác.
Thứ hai: Một phiên bản mới của trình tải lên video (giao diện có thể coi là kết quả hiển thị của lỗi đầu tiên), ra mắt tháng 7/2017, đã tạo ra một mã truy cập không chính xác có quyền đăng nhập vào ứng dụng Facebook trên điện thoại.
Thứ ba: Khi trình tải lên video xuất hiện như là một phần của View As, nó tạo ra một mã truy cập nhưng không phải dành cho người dùng chính với tư cách là người xem video mà dành cho những người dùng khác mà người dùng chính đã tìm kiếm.
Sự kết hợp của 03 lỗi trên đã trở thành một lỗ hổng bảo mật: Khi sử dụng tính năng View As để xem trang cá nhân, mã đăng nhập không xóa đi phần đăng nội dung giúp người dùng chúc mừng sinh nhật; trình tải lên video sẽ tạo ra một mã truy cập không cần thiết, và khi mã đó được tạo nên, nó không dành cho người dùng, mà cho những người được tìm kiếm. Mã truy cập sau đó sẽ hiển thị trong giao diện HTML của trang, từ đó những kẻ tấn công có thể trích xuất và khai thác để đăng nhập vào với tư cách một người dùng khác. Những kẻ tấn công sau đó có thể chuyển hướng từ mã truy cập đó sang những tài khoản khác, thực hiện những hành động tương tự và chiếm đoạt nhiều mã truy cập hơn.
Facebook đã làm gì?
Để bảo vệ tài khoản của người dùng, Facebook đã khắc phục lỗ hổng bảo mật. Facebook cũng đã cài đặt lại mã truy cập của gần 50 triệu tài khoản bị ảnh hưởng và thực hiện bước dự phòng bằng các cài đặt mã truy cập cho 40 triệu tài khoản khác đã từng sử dụng tính năng View As trong thời gian qua. Cuối cùng, Facebook tạm thời tắt tính năng View As trong khi tiến hành kiểm tra bảo mật kỹ lưỡng.
Thông báo cập nhật trên Facebook lúc 3h08 phút ngày 29/9 (giờ Việt Nam) giải thích sự cố xảy ra với người dùng
Vì vậy, có khoảng 90 triệu người sẽ cần phải đăng nhập lại Facebook hoặc bất kỳ ứng dụng nào sử dụng Đăng nhập Facebook. Sau khi đã đăng nhập lại, người dùng sẽ nhận được thông báo ở đầu Bảng tin giải thích sự cố đã xảy ra.
Người dùng cần làm gì?
Theo Facebook, quyền riêng tư và bảo mật của người dùng vô cùng quan trọng, và mạng xã hội này đã đưa ra lời xin lỗi vì đã để xảy ra sự cố vừa qua. Đó là lý do Facebook đã thực hiện hành động ngay lập tức bằng việc thoát 90 triệu tài khoản của người dùng. Điều này nhằm bảo vệ những tài khoản bị ảnh hưởng và cho người dùng biết những gì đang xảy ra.
Theo Facebook, cuộc điều tra để xác định danh tính kẻ tấn công đang được diễn ra
Theo Facebook, người dùng không cần thay đổi mật khẩu của mình. Nhưng với những ai gặp khó khăn khi đăng nhập lại Facebook, ví dụ như quên mật khẩu đăng nhập, thì nên truy cập Trung tâm Trợ giúp.
Nếu như người dùng muốn thực hiện những bước đề phòng đăng xuất khỏi Facebook, hãy truy cập phần “Bảo mật và Đăng nhập” trong mục Cài đặt. Tại đây, Facebook liệt kê những thiết bị mà người dùng đăng nhập Facebook và cung cấp tùy chọn đăng xuất khỏi tất cả bằng một cú nhấp chuột.
Cuối cùng, để an toàn nhất, người dùng có thể thay đổi mật khẩu của mình. Khi đã khôi phục tài khoản, người dùng cần thắt chặt bảo mật tài khoản bằng cách thay đổi mật khẩu hoặc bật Sử dụng xác thực hai yếu tố (2FA) trong phần “Bảo mật và Đăng nhập”, trong mục Cài đặt.