Vụ Tàn phá Bảo mật của Facebook Tiết Lộ Nhiều Trang Hơn Cả Facebook năm 2025

Vào thứ Sáu, Facebook tiết lộ rằng họ đã trải qua một cuộc tấn công bảo mật ảnh hưởng ít nhất đến 50 triệu người dùng của mình, và có thể lên đến 90 triệu. Những gì họ không nói ban đầu, nhưng tiết lộ trong một cuộc gọi hậu trường vào chiều thứ Sáu, là lỗ hổng không chỉ ảnh hưởng đến Facebook mà còn nhiều hơn thế. Nếu tài khoản của bạn bị ảnh hưởng, điều đó có nghĩa là hacker có thể truy cập vào bất kỳ tài khoản nào bạn đăng nhập bằng Facebook.

Đó là nhiều tài khoản. Bạn có thể đọc một bản kế toán đầy đủ về vụ hack ở đây, nhưng đơn giản là nó kết hợp ba lỗi liên quan đến tính năng “Xem Như” của Facebook, cho phép người dùng xem hồ sơ của họ như thế nào khi người khác xem họ. Một công cụ tải video—dự định để kích hoạt video “Chúc Mừng Sinh Nhật”—sẽ xuất hiện một cách sai lầm trên trang “Xem Như” và cung cấp mã thông báo truy cập của người mà hacker tìm kiếm.

Ban đầu, Facebook đã phản ứng bằng cách đăng xuất cả 50 triệu người họ biết bị ảnh hưởng bởi cuộc tấn công, và thêm 40 triệu người khác đã sử dụng công cụ “Xem Như” trong năm qua. Họ cũng tạm dừng tính năng “Xem Như”. Nhưng phát hiện thứ hai vào thứ Sáu cho thấy rằng hậu quả có thể lớn hơn rất nhiều so với ban đầu được nêu ra.

Vượt ra khỏi ảnh hưởng đến tài khoản Facebook chính, công ty xác nhận rằng cuộc tấn công ảnh hưởng đến việc triển khai Single Sign-On của Facebook, thực hành cho phép bạn sử dụng một tài khoản để đăng nhập vào các tài khoản khác. Ý tưởng là sử dụng một dịch vụ đáng tin cậy—như Facebook Google, Twitter, và những dịch vụ khác—để đăng nhập vào các trang web và dịch vụ trên toàn bộ web, thay vì tạo một hồ sơ duy nhất cho mỗi trang. Điều này tiết kiệm thời gian và đảm bảo bạn đang đăng nhập thông qua một đơn vị mà bạn tin tưởng. Trong trường hợp này, điều này cũng có vẻ đã khiến cho vụ việc xâm phạm của Facebook trở thành một thảm họa trên toàn cầu, ít nhất là đối với những người bị ảnh hưởng.

"Thẻ truy cập cho phép ai đó sử dụng tài khoản như họ là chủ sở hữu tài khoản. Điều này có nghĩa là họ có thể truy cập vào các ứng dụng của bên thứ ba bằng cách sử dụng đăng nhập Facebook," Guy Rosen, Phó Chủ tịch Sản phẩm của Facebook, nói trong cuộc gọi với các phóng viên vào thứ Sáu. "Những nhà phát triển sử dụng đăng nhập Facebook sẽ có thể phát hiện ra rằng những thẻ truy cập đã được đặt lại."

Chưa rõ là bao lâu những trang web của bên thứ ba sẽ chấp nhận các thẻ truy cập bị đánh cắp, hoặc việc một kẻ tấn công có thể sử dụng một thẻ truy cập để vào một trang web của bên thứ ba có khó hay không.

Facebook cũng xác nhận rằng nó đã vô hiệu hóa quyền truy cập dữ liệu cho ứng dụng của bên thứ ba đối với những người bị ảnh hưởng, có nghĩa là nếu bạn là một trong 90 triệu người có thể bị ảnh hưởng, bạn sẽ không thể chia sẻ hình ảnh từ Instagram lên Facebook mà không đổi mật khẩu.

Trong khi đó, Facebook vẫn chưa xác nhận liệu bất kỳ tài khoản của bên thứ ba nào đã bị xâm phạm thực sự, và vẫn chưa mô tả chính xác loại dữ liệu mà hacker có thể đã chiếm được. (Việc họ có thể có quyền truy cập đầy đủ vào tài khoản Facebook ít nhất là một tiêu chí cơ bản: Mọi thứ trên hồ sơ của bạn đều đã bị tiết lộ.) Facebook cũng từ chối nói rõ chính xác thời gian kẻ tấn công tận dụng lỗ hổng, được giới thiệu từ tháng 7 năm 2017. Mười bốn tháng là một cửa sổ rất lớn để gây thiệt hại tiềm ẩn.

Về mức độ rộng lớn của cuộc tấn công, Rosen nói rằng mục tiêu có vẻ khá rộng lớn. Nhưng phóng viên của New York Times Mike Isaac lưu ý rằng CEO Facebook Mark Zuckerberg và COO Sheryl Sandberg đã có tài khoản của họ bị xâm phạm như một phần của cuộc tấn công.

Facebook đã phải đối mặt với thách thức pháp lý sau khi tiết lộ; người dùng Facebook Carla Echavarrai và Derrick Walker đã nộp đơn kiện đồng đoàn tại California "Làm cho người ta kinh ngạc khi, sau tất cả sự chú ý xoay quanh cách Facebook xử lý thông tin cá nhân sau vụ Cambridge Analytica và những lời hứa cải thiện đối với người dùng, Facebook lại một lần nữa không bảo vệ được thông tin của người tiêu dùng khỏi hacker," ông John Yanchunis, luật sư của họ, nói trong một tuyên bố.

Vụ thảm họa cũng làm nổi bật những lo ngại rộng lớn về Single Sign-On, mà vào thứ Sáu trở thành bài học cuối cùng về sự đánh đổi tính an toàn và thuận tiện. "Các kế hoạch đơn đăng nhập là tuyệt vời vì két an toàn tiền mặt của ngân hàng dự trữ liên bang ở Atlanta đáng kể an toàn hơn so với két an toàn ở một hợp tác xã tín dụng địa phương," nói Kenn White, giám đốc Dự Án Kiểm Tra Mã Hóa Mở. "Nhưng nhược điểm là nếu một Đơn Đăng nhập bị xâm phạm, bạn sẽ bị làm sao."

Tiếp tục với một cách đăng nhập an toàn hơn có ý nghĩa, đặc biệt là khi sử dụng trên các trang web không có tài nguyên hoặc ý chí để đầu tư mạnh mẽ vào phát triển an ninh. Nhưng giống như bạn muốn mật khẩu của mình độc đáo để không một lỗ hổng tiết lộ tất cả, sự đa dạng tài khoản cũng quan trọng trực tuyến dù là phương pháp đăng nhập cụ thể có độ an toàn như thế nào. "Không muốn có tình huống một lỗ hổng và toàn bộ danh tính trực tuyến của bạn biến mất," White nói.

Vẫn chưa rõ liệu điều đó có đúng cho 50 triệu hoặc 90 triệu người dùng Facebook. "Chúng tôi chỉ mới bắt đầu làm việc qua phạm vi đầy đủ của những gì chúng tôi đã thấy ở đây," nói Rosen. Đối với những người bị ảnh hưởng, đó là một thời gian chờ đợi đau đớn.

Báo cáo bổ sung của Issie Lapowsky.

Những điều Tuyệt Vời Nữa Từ blog.mytour.vn

• Các trang web có thể tận dụng cảm biến điện thoại của bạn mà không cần xin phép
• Làm thế nào những người nhảy xuất sắc nhất thế giới có thể bay cao đến vậy
• 25 năm của những dự đoán và lý do tại sao tương lai không bao giờ đến
• Luận điểm cho các loại kháng sinh đắt tiền
• Bên trong cuộc đi dạo đến Cực Bắc chỉ với phụ nữ
• Đang tìm kiếm thêm? Đăng ký bản tin hàng ngày của chúng tôi và đừng bao giờ bỏ lỡ những câu chuyện mới nhất và tuyệt vời nhất của chúng tôi