Ngày 21/3, Facebook thừa nhận việc hàng triệu mật khẩu của tài khoản người dùng được lưu trữ không an toàn, không mã hóa. Điều này khiến nhiều chuyên gia bảo mật rất bất ngờ.
“Từ năm 2012, các công ty công nghệ lớn đã nhận thức được sự nguy hiểm của việc lưu mật khẩu người dùng không mã hóa. Facebook là nền tảng lớn. Không hiểu vì sao họ lại duy trì hình thức bảo mật lạc hậu như vậy suốt 7 năm. Sự thiếu chuyên nghiệp này khiến nhiều người trong lĩnh vực bảo mật rất bất ngờ”, Trí Đức, chuyên gia an ninh mạng hiện làm việc tại Mỹ cho biết.
Ngày 21/3, Facebook công bố việc hàng triệu mật khẩu của tài khoản người dùng được lưu trữ không an toàn, không mã hóa.
Tại sao Facebook lại "tự nguyện" công bố?
Thoạt nhìn, người dùng sẽ đặt câu hỏi tại sao Facebook lại chủ động lên tiếng mà không âm thầm giải quyết như rất nhiều lần trước?
Thực chất, Facebook lên tiếng về việc này trong khoảng thời gian mà Brian Krebs - một cây bút chuyên viết về an ninh mạng đã báo cáo lỗ hổng bảo mật trên. Theo ông Krebs, một cuộc rà soát của Facebook đã cho thấy hàng trăm triệu mật khẩu của người dùng từ năm 2012 được lưu trữ ở dạng văn bản thuần túy.
Ví dụ nếu người dùng đặt mật khẩu “ABC909672”, một công ty làm việc chuyên nghiệp sẽ lưu nó dưới dạng *********. Trong khi đó, Facebook giữ nguyên hiện trạng với đầy đủ các ký tự (plaintext hay clear text).
Nó khiến 20.000 nhân viên của Facebook đọc được mật khẩu của người dùng. Điều này cho phép nhân viên của Facebook có thể truy cập tài khoản, xâm hại đời tư của người dùng mà họ không hay biết.
Facebook cho rằng công ty không tìm thấy bất kỳ sự lạm dụng nào. Có nghĩa trong suốt 7 năm trời, 20.000 nhân viên Facebook nhìn thấy hàng trăm triệu mật khẩu nhưng không mảy may tò mò vào xem.
Động thái duy nhất của Facebook là thông báo tới người dùng Facebook và Instagram về vấn đề này để họ thay đổi mật khẩu mới.
Theo New York Times, dù chưa xảy ra sự cố nghiêm trọng nhưng sự nghiệp dư trong việc bảo vệ 2,6 tỷ người dùng khiến lòng tin với Facebook giảm mạnh.
Sự cố lần này bổ sung vào danh sách nhiều vụ bê bối dữ liệu trong 2 năm gần đây của Facebook. Trong đó vụ lộ thông tin người dùng Cambridge Analytica và cuộc tấn công thông tin cá nhân của hàng chục triệu tài khoản là lớn nhất.
“Chúng tôi không có gì quan trọng hơn là bảo vệ thông tin của người dùng. Chúng tôi sẽ tiếp tục cải thiện cách bảo vệ dữ liệu của mọi người”, Pedro Pedro Canahuati, Phó chủ tịch Kỹ thuật về Bảo mật và Quyền riêng tư của Facebook cho biết.
Đây không phải lần đầu tiên Facebook xin lỗi và hứa bảo mật tốt hơn. Sau vụ Cambridge Analytica, CEO Facebook, Mark Zuckerberg cũng từng nói: “Chúng tôi có trách nhiệm bảo vệ dữ liệu của bạn, và nếu không thể, thì chúng tôi không xứng đáng để phục vụ các bạn. Tôi đã tìm hiểu nguyên nhân và làm thế nào để nó không xảy ra lần nữa”.
Đã từng lạm dụng phụ nữ?
Tháng 5/2018, người sáng lập công ty bảo mật Spyglass tố cáo một kỹ sư Facebook đang sử dụng quyền truy cập của mình để theo dõi người dùng nữ. Thời điểm đó, Facebook cho biết công ty đang điều tra các cáo buộc của Jackie Stokes - người sáng lập Spyglass Security về nhân viên của mình nhưng kết quả vẫn không được công bố.
"Tôi đã nhận ra một kỹ sư an ninh đang làm việc tại Facebook có khả năng sử dụng quyền truy cập đặc biệt để theo dõi nữ giới trực tuyến. Nếu tôi có nhật ký Tinder của một người, tôi nên làm gì với thông tin này?", Stokes đăng trên Twitter của mình hôm chủ nhật.
Facebook cho biết họ đã nắm được tin trên và đang tiến hành điều tra. Tuy nhiên mạng xã hội này từ chối tiết lộ thêm thông tin cá nhân của nhân viên."Chúng tôi duy trì các điều khoản và chính sách kỹ thuật nghiêm ngặt để hạn chế quyền truy cập của nhân viên vào dữ liệu người dùng", Facebook nói trong một tuyên bố.
"Truy cập bị hạn chế bởi chức vụ. Chỉ những nhân viên được chỉ định mới có quyền truy cập vào thông tin cần thiết nhằm thực hiện trách nhiệm công việc của họ. Chẳng hạn như phản hồi báo cáo lỗi, yêu cầu hỗ trợ tài khoản hoặc yêu cầu pháp lý hợp lệ.
Chúng tôi không khoan dung cho việc lạm dụng quyền trên và sẽ chấm dứt nó ngay lập tức", phát ngôn của Facebook cho biết. Tuy vậy, việc có thể nhìn thấy mật khẩu sẽ khiến mọi chuyện đi xa hơn.
Điều gì sẽ xảy ra với cách bảo mật lỏng lẻo này?
Việc để mật khẩu ở dạng plain text khiến bất cứ ai nếu truy cập được danh sách này có thể sử dụng tài khoản của người dùng mà họ không hay biết. Những người có thể truy cập danh sách này bao gồm 200.000 nhân sự của Facebook và có thể là hacker.
Tuy vậy, người dùng sử dụng mã bảo mật hai lớp như Authenticator hay OTP qua tin nhắn điện thoại sẽ không bị ảnh hưởng.
Nhưng thực tế đáng buồn, thời điểm 2012 hay thậm chí 2018, đa số người dùng không sử dụng bảo mật hai lớp. Vậy trong thời gian đó, chuyện gì đã xảy ra với thông tin cá nhân của người dùng?
Theo một khảo sát thực hiện năm 2017 của Duo Security, chỉ có 28% người Mỹ sử dụng xác thực hai yếu tố và hơn 56% chưa từng nghe về công nghệ này trước cuộc khảo sát.
Chỉ hơn 54% người Mỹ sử dụng xác thực hai yếu tố một cách tự nguyện. Khoảng 45% còn lại bị ép buộc hoặc khuyến khích dùng.
Đầu năm 2018, các kỹ sư Google cho biết có hơn 90% người dùng Gmail không sử dụng bảo mật hai lớp.
Điều này cho thấy việc lưu trữ mật khẩu dưới dạng plaintext như Facebook đang làm với hàng trăm triệu tài khoản người dùng trong nhiều năm qua là đáng báo động.
Hiện, việc người dùng có thể làm lúc này là đổi ngay mật khẩu và cài đặt bảo mật hai lớp theo hướng dẫn tại đây
Theo Zing