Facebook vừa thông báo về vụ tấn công lớn nhất từ trước đến nay nhắm vào mạng xã hội này: 50 triệu tài khoản bị ảnh hưởng trực tiếp, bên cạnh 40 triệu người dùng khác có khả năng rơi vào tầm nhắm của hacker.
Theo lời các lãnh đạo Facebook, cuộc tấn công là "vô cùng tinh vi" và "gây ảnh hưởng trên diện rộng". Đáng lo ngại hơn nữa, người dùng không thể biết được kẻ tấn công sẽ làm gì với tài khoản của họ.
"Dù vui mừng thông báo chúng tôi đã tìm thấy và vá lỗ hổng, thực tế cho thấy còn rất nhiều việc phải làm để phát triển công cụ ngăn chặn chuyện này xảy ra trong tương lai", Mark Zuckerberg cho hay.
Mark đã đúng khi nhận định: công ty phải ngăn chặn điều này trước khi để nó xảy ra. Nhưng liệu mạng xã hội lớn nhất thế giới có thể làm điều đó hay không? Khả năng này gần như bằng không.
Facebook đã đi quãng đường dài kể từ khi ông chủ của nó quản lý mạng xã hội này từ một căn phòng trong ký túc xá. 5 năm trước, Aaron Chiu, kỹ sư phần mềm của công ty trả lời trên Quora rằng Facebook được hình thành từ 62 triệu dòng code. Đây thực sư là codebase phức tạp đòi hỏi rất nhiều người quản lý. Và theo thời gian, độ tinh vi lại ngày càng tăng dần. Điều này cũng đồng nghĩa với việc công ty khó mà đảm bảo an toàn cho sản phẩm của họ.
Phó chủ tịch quản lý sản phẩm Facebook Guy Rosen nói rằng cuộc tấn công là kết quả của ba sai lầm song song. Đầu tiên là ở tính năng View As, cho phép người dùng xem trang cá nhân của mình với tư cách một người bạn mà họ chọn, và cho phép trình tải video.
Trình tải video này là mấu chốt tạo ra lỗi thứ 3: tạo và gửi cho bạn token để đăng nhập vào ứng dụng Facebook trên smartphone như thể đó chính là người bạn đang mạo danh. Hacker đã sử dụng lỗ hổng này để xâm nhập tài khoản của hàng triệu người.
Đây là một cấu trúc rất phức tạp để hoạt động hoàn hảo. Nếu nhìn tách bạch từng lỗi, chúng có vẻ lành tính khi giống như những bản bug nhỏ có thể vá sau mỗi cập nhật. Tuy nhiên, khi nhìn tổng thể, Facebook đã để lộ ra nhiều sai sót có liên quan mật thiết, phân tầng và mang tính hệ thống.
Nhiều người có thể cho rằng những sai phạm này chỉ xuất hiện sau khi quản lý an ninh cấp cao vừa rời khỏi công ty. Thực tế là Facebook từ đầu năm nay đã đưa nhiều kỹ sư an ninh, chuyên gia phân tích vào các nhóm sản phẩm kỹ thuật. Rosen cho rằng điều này đã giúp tìm và giải quyết lỗi nhanh hơn.
Rosen cũng nhấn mạnh Facebook đang hướng tới việc tăng số lượng nhân viên bảo mật từ khoảng 10.000 đến 20.000 người. Có thêm nhiều cặp mắt và bộ não vào công tác bảo mật chắc chắn là bước đi đúng hướng. Tuy nhiên, các chuyên gia an toàn thông tin nhận định, nhân lực là chưa đủ để giải quyết vấn đề bảo mật.
"Số lượng là chưa đủ, phải đa dạng hóa lực lượng an ninh này. Cần phải có thêm sự kiểm soát độc lập từ các bên thứ 3", nhà nghiên cứu Malwarebytes Jérôme Segura nói với Engadget.
Cuộc tấn công vừa qua cho thấy từng lỗ hổng nhỏ có khả năng kết hợp để gây ra thiệt hại lớn. Tuy nhiên, Facebook vẫn còn nhiều cách để giải quyết vấn đề. Segura cho rằng việc phân đoạn, khoanh vùng mã, kết hợp với kiểm tra nội bộ lẫn bên ngoài một cách thường xuyên, có thể giúp sản phẩm nhìn chung được an toàn hơn. Dù vậy, Segura cũng thừa nhận, các lỗi phức tạp vẫn sẽ luôn tồn tại.
Một điều rõ ràng rằng: Facebook giờ đây đã quá phức tạp và đồ sộ để bảo vệ. Việc lưu trữ nhiều thông tin cá nhân có giá trị đã tạo ra miếng mồi béo bở cho những kẻ dòm ngó. Những cuộc tấn công này chắc chắn sẽ không dừng lại sớm, và Facebook sẽ không thể một mình chống lại tất cả mãi mãi.
Theo Zing