Hơn 90 triệu người dùng Facebook bị buộc đăng xuất khỏi tài khoản của mình vào sáng thứ 6 (28/9), nhằm tránh bị tấn công.

Trong số này, có 50 triệu tài khoản bị ảnh hưởng trực tiếp. Facebook đã reset 50 triệu token bị ảnh hưởng, cộng thêm 40 triệu token "dự phòng", gồm những người dùng đã sử dụng tính năng "view as" trong vòng nửa năm qua. 

Nhiều website bị ảnh hưởng

Tuy nhiên, mọi chuyện không dừng lại ở đó. Theo Wired, những trang web có liên kết với Facebook từ tài khoản của người bị hại rất có

khả năng bị thâm nhập.

Cụ thể, tính năng Single Sign-on thường được tích hợp trong các nền tảng YouTube, Twitter, Facebook, Google giúp người dùng tiết kiệm thời gian lướt web có thể vô tình tiếp tay cho hacker. Rất nhiều người có xu hướng chỉ đăng nhập một tài khoản Facebook hay Google cho nhiều dịch vụ thay vì tạo tài khoản cho mỗi trang web. 

"Mỗi tài khoản người dùng sẽ được cung cấp một token riêng để đăng nhập Facebook và các trang web thứ ba khác", Guy Rosen, phó chủ tịch quản lý sản phẩm của Facebook cho biết.

Hiện Facebook vẫn chưa có cách nào biết được liệu các trang web bên thứ ba có chấp nhận quyền truy cập từ những token bị đánh cắp. Vì thế, cách tốt nhất là người dùng phải tự thiết lập các biện pháp bảo vệ tài khoản trên mạng của mình.

Theo thông tin từ Facebook, hacker khai thác lỗi liên quan đến tính năng "view as", giúp người dùng có thể tự xem lại trang cá nhân của mình hiển thị như thế nào trong mắt bạn bè.

Từ lỗ hổng này, hacker có thể chiếm đoạt được tài khoản người dùng bằng cách sử dụng chuỗi mã token - mã dùng để đăng nhập Facebook mỗi khi người dùng nhập tài khoản và mật khẩu mà không cần bảo mật hai lớp hay cảnh báo đăng nhập.

Theo New York Times, ngay cả tài khoản của CEO và COO của Facebook là Mark Zuckerberg và Sheryl Sandberg cũng nằm trong số 90 triệu tài khoản này. Facebook từ chối chia sẻ thông tin thêm về vụ việc này.

"Facebook đã hứa hẹn biết bao nhiêu lần trước chính phủ sau vụ Cambridge Analytica, thế mà lại làm người dùng thất vọng lần nữa", công tố viên John Yanchunis nói.

Facebook không còn gì để bào chữa

Sự cố bảo mật tồi tệ nhất của Facebook là một cú đánh lớn cho nỗ lực của công ty nhằm xây dựng lại lòng tin với người dùng mạng xã hội sau vụ bê bối về quyền riêng tư vào tháng 3, Bloomberg viết.

Facebook cho biết đã vá lỗ hổng dẫn đến việc 50 triệu tài khoản bị ảnh hưởng nhưng chưa trả lời được câu hỏi quan trọng. Hiện chưa rõ hacker đã làm gì sau khi truy cập vào tài khoản người dùng.

Kẻ xấu có xâm nhập dữ liệu cá nhân không, hoặc có sử dụng tài khoản của bạn để đăng tải những thông tin gây nhầm lẫn hay không? Liệu có một scandal gây ảnh hưởng đến bầu cử Mỹ thứ 2 hay không? 

Dù khả năng nào xảy ra, thật khó để người dùng tin vào phát biểu của CEO Mark Zuckerberg hồi tháng 3 rằng ông sẽ bảo vệ dữ liệu của người dùng.

Facebook không dùng bất cứ chữ “hack” nào trong các thông tin gửi đến báo chí hoặc người dùng nhưng đó đích xác là những gì đã diễn ra, theo Wired. Sự cố này rất khác với các cuộc khủng hoảng hồi đầu năm. 

Khi đó đứng trước Ủy ban Tư pháp và Ủy ban Thương mại Thượng viện Mỹ, Mark Zuckerberg có thể hiên ngang nói rằng sự cố gây ra do ứng dụng quizz từ một nhà phát triển bên ngoài, không có vấn đề gì về kỹ thuật cũng như bảo mật. Đó đơn thuần là lỗi do con người gây ra và một chút dối trá từ các bên.

Lần này, Facebook chẳng có gì để bào chữa. Các nhà làm luật chắc chắn sẽ nhanh chóng chỉ trích công ty này, yêu cầu thêm thông tin và kêu gọi điều tra, theo Bloomberg.

Tuy nhiên, có một điểm Facebook đã học được từ cuộc khủng hoảng trong quá khứ. Sau sự cố với Cambridge Analytica, CEO Zuckerberg giữ im lặng trong nhiều ngày. Lần này, ông ta lập tức liên hệ với truyền thông và cố gắng giải thích chuyện gì đã xảy ra. “Đây là một sự cố rất nghiêm trọng”, Zuckerberg nói.

(Theo Zing/Wired, Bloomberg)