WhiteHat News #ID:2017
VIP Members
-
20/03/2017
-
113
-
356 bài viết
Facebook thừa nhận "vô ý" thu thập 1,5 triệu địa chỉ email của người dùng
Điều đáng nói, sự việc mà Facebook cho là "vô ý" này đã diễn ra suốt từ năm 2016 cho tới nay.
Danh sách những vụ bê bối của Facebook liên quan đến vấn đề bảo mật và quyền riêng tư người dùng có vẻ vẫn đang tiếp tục dài thêm. Trong một động thái mới nhất, Facebook thừa nhận đã "vô ý" tải lên và lưu trữ thông tin thư điện tử của khoảng 1,5 triệu người dùng trong ba năm vừa qua.
Vấn đề được phát hiện sau khi một nhà nghiên cứu bảo mật thông báo với gã khổng lồ mạng xã hội này về một hệ thống xác thực gây tranh cãi, trong đó yêu cầu người dùng phải cung cấp thông tin đăng nhập (chính là mật khẩu truy cập) vào địa chỉ thư điện tử của họ.
Đây rõ ràng là một quy trình vi phạm trắng trợn quyền riêng tư của người dùng. Sau khi nhận được thông tin từ nhà nghiên cứu trên, Facebook đã có một lời "xin lỗi" muộn màng, trong đó thừa nhận việc đòi hỏi thông tin địa chỉ email "không phải là cách tốt nhất" để thực hiện quá trình xác thực. Mạng xã hội này cũng đã hứa sẽ ngừng yêu cầu những thông tin tương tự. Tuy nhiên, những bằng chứng gần đây cho thấy vụ việc có thể đã diễn biến theo chiều hướng tồi tệ hơn cả bản báo cáo ban đầu.
Theo nguồn tin của Business Insider, một số người dùng khi đăng ký sử dụng Facebook trong thời gian gần đây được yêu cầu phải nhập mật khẩu email của mình để phục vụ cho quá trình xác thực. Ngay sau khi nhập xong mật khẩu email của mình, người dùng sẽ nhận được một thông báo dạng pop-up cho biết những địa chỉ liên hệ trong danh bạ email cá nhân của họ đang được tự động "nhập" lên hệ thống của Facebook nhằm mục đích xây dựng các "kết nối xã hội" của người dùng.
Dưới đây là màn hình yêu cầu mật khẩu email của người dùng khi đăng ký tài khoản Facebook mới, do chuyên trang Business Insider chụp lại:
Và sau đó, Facebook sẽ hiển thị dòng chữ "Đang nhập dữ liệu danh bạ" một cách tự động và người dùng không có cách nào để ngưng quá trình này lại được. Business Insider cho hay, hiện tại Facebook đã loại bỏ "tính năng xác thực" này.
Việc đòi hỏi quyền truy cập vào hộp thư điện tử của người dùng để nhằm mục đích xác thực một dịch vụ của bên thứ ba là một hành vi vô cùng nghiêm trọng xét trên phương diện bảo mật. Tuy nhiên, hành vi tự ý thu thập các dữ liệu cá nhân của người dùng được lưu trong những tài khoản đó – mà không có sự cho phép – thậm chí còn tồi tệ hơn.
Một người phát ngôn của Facebook cho hay đã có khoảng 1,5 triệu người dùng bị thu thập dữ liệu trái phép bắt đầu từ tháng 5 năm 2016. Facebook cũng cho hay những người dùng bị ảnh hưởng sẽ nhận được thông báo trong vài ngày tới, và mạng xã hội này đang chủ động xoá bỏ những thông tin liên hệ của người dùng khỏi hệ thống nội bộ của công ty.
"Cuối tháng trước, chúng tôi đã ngừng sử dụng phương thức xác thực bằng mật khẩu email đối với những người dùng đăng ký tài khoản Facebook mới," người phát ngôn trên cho biết. "Khi chúng tôi kiểm tra lại quy trình xác thực tài khoản mới của mình, chúng tôi đã nhận thấy trong một số trường hợp, các liên hệ trong hộp thư điện tử của người dùng đã vô tình được tải lên Facebook ngay khi người dùng đăng ký tài khoản."
Một người đại diện khác của Facebook bổ sung rằng những thông tin liên hệ trên đã không được chia sẻ với bất kỳ bên thứ ba nào khác, và vấn đề đã được xử lý tận gốc.
Tuy vậy, điều khiến nhiều người bức xúc hơn là việc một nhân viên Facebook thừa nhận việc tải lên các dữ liệu danh bạ của người dùng không chỉ để phục vụ cho việc đề xuất danh sách bạn bè cho thành viên mới mà còn để "cải thiện nội dung quảng cáo".
Kể từ khi vụ bê bối Cambridge Analytica vỡ lở vào năm 2018, trong đó dữ liệu của hơn 87 triệu người dùng đã được thu thập nhằm mục đích thay đổi quan điểm của người dân trong cuộc bỏ phiếu bầu Tổng thống Mỹ, hàng loạt những vụ việc liên quan đến những sai sót trong bảo mật và bảo vệ dữ liệu người dùng của Facebook đã liên tục bị phanh phui.
Tính riêng chỉ trong vài tháng qua, mạng xã hội này đã phải hứng chịu chỉ trích vì kiểm soát không chặt chẽ các hàm giao diện lập trình ứng dụng (API) dẫn đến tình trạng dữ liệu người dùng bị kiểm soát lỏng lẻo và có thể dễ dàng chia sẻ với các công ty bên thứ ba khác; hay vụ việc một nghiên cứu bí mật do Facebook tiến hành đã trả tiền cho các thiếu niên nhằm có được quyền truy cập sâu vào hoạt động của các em trên điện thoại di động, đồng thời làm lộ các thói quen lướt web của những người dùng tuổi teen này. Tiếp đến, Facebook thừa nhận đã lưu trữ hàng trăm triệu mật khẩu Facebook, Facebook Lite và Instagram của người dùng dưới dạng văn bản thuần.
Xa hơn một chút, vào hồi giữa năm ngoái, một lỗ hổng được tìm thấy trên mạng xã hội Facebook đã tự ý thay đổi thiết lập quyền riêng tư khi đăng các bài mới của hơn 14 triệu người dùng sang trạng thái "Công khai", khiến cho gần 7 triệu người dùng bị lộ những hình ảnh không mong muốn. Các nhà thực thi pháp luật của Vương quốc Anh thậm chí còn gọi Facebook là một "tay xã hội đen kỹ thuật số", cáo buộc công ty đã đặt lợi nhuận lên trên "tất cả mọi thứ".
Danh sách những vụ bê bối của Facebook liên quan đến vấn đề bảo mật và quyền riêng tư người dùng có vẻ vẫn đang tiếp tục dài thêm. Trong một động thái mới nhất, Facebook thừa nhận đã "vô ý" tải lên và lưu trữ thông tin thư điện tử của khoảng 1,5 triệu người dùng trong ba năm vừa qua.
Vấn đề được phát hiện sau khi một nhà nghiên cứu bảo mật thông báo với gã khổng lồ mạng xã hội này về một hệ thống xác thực gây tranh cãi, trong đó yêu cầu người dùng phải cung cấp thông tin đăng nhập (chính là mật khẩu truy cập) vào địa chỉ thư điện tử của họ.
Theo nguồn tin của Business Insider, một số người dùng khi đăng ký sử dụng Facebook trong thời gian gần đây được yêu cầu phải nhập mật khẩu email của mình để phục vụ cho quá trình xác thực. Ngay sau khi nhập xong mật khẩu email của mình, người dùng sẽ nhận được một thông báo dạng pop-up cho biết những địa chỉ liên hệ trong danh bạ email cá nhân của họ đang được tự động "nhập" lên hệ thống của Facebook nhằm mục đích xây dựng các "kết nối xã hội" của người dùng.
Dưới đây là màn hình yêu cầu mật khẩu email của người dùng khi đăng ký tài khoản Facebook mới, do chuyên trang Business Insider chụp lại:
Và sau đó, Facebook sẽ hiển thị dòng chữ "Đang nhập dữ liệu danh bạ" một cách tự động và người dùng không có cách nào để ngưng quá trình này lại được. Business Insider cho hay, hiện tại Facebook đã loại bỏ "tính năng xác thực" này.
Việc đòi hỏi quyền truy cập vào hộp thư điện tử của người dùng để nhằm mục đích xác thực một dịch vụ của bên thứ ba là một hành vi vô cùng nghiêm trọng xét trên phương diện bảo mật. Tuy nhiên, hành vi tự ý thu thập các dữ liệu cá nhân của người dùng được lưu trong những tài khoản đó – mà không có sự cho phép – thậm chí còn tồi tệ hơn.
Một người phát ngôn của Facebook cho hay đã có khoảng 1,5 triệu người dùng bị thu thập dữ liệu trái phép bắt đầu từ tháng 5 năm 2016. Facebook cũng cho hay những người dùng bị ảnh hưởng sẽ nhận được thông báo trong vài ngày tới, và mạng xã hội này đang chủ động xoá bỏ những thông tin liên hệ của người dùng khỏi hệ thống nội bộ của công ty.
"Cuối tháng trước, chúng tôi đã ngừng sử dụng phương thức xác thực bằng mật khẩu email đối với những người dùng đăng ký tài khoản Facebook mới," người phát ngôn trên cho biết. "Khi chúng tôi kiểm tra lại quy trình xác thực tài khoản mới của mình, chúng tôi đã nhận thấy trong một số trường hợp, các liên hệ trong hộp thư điện tử của người dùng đã vô tình được tải lên Facebook ngay khi người dùng đăng ký tài khoản."
Một người đại diện khác của Facebook bổ sung rằng những thông tin liên hệ trên đã không được chia sẻ với bất kỳ bên thứ ba nào khác, và vấn đề đã được xử lý tận gốc.
Tuy vậy, điều khiến nhiều người bức xúc hơn là việc một nhân viên Facebook thừa nhận việc tải lên các dữ liệu danh bạ của người dùng không chỉ để phục vụ cho việc đề xuất danh sách bạn bè cho thành viên mới mà còn để "cải thiện nội dung quảng cáo".
Kể từ khi vụ bê bối Cambridge Analytica vỡ lở vào năm 2018, trong đó dữ liệu của hơn 87 triệu người dùng đã được thu thập nhằm mục đích thay đổi quan điểm của người dân trong cuộc bỏ phiếu bầu Tổng thống Mỹ, hàng loạt những vụ việc liên quan đến những sai sót trong bảo mật và bảo vệ dữ liệu người dùng của Facebook đã liên tục bị phanh phui.
Tính riêng chỉ trong vài tháng qua, mạng xã hội này đã phải hứng chịu chỉ trích vì kiểm soát không chặt chẽ các hàm giao diện lập trình ứng dụng (API) dẫn đến tình trạng dữ liệu người dùng bị kiểm soát lỏng lẻo và có thể dễ dàng chia sẻ với các công ty bên thứ ba khác; hay vụ việc một nghiên cứu bí mật do Facebook tiến hành đã trả tiền cho các thiếu niên nhằm có được quyền truy cập sâu vào hoạt động của các em trên điện thoại di động, đồng thời làm lộ các thói quen lướt web của những người dùng tuổi teen này. Tiếp đến, Facebook thừa nhận đã lưu trữ hàng trăm triệu mật khẩu Facebook, Facebook Lite và Instagram của người dùng dưới dạng văn bản thuần.
Xa hơn một chút, vào hồi giữa năm ngoái, một lỗ hổng được tìm thấy trên mạng xã hội Facebook đã tự ý thay đổi thiết lập quyền riêng tư khi đăng các bài mới của hơn 14 triệu người dùng sang trạng thái "Công khai", khiến cho gần 7 triệu người dùng bị lộ những hình ảnh không mong muốn. Các nhà thực thi pháp luật của Vương quốc Anh thậm chí còn gọi Facebook là một "tay xã hội đen kỹ thuật số", cáo buộc công ty đã đặt lợi nhuận lên trên "tất cả mọi thứ".
Theo Vnreview