Lỗi bảo mật của Facebook cho phép hacker kiểm soát hơn 50 triệu tài khoản

CEO Mark Zuckerberg phản hồi về vấn đề này trong một cuộc gọi tới các phóng viên: "Đây là một vấn đề về an ninh rất nghiêm trọng và chúng tôi rất nghiêm túc giải quyết nó."

Công ty cho biết, hôm thứ Ba, đội ngũ kỹ sư của họ phát hiện ra rằng các hacker đã tìm được lỗ hổng trong mã bảo mật liên quan đến tính năng "Xem với tư cách khác" (View As). Sau một chi tiết bất thường xuất hiện trong hoạt động của người dùng, Facebook đã nhận thấy cuộc tấn công hoàn toàn có thể xảy ra.

Tính năng "View As" cho phép người dùng xem trang cá nhân của mình với tư cách là một người dùng khác. Lỗ hổng này, trong đó có bao gồm 3 lỗi riêng biệt, cũng cho phép các hacker truy cập vào đoạn mã token - đoạn mã số, giúp người dùng có thể đăng nhập mà không cần nhập lại mật khẩu - có thể sử dụng để kiểm soát tài khoản của người khác.

Gần 50 triệu tài khoản đã bị lấy mã token và Facebook cũng đã cài đặt lại tất cả những đoạn mã này. Công ty cũng cài đặt lại mã token cho thêm 40 triệu tài khoản đã sử dụng tính năng "View As" trong năm vừa rồi, nâng tổng số lên 90 triệu tài khoản.

Việc cài đặt yêu cầu người dùng phải nhập lại mật khẩu khi đăng nhập lại hoặc khi đang sử dụng một ứng dụng khác yêu cầu phải đăng nhập Facebook. Người dùng cũng sẽ nhận được một thông báo để giải thích về vấn đề này.

Ngoài ra, Facebook cũng đã tạm dừng tính năng "View As" để kiểm tra mức độ bảo mật. Công ty cho biết, lỗi này đã được khắc phục vào tối thứ Năm và đã gửi thông báo đến các cơ quan thực thi pháp luật, bao gồm FBI, Uỷ ban Bảo vệ Dữ liệu Ailen (IDPC) nhằm xử lý các vấn đề về Quy định Bảo vệ Dữ liệu chung (GDPR).

Facebook cho hay, họ mới bắt đầu điều tra và chưa xác định được liệu có thông tin nào bị lợi dụng hay không. Tuy nhiên, cuộc điều tra ban đầu cho thấy không có thông tin người dùng nào bị đánh cắp hoặc lạm dụng. Các hacker đã truy vấn hệ thống API của Facebook, cho phép các ứng dụng khác kết nối với nền tảng này, nhằm lấy được nhiều thông tin hơn. Công ty vẫn chưa chắc chắn liệu các hacker có sử dụng những thông tin đã đánh cắp này hay không, cũng không rõ ai là người đứng sau vụ việc này.

Facebook cho biết người dùng không cần phải thay đổi mật khẩu. Nếu có thêm các tài khoản bị ảnh hưởng thì họ sẽ ngay lập tức cài đặt lại mã token cho tài khoản đó. Hiện số lượng nhân viên đang giải quyết những vấn đề về an ninh cũng đã tăng gấp đôi, từ 10.000 lên 20.000 nhân sự.

Cổ phiếu của Facebook vốn đã giảm 1,5%, sau khi thông báo được đưa ra, sau đó tiếp tục giảm và dừng ở mức 2,6% khi chốt phiên.