Facebook Có Nhiều Năm Để Khắc Phục Lỗ Hổng Rò Rỉ Dữ Liệu của 500 Triệu Người Dùng | MYTOUR

Buzz

Ngày cập nhật gần nhất: 15/4/2026

Nội dung bài viết

Facebook Có Nhiều Năm Để Khắc Phục Lỗ Hổng Rò Rỉ Dữ Liệu của 500 Triệu Người Dùng

Tên hồ sơ, địa chỉ email và số điện thoại của hơn 500 triệu người dùng Facebook đã được công khai trực tuyến suốt gần một tuần. Mất vài ngày cho Facebook để cuối cùng thừa nhận nguyên nhân gốc, một vấn đề mà công ty nói đã sửa trong năm 2019. Nhưng bây giờ các nhà nghiên cứu đang nói rằng Facebook đã biết về những lỗ hổng tương tự từ nhiều năm trước đó, và nó đã có thể nỗ lực nhiều hơn để ngăn chặn việc thu thập hàng loạt từ đầu.

Vấn đề ở chỗ là “nhập trình xuất nội dung” của Facebook, một tính năng quét danh bạ của người dùng để tìm những người họ biết cũng sử dụng Facebook. Nhiều mạng xã hội và ứng dụng truyền thông cung cấp một phiên bản nào đó của tính năng này như một loại chất bôi trơn xã hội. Nhưng công cụ nhập liên lạc của Facebook cụ thể đã gặp nhiều vấn đề đã biết và những sửa đổi giả mạo suốt nhiều năm.

“Tôi chắc chắn rằng các công ty khác cũng đang lo lắng. Đó không chỉ là Facebook,” nói Inti De Ceukelaire, một nhà nghiên cứu an ninh người Bỉ báo cáo một lỗ hổng trong tính năng nhập liên lạc của Facebook cho công ty vào năm 2017. “Nhưng đối với Facebook, đó là một chủ đề tái diễn rằng mỗi khi tăng trưởng đang bị đe dọa, họ sẽ cân nhắc hai lần trước khi sửa chữa điều gì đó để bảo vệ quyền riêng tư của người dùng.”

De Ceukelaire và các nhà nghiên cứu khác đã cảnh báo Facebook về những vấn đề tương tự. Năm 2012, Facebook thay đổi gây rò rỉ số điện thoại và địa chỉ email thông qua công cụ “Tải xuống Thông tin Của Bạn”, mà người dùng không tự cung cấp thông qua tính năng nhập liên lạc. Một nhà nghiên cứu tiết lộ vấn đề này cho Facebook vào năm 2013; vào năm 2018, Văn phòng Quản lý Quyền riêng tư của Canada và Văn phòng Ủy ban Bảo vệ Dữ liệu của Ireland đã điều tra vấn đề này.

"Văn phòng của chúng tôi nhận thấy rằng FB không có biện pháp an ninh thích hợp trước khi xâm phạm để bảo vệ thông tin cá nhân của người dùng và người không sử dụng trước sự cố,” cuộc điều tra kết luận.

Sự cố đó khác biệt so với tranh cãi Facebook gần đây hơn, trong đó kẻ tấn công có thể "scrape” Facebook bằng cách liệt kê các loạt số điện thoại có thể từ hơn 100 quốc gia, đưa chúng vào công cụ nhập liên lạc và thao tác nó để trả về tên, Facebook IDs và dữ liệu khác mà người dùng đã đăng trên hồ sơ của họ. Tuy nhiên, sự cố này vẫn nói về khả năng của công cụ nhập liên lạc để truy cập dữ liệu nhạy cảm và cần phải tìm kiếm cẩn thận lỗi và hành vi vô ý trong tính năng.

Nghiên cứu của De Ceukelaire năm 2017 liên quan trực tiếp hơn đến các phương pháp mà kẻ tấn công đã sử dụng để scrape bộ dữ liệu lớn gần đây. “Tôi phát hiện rằng khá đơn giản để tiết lộ số điện thoại cá nhân trên Facebook, khám phá một số điện thoại của các ngôi sao và chính trị gia Bỉ,” De Ceukelaire viết vào tháng 2 năm 2017. “Mặc dù mẹo này chỉ hoạt động ở các quốc gia nhỏ như Bỉ (+/- 11.2 triệu người), một số lượng đáng kể người bị ảnh hưởng bởi rò rỉ quyền riêng tư này đơn giản nhưng hiệu quả.”

De Ceukelaire đã tìm ra một cách thủ công và hơi hạn chế, nhưng vẫn hiệu quả, để liệt kê số điện thoại và trích xuất thông tin người dùng tương ứng từ Facebook qua tính năng nhập liên lạc. Anh đã gửi những phát hiện đó đến chương trình bug bounty của Facebook, nhưng trong các tương tác được xem xét bởi MYTOUR, công ty nói rằng vấn đề này không đủ điều kiện để nhận tiền thưởng.

Nhà nghiên cứu đã đặt ra hai điểm quan trọng. Đầu tiên, kẻ tấn công có thể tìm kiếm cách mạnh mẽ và hiệu quả hơn để lạm dụng tính năng nhập liên lạc thông qua các cuộc tấn công liệt kê số điện thoại. Lúc đó, Facebook nói với De Ceukelaire rằng nó có thể xem xét lại giới hạn tốc độ của mình—số lượng tối đa các đơn nhập liên lạc có thể thực hiện—cho tính năng nhập liên lạc, nhưng nó không xem vấn đề này là một lỗ hổng. De Ceukelaire còn chỉ ra rằng người dùng có thể không hiểu rằng họ đặt kiểm soát quyền riêng tư cho thông tin trên hồ sơ Facebook của mình có thể bị đảo lộn bởi một cài đặt quyền riêng tư Facebook khác biệt được biết đến là “Ai có thể tìm kiếm tôi.”

Facebook cho phép bạn đặt số điện thoại và địa chỉ email của mình làm hiển thị cho “Chỉ có tôi.” Nhưng nó cũng có một cài đặt hoàn toàn riêng biệt, được gọi là “Ai có thể tìm kiếm tôi,” quy định liệu ai có thể tìm thấy bạn trên Facebook bằng cách sử dụng số điện thoại hoặc địa chỉ email của bạn thông qua công cụ nhập liên lạc. Ngay cả khi số điện thoại của bạn được đặt là “Chỉ có tôi” trên hồ sơ của bạn, nó vẫn có thể được đặt là “Mọi người” trong “Ai có thể tìm kiếm tôi.” Trong trường hợp đó, nếu ai đó đoán được số điện thoại của bạn, họ có thể liên kết nó với thông tin Facebook công khai khác của bạn.

Khi De Ceukelaire thực hiện nghiên cứu, Facebook thậm chí còn không cung cấp tùy chọn “Chỉ có tôi” trong điều khiển “Ai có thể tìm kiếm tôi.” Các tùy chọn là “Mọi người,” “Bạn bè của bạn bè,” và “Bạn bè.” Vào tháng 5 năm 2019, công ty đã thêm tùy chọn “Chỉ có tôi.” Điều này có thể được tìm thấy tại “Cài đặt & Quyền riêng tư,” “Cài đặt,” “Quyền riêng tư,” và cuộn xuống “Cách Mọi Người Tìm Kiếm và Liên Lạc Bạn” để tìm các điều khiển địa chỉ email và số điện thoại trong “Ai có thể tìm kiếm tôi.” Tính năng này được đặt mặc định là “Mọi người.”

Và sau đó là bộ dữ liệu người dùng năm 2019 giờ đã trở thành công cộng. Facebook vẫn chưa giải thích cơ chế kỹ thuật cụ thể nào đã tạo ra nó. Nhưng một nhà nghiên cứu tự xưng là @ZHacker13 đã gửi báo cáo lỗ hổng vào tháng 8 năm 2019 về một lỗi trong tính năng nhập liên lạc của Instagram có thể rút dữ liệu người dùng thông qua một cuộc tấn công liệt kê số điện thoại tự động và hiệu quả hơn thậm chí cả cuộc tấn công mà De Ceukelaire thực hiện vào năm 2017. Facebook cuối cùng đã nói vào tháng 9 năm 2019 rằng đội bảo mật của họ “đã biết vấn đề này do một phát hiện nội bộ.”

Ban đầu, tuy nhiên, Facebook nói với @ZHacker13 rằng các lỗ hổng liệt kê là “rủi ro cực kỳ thấp” trừ khi chúng cụ thể "cho phép một kẻ tấn công xác định xem địa chỉ email hoặc số điện thoại di động cụ thể nào được liên kết với,” mà phát hiện của @ZHacker13 đã làm được. Vào tháng 9 năm 2019, Forbes đưa tin về cuộc phiêu lưu tiết lộ của @ZHacker13.

“Ban đầu Facebook từ chối công nhận báo cáo của tôi là hợp lệ, ngay cả sau khi tôi cung cấp cho họ một bằng chứng đầy đủ,” @ZHacker13 nói với MYTOUR vào thứ Năm. “Sau khi tôi nói chuyện với Forbes, họ nhận ra họ đã phạm một sai lầm, sửa lỗi và trả cho tôi một khoản tiền thưởng nhỏ là 4.000 đô la.”

Trong tuyên bố chính thức về lỗ hổng nhập liên lạc Instagram, Facebook viết, “Điều này có thể cho phép một người dùng độc hại giả mạo Instagram và tìm kiếm số điện thoại để xác định người dùng thuộc về ai.”

Tuyên bố này lặp lại giải thích của Facebook vào thứ Ba về lỗ hổng cho phép một đối tượng rút dữ liệu từ hơn 500 triệu người dùng: “Chúng tôi đã thay đổi để ngăn chặn những đối tượng độc hại sử dụng phần mềm để giả mạo ứng dụng của chúng tôi và tải lên các tập số điện thoại lớn để xem xem có số nào phù hợp với người dùng Facebook.”

Facebook liên tục nhấn mạnh trong tuần này rằng việc ngăn chặn scrapers là một trò chơi chạy đua vô tận. Công ty cũng cho rằng dữ liệu bị rò rỉ không nhạy cảm như thông tin sức khỏe hoặc tài chính. Facebook cũng nói rằng lấy cắp dữ liệu thông qua scraping không có nghĩa là các kẻ tấn công đã trộm dữ liệu “bằng cách xâm phạm hệ thống của chúng tôi.” Tuy nhiên, bằng cách không chịu khó trao giải thưởng bug bounty cho phát hiện của Instagram, Facebook đã công nhận công khai rằng nó coi đây là một vấn đề loại lỗ hổng với công cụ nhập liên lạc.

Một số chi tiết về thời gian của sự rò rỉ gần đây vẫn chưa rõ ràng. Facebook nói rằng việc scraping diễn ra “trước tháng 9 năm 2019,” nhưng nó chưa làm sáng tỏ chính xác khi nào nó xảy ra, có bao nhiêu sự cố đã xảy ra, hoặc khi nào Facebook biết về hoạt động độc hại. Phân tích bộ dữ liệu có vẻ chỉ ra rằng nó đã được ghép từ nhiều phiên scraping bắt đầu ít nhất từ năm 2018, nếu không sớm hơn, và có vẻ đã kéo dài đến tháng 6 năm 2019, nếu không là sau đó. Tuy nhiên, lựa chọn từ ngữ cẩn thận của công ty, có lẽ phản ánh một lo ngại rằng nó có thể bị điều tra vì không tiết lộ sự việc rò rỉ dữ liệu theo các luật và thỏa thuận khác nhau trên thế giới, bao gồm cả Cơ quan Thương mại Liên bang Mỹ. Facebook đã ký thỏa thuận với FTC vào cả năm 2011 và tháng 6 năm 2019 có vẻ như đã yêu cầu công ty phải tiết lộ phát hiện đó đến cơ quan này.

“Với cách họ cố gắng thể hiện một cách cẩn thận rằng họ không bị tấn công, tôi nghĩ họ có thể đang rất chú ý đến thực tế rằng họ có thể đối mặt với trách nhiệm lớn," nói cựu chuyên gia công nghệ trưởng của Ủy ban Thương mại Liên bang Ashkan Soltani.

Các câu hỏi thường gặp

Facebook có biết về lỗ hổng dữ liệu của 500 triệu người dùng không?

Có, Facebook đã biết về lỗ hổng này từ nhiều năm trước và cuối cùng đã thừa nhận nguyên nhân gốc của sự cố vào năm 2021.

Có biện pháp nào để bảo vệ dữ liệu cá nhân trên Facebook không?

Có, người dùng có thể thiết lập quyền riêng tư cho số điện thoại và địa chỉ email của mình để hạn chế khả năng tìm kiếm từ người khác trên Facebook.

Nguyên nhân nào dẫn đến việc lộ dữ liệu người dùng trên Facebook?

Nguyên nhân chính là do tính năng nhập liên lạc của Facebook cho phép người dùng tìm kiếm bạn bè qua số điện thoại, dẫn đến việc dữ liệu bị thu thập trái phép.

Facebook đã thực hiện những gì để khắc phục lỗ hổng này không?

Có, Facebook đã sửa đổi tính năng nhập liên lạc và cải thiện các biện pháp bảo mật để ngăn chặn việc thu thập dữ liệu trái phép.

Làm thế nào để người dùng kiểm soát thông tin cá nhân trên Facebook?

Người dùng có thể vào phần cài đặt quyền riêng tư để chọn ai có thể tìm thấy mình qua số điện thoại và email, từ đó nâng cao bảo mật thông tin cá nhân.

Làm thế nào Facebook đối phó với vấn đề rò rỉ dữ liệu trong tương lai?

Facebook cam kết nâng cao các biện pháp bảo mật và thường xuyên kiểm tra để phát hiện sớm các lỗ hổng, nhằm bảo vệ thông tin người dùng tốt hơn.

Nội dung từ Mytour nhằm chăm sóc khách hàng và khuyến khích du lịch, chúng tôi không chịu trách nhiệm và không áp dụng cho mục đích khác.

Nếu bài viết sai sót hoặc không phù hợp, vui lòng liên hệ qua Zalo: 0978812412 hoặc Email: [email protected]