Facebook Lưu Trữ Triệu Mật khẩu Dưới Dạng Văn bản Thường—Thay Đổi Ngay Của Bạn Ngay Bây Giờ

Bây giờ, đó là khó khăn khi tóm tắt tất cả các sai lầm về quyền riêng tư, lạm dụng, và an ninh của Facebook trong một mô tả gọn gàng. Điều này mới trở nên khó khăn hơn: Vào thứ Năm, theo một báo cáo của Krebs on Security, Facebook đã thừa nhận một lỗi trong hệ thống quản lý mật khẩu của mình đã làm cho hàng trăm triệu mật khẩu người dùng cho Facebook, Facebook Lite và Instagram được lưu trữ dưới dạng văn bản thường trong một nền tảng nội bộ. Điều này có nghĩa là hàng ngàn nhân viên Facebook có thể đã tìm kiếm và tìm thấy chúng. Krebs cho biết những mật khẩu này có từ năm 2012.

Các tổ chức có thể lưu trữ mật khẩu tài khoản một cách an toàn bằng cách trộn chúng với một quy trình mật mã hóa được biết đến là hash trước khi lưu trữ chúng trên máy chủ của họ. Như vậy, thậm chí khi ai đó xâm nhập những mật khẩu đó, họ sẽ không thể đọc được chúng, và máy tính sẽ thấy khó khăn—thậm chí là không thể chức năng—để giải mã chúng. Là một công ty nổi tiếng với tỷ lệ người dùng lên đến tỷ, Facebook biết rằng đây sẽ là một cú đúp lớn cho hacker và đầu tư mạnh mẽ để tránh rủi ro và xấu hổ từ những sự cố an ninh. Thật không may, một cửa sổ mở làm mất giá trị của tất cả những ổ khóa, bulông và bẫy mà tiền có thể mua.

“Như một phần của đợt xem xét an ninh định kỳ vào tháng 1, chúng tôi phát hiện ra rằng một số mật khẩu người dùng đang được lưu trữ dưới dạng đọc được trong hệ thống lưu trữ dữ liệu nội bộ của chúng tôi,” Pedro Canahuati, Phó chủ tịch kỹ thuật, an ninh và quyền riêng tư của Facebook, viết trong một tuyên bố. “Hệ thống đăng nhập của chúng tôi được thiết kế để che giấu mật khẩu bằng cách sử dụng các kỹ thuật làm cho chúng trở nên không đọc được. Để rõ ràng, những mật khẩu này chưa bao giờ hiển thị cho bất kỳ ai bên ngoài Facebook và cho đến nay, chúng tôi không tìm thấy bằng chứng nào chứng minh rằng có ai đó nội bộ đã lạm dụng hoặc truy cập chúng một cách không đúng đắn.”

Canahuati nói rằng Facebook đã sửa lỗi ghi log mật khẩu và công ty sẽ thông báo cho hàng trăm triệu người dùng Facebook Lite, hàng chục triệu người dùng Facebook và hàng chục nghìn người dùng Instagram rằng mật khẩu của họ có thể đã bị tiết lộ. Facebook không có kế hoạch đặt lại mật khẩu cho những người dùng này.

Vào ngày 18 tháng 4, bốn tuần sau khi tiết lộ ban đầu, công ty đã điều chỉnh số lượng tài khoản Instagram bị ảnh hưởng lên đáng kể. Facebook hiện ước tính rằng sự cố đã làm cho "triệu" mật khẩu Instagram được lưu trữ dưới dạng văn bản thường, chứ không phải hàng chục nghìn như ban đầu nghĩ. Facebook cho biết tất cả những người dùng Instagram bị ảnh hưởng sẽ được thông báo theo cách tương tự như nhóm nhỏ hơn. Công ty cũng thêm rằng, "những mật khẩu được lưu trữ này không bị lạm dụng hay truy cập một cách không đúng đắn."

Đối với một mục tiêu nổi bật như vậy, Facebook đã có khá ít sự cố an ninh kỹ thuật và trong trường hợp này dường như không bị xâm phạm. Nhưng hồ sơ hoạt động của công ty đã bị nghiêm trọng tổn thương bởi một vụ vi phạm vào tháng 9, trong đó kẻ tấn công đã đánh cắp dữ liệu lớn từ 30 triệu người dùng bằng cách xâm phạm token truy cập tài khoản của họ—những đánh dấu xác thực được tạo ra khi người dùng đăng nhập.

Vụ vi phạm này gián tiếp giúp Facebook phát hiện ra kho mật khẩu văn bản thường và những lỗi gây ra chúng; sự cố này đã thúc đẩy việc xem xét an ninh và phát hiện lỗ hổng. “Trong quá trình xem xét của chúng tôi, chúng tôi đã xem xét cách chúng tôi lưu trữ một số loại thông tin khác—như mã truy cập—và đã sửa các vấn đề khi chúng tôi phát hiện ra,” theo Canahuati.

"Điều này là tích cực khi họ đang tiên đoán vấn đề," nói Lukasz Olejnik, một cố vấn an ninh mạng độc lập và nghiên cứu viên tại Trung tâm Công nghệ và Quan hệ Toàn cầu tại Đại học Oxford. "Nhưng đây là một vấn đề lớn. Dường như họ đã phát hiện ra vấn đề trong quá trình kiểm tra, vì vậy có lẽ các sai lầm trong quá khứ cộng với các quy định bảo vệ quyền riêng tư mới đang làm cho các kiểm tra này trở nên phổ biến hơn."

Facebook cho biết với MYTOUR rằng mật khẩu bị tiết lộ không phải tất cả được lưu trữ ở một nơi, và vấn đề không phải là kết quả của một lỗi duy nhất trong hệ thống quản lý mật khẩu của nền tảng. Thay vào đó, công ty đã vô tình và tình cờ thu mật khẩu văn bản thường thông qua nhiều cơ chế và hệ thống lưu trữ nội bộ khác nhau, như các crash logs. Facebook nói rằng tính phân tán của vấn đề làm cho nó trở nên phức tạp cả về hiểu và sửa, điều mà công ty nói giải thích tại sao mất gần hai tháng để hoàn thành cuộc điều tra và công bố kết quả.

Một công ty hoạt động ở quy mô lớn như Facebook cần giữ các nhật ký giao thông mạng để hiểu rõ hơn và theo dõi lỗi, gián đoạn, và các sự cố khác có thể xảy ra. Những nhật ký đó sẽ không tránh khỏi việc thu thập bất kỳ dữ liệu mạng nào đang chảy qua. Việc Facebook bắt được mật khẩu trong quá trình này là điều hợp lý; câu hỏi là tại sao Facebook giữ lại các nhật ký chứa dữ liệu nhạy cảm như vậy trong thời gian dài, và tại sao công ty có vẻ không nhận thức được nội dung của chúng.

“Dữ liệu được thu nhặt ngẫu nhiên trong quá trình gỡ lỗi, và với quy mô mạng lưới mà họ đang sử dụng, điều này không phải là điều hiếm gặp,” nói Kenn White, một kỹ sư an ninh và giám đốc Dự án Kiểm tra Mật mã Mở. “Nhưng nếu Facebook giữ lại nó trong nhiều năm, điều này đặt ra nhiều câu hỏi về kiến trúc của họ. Họ có trách nhiệm bảo vệ những nhật ký gỡ lỗi này và kiểm tra và hiểu rõ những gì họ đang giữ lại. Một số cách, đó là dữ liệu nhạy cảm nhất mà họ nắm giữ, bởi vì nó là nguyên thủy và không được quản lý.”

Twitter đã xử lý một lỗi ghi log mật khẩu văn bản thường rất tương tự vào tháng Năm ngoái; nó cũng không yêu cầu người dùng đặt lại mật khẩu, nói rằng không có lý do gì để tin rằng mật khẩu thực sự bị xâm phạm. Tương tự, Facebook nói rằng cuộc điều tra của họ không có dấu hiệu nào cho thấy có ai đó có ý định truy cập vào hàng trăm triệu mật khẩu lạc lõng của họ để đánh cắp chúng. Nhưng dù bạn có nhận thông báo về mật khẩu từ Facebook hay không, bạn nên thay đổi nó làm biện pháp phòng ngừa.

Để thay đổi trên phiên bản desktop của Facebook, điều hướng đến Cài đặt → Bảo mật và Đăng nhập → Thay đổi mật khẩu. Trên Facebook cho iOS và Android, điều hướng đến Cài đặt & Quyền riêng tư → Cài đặt → Bảo mật và Đăng nhập → Thay đổi mật khẩu. Trên Facebook Lite cho Android, điều hướng đến Cài đặt → Bảo mật và Đăng nhập → Thay đổi mật khẩu. Việc thay đổi mật khẩu tài khoản trên cả Facebook chính và Facebook Lite sẽ thay đổi nó cho cả hai.

Trên Instagram, điều hướng đến Cài đặt → Quyền riêng tư và Bảo mật → Mật khẩu để thay đổi mật khẩu của bạn. Instagram và Facebook không sử dụng cùng một mật khẩu, nhưng có thể được liên kết để đăng nhập vào một với một cái khác.

Trong khi bạn đang làm điều này, cách dễ nhất để theo dõi và quản lý mật khẩu của bạn để bạn có thể thay đổi chúng dễ dàng sau những sự cố như vậy là thiết lập một quản lý mật khẩu. Hãy lấy một ngay bây giờ.

Facebook nói rằng vấn đề mật khẩu văn bản thường đã được khắc phục, và họ không nghĩ rằng sẽ có ảnh hưởng dài hạn từ sự cố này, bởi vì mật khẩu thực sự chưa bao giờ bị đánh cắp. Nhưng với loạt lỗi không ngừng của công ty, khó để biết điều gì sẽ xảy ra tiếp theo.

“Tôi hiểu rằng họ đang làm việc ở quy mô kinh ngạc,” White nói. “Nhưng những thứ này là những viên ngọc quý ngay đó.”

Cập nhật ngày 18 tháng 4, 2019 2:10 chiều ET để bao gồm một sửa đổi lớn cho ước tính của Facebook về số lượng mật khẩu tài khoản Instagram bị tiết lộ.

Những Sáng Tạo Tuyệt Vời Từ MYTOUR

• Âm nhạc làm thế nào ảnh hưởng đến não của bạn? Mọi cách có thể tưởng tượng được
• Phần lớn ứng dụng diệt virus Android là rác rưởi
• Làm thế nào các nhà điều tra trích xuất dữ liệu từ hộp đen máy bay bị rơi
• Facebook không phải là một độc quyền, nhưng nó nên bị phân tách
• Trung Quốc đang nhanh chóng bắt kịp Mỹ trong nghiên cứu trí tuệ nhân tạo—nhanh chóng
• 👀 Đang tìm kiếm những công nghệ mới nhất? Kiểm tra các hướng dẫn mua sắm và ưu đãi tốt nhất của chúng tôi suốt cả năm
• 📩 Khao khát thêm nhiều phân tích sâu sắc hơn về chủ đề yêu thích tiếp theo của bạn? Đăng ký nhận bản tin Backchannel của chúng tôi