Vụ Hack Facebook Tiết Lộ Một Thất Bại Trên Toàn Internet

Facebook đã nhận được rất nhiều lời trách nhiệm về vụ việc xâm phạm dữ liệu lịch sử, cho phép hacker không chỉ kiểm soát tài khoản của ít nhất 50 triệu người dùng mà còn truy cập vào các trang web bên thứ ba mà những người dùng đó đăng nhập bằng Facebook. Nhưng điều làm cho tình hình trở nên tồi tệ hơn nhiều là việc khắc phục vấn đề này, theo nhiều cách, nằm ngoài tay Facebook.

Một số trang web phổ biến nhất trên web đã không triển khai các biện pháp bảo mật cơ bản mà nếu họ đã thực hiện cẩn thận hơn với tính năng Đăng Nhập Một Lần của Facebook—cho phép bạn sử dụng tài khoản Facebook để truy cập các trang web và dịch vụ khác, thay vì tạo một mật khẩu duy nhất cho mỗi trang—tác động có thể đã được giới hạn chủ yếu trong Facebook. Thay vào đó, những hacker có thể tiềm ẩn truy cập mọi thứ từ tin nhắn riêng tư trên Tinder đến thông tin hộ chiếu trên Expedia, tất cả mà không để lại dấu vết. Điều gây sốc hơn nữa: Bạn có thể bị đe dọa ngay cả khi bạn chưa bao giờ sử dụng Facebook để đăng nhập vào một trang web bên thứ ba.

Trong một bài báo được công bố vào tháng 8, nhà khoa học máy tính Jason Polakis và đồng nghiệp của ông phân tích nhiều cách mà hacker có thể lợi dụng công cụ Đăng Nhập Một Lần của Facebook. Facebook không phải là duy nhất cung cấp tính năng này; Google cũng có phiên bản riêng của nó, cũng như nhiều nhà cung cấp danh tính khác. Nhưng theo Polakis, của Facebook được triển khai rộng rãi nhất.

Có những lý do hợp lý khiến các trang web và dịch vụ bên thứ ba cho phép người dùng đăng nhập bằng Facebook. Đầu tiên, nó rất dễ và giúp người dùng tránh khỏi phiền phức của việc tạo thêm một mật khẩu nữa. Và, ít nhất là trong lý thuyết, nó làm cho quá trình đăng nhập an toàn hơn. “Việc thiết lập một cơ sở hạ tầng an toàn, xử lý đầu vào của người dùng, có kết nối được mã hóa và sử dụng các cơ chế bảo mật mới nhất khá khó khăn,” Polakis nói. “Vì vậy thay vì phụ thuộc vào hàng ngàn trang web nhỏ, bạn phụ thuộc vào một trang web có các quy tắc bảo mật tốt hơn.”

Tất nhiên, những lợi ích đó đi kèm với những rủi ro liên quan rõ ràng. Nếu ai đó chiếm đóng Đăng Nhập Một Lần—của Facebook, Google hoặc bất kỳ ai—ảnh hưởng có thể lan rộng khắp. Các nhà nghiên cứu đã cố gắng xác định phạm vi đầy đủ của thiệt hại tiềm ẩn khi một tài khoản bị đánh cắp. Hacker có thể thu thập dữ liệu gì? Người dùng làm sao biết họ đã bị hack? Và điều gì, nếu có, nạn nhân có thể làm về điều đó? Lúc đó, những phát hiện đó làm kinh ngạc. Bây giờ chúng ta có vẻ như thấy nó như một dự báo kỳ quái.

Vào thứ Sáu, Facebook công bố rằng các hacker đã tận dụng ba lỗ hổng riêng biệt để thu thập 50 triệu access token của người dùng, đó là những chiếc chìa khóa kỹ thuật số đến tài khoản Facebook. Với những token đó, hacker có thể kiểm soát đầy đủ tài khoản Facebook của người dùng, nhưng do tính năng Đăng nhập Một lần (Single Sign-On), họ cũng có thể truy cập bất kỳ trang web nào mà những 50 triệu người dùng đó đăng nhập bằng Facebook. Điều đó tương tự, mặc dù không giống nhau hoàn toàn, với tình huống mà Polakis và đồng nghiệp nghiên cứu. Trong trường hợp đó, các nhà nghiên cứu có thể chiếm đoạt cookies trên thiết bị của người dùng bằng một lỗ hổng đã được vá trong ứng dụng Facebook cho iOS. Nhưng, theo Polakis, khi một kẻ tấn công kiểm soát tài khoản Facebook của ai đó, quyền truy cập của họ đến bên thứ ba sẽ chủ yếu giống nhau.

Sau khi Facebook phát hiện ra sự việc xâm phạm, họ đã đặt lại access token cho tất cả 50 triệu người dùng bị ảnh hưởng và thêm 40 triệu người có thể bị ảnh hưởng. "Chúng tôi vẫn đang tiến hành điều tra [để xem] liệu những kẻ tấn công có lấy được quyền truy cập vào những ứng dụng của bên thứ ba hay không," Facebook thông báo thông tin tới MYTOUR qua người phát ngôn Katy Dormer.

Có những cách mà các công ty bên thứ ba có thể và nên bảo vệ người dùng của họ trong trường hợp Single Sign-On bị xâm phạm. Vấn đề, theo Polakis nói, là rất ít trong số họ thực hiện điều đó.

Ví dụ, các trang web sử dụng Single Sign-On có thể tự động đăng nhập cho bạn nếu bạn đã đăng nhập vào Facebook ở nơi khác trong trình duyệt của bạn, hoặc họ có thể yêu cầu bạn nhập mật khẩu Facebook mỗi lần bạn đăng nhập. Kịch bản thứ hai an toàn hơn, vì hacker sẽ cần nhiều hơn chỉ là access token của người dùng để vào các trang web bên thứ ba. Họ sẽ cần cả mật khẩu nữa.

Tuy nhiên, trong một cuộc kiểm tra thủ công của 95 trang web và di động phổ biến nhất cung cấp Single Sign-On từ Uber và Airbnb đến The New York Times và The Washington Post, các nhà nghiên cứu phát hiện chỉ có hai trang yêu cầu người dùng nhập mật khẩu Facebook mỗi lần họ đăng nhập. Polakis mô tả đó là một trường hợp kinh điển của các công ty chọn sự thuận tiện hơn là an ninh. "Nếu tất cả các trang web đã kích hoạt tùy chọn đó, trong trường hợp này, kẻ tấn công sẽ không thể truy cập bên thứ ba, vì họ sẽ không có mật khẩu Facebook của bạn," ông nói.

Các trang web bên thứ ba cũng có thể cho phép người dùng xem hoạt động trên tài khoản của họ. Ví dụ, Facebook đã khuyến nghị người dùng xem "phiên hoạt động" như một cách để phát hiện bất kỳ truy cập không được ủy quyền nào. Nhưng không phải mọi trang web đều cung cấp theo dõi số liệu này. Cũng như họ không cung cấp cách xóa phiên hoạt động. Trên thực tế, trong số 95 trang web mà Polakis và các tác giả khác nghiên cứu, chỉ có 10 trang cung cấp cách nào đó để xóa phiên. Điều này không chỉ làm cho việc bắt giữ kẻ thủ phạm trở nên khó khăn, mà còn khiến cho việc chặn họ trở nên gần như không thể.

Polakis và đội ngũ của ông cũng phân tích một phần của các trang web để xem điều gì xảy ra khi bạn thay đổi địa chỉ email hoặc mật khẩu người dùng trên những trang web bên thứ ba đó. Họ phát hiện rằng trong số 29 trang web, có 15 trang cho phép kẻ tấn công thay đổi địa chỉ email của tài khoản mà không cần nhập mật khẩu; trong số đó, có sáu trang cho phép đặt mật khẩu mà không cần nhập mật khẩu cũ. Phần còn lại yêu cầu kẻ tấn công thực hiện một quy trình đặt lại mật khẩu chính thức. Nhưng nếu kẻ tấn công đã đặt lại địa chỉ email trên trang web đó, họ chỉ đơn giản là định tuyến email đặt lại mật khẩu đến chính họ.

Dormer của Facebook nói rằng công ty đưa ra lời khuyên cho nhà phát triển về “thực hành tốt nhất,” và hiện đang “chuẩn bị thêm các đề xuất cho tất cả nhà phát triển phản ứng đối với sự cố này và bảo vệ người dùng trong tương lai.

Nhưng có lẽ điều đáng kinh ngạc nhất trong bài nghiên cứu là người ta không nhất thiết phải đăng nhập vào các trang web của bên thứ ba bằng Facebook để bị tiết lộ. Cho ví dụ, nếu bạn đăng nhập vào một trang web với cùng địa chỉ email được liên kết với tài khoản Facebook của bạn. Nếu một kẻ tấn công cố gắng đăng nhập vào trang web đó bằng cách sử dụng Single Sign-On của Facebook, các nhà nghiên cứu phát hiện rằng một số trang web—bao gồm ứng dụng tập luyện Strava—sẽ liên kết hai tài khoản.

"Nếu bạn có một tài khoản Facebook, thậm chí nếu bạn chưa bao giờ sử dụng nó để đăng nhập vào bất kỳ trang web nào khác...một kẻ tấn công vẫn có thể sử dụng token Facebook và truy cập vào tài khoản người dùng trên các trang web của bên thứ ba,” Polakis nói.

Vậy các nhà nghiên cứu có thể thu thập được những dữ liệu gì bằng cách xâm nhập vào những trang web bên thứ ba này? Trong các thí nghiệm kiểm soát, Polakis và đồng nghiệp đã có thể theo dõi chuyến đi của một nạn nhân theo thời gian thực trên Uber. Trong một trường hợp, họ đã tip cho tài xế từ thiết bị của kẻ tấn công sau khi chuyến đi kết thúc. Trên Tinder, họ có thể đọc những tin nhắn riêng tư của người dùng, ngay cả khi những tin nhắn này xuất hiện như chưa đọc đối với tài khoản bị ảnh hưởng. Từ Expedia, họ lấy cắp số hộ chiếu và thông tin TSA.

Tất cả chỉ từ một thí nghiệm với một số tài khoản và trang web bên thứ ba bị chiếm đóng. Cái cuộc tấn công mà Facebook tiết lộ, Polakis nói, "quá lớn về quy mô," ảnh hưởng đến hàng chục triệu người dùng trên hàng nghìn trang web.

MYTOUR liên hệ với một số nhà phát triển để nhận ý kiến, bao gồm Strava, Tinder, Expedia và Airbnb. Uber, từ phía họ, nói rằng họ đã thu hồi token cho những tài khoản mà công ty tin rằng có thể gặp nguy cơ. Theo người phát ngôn Melanie Ensign, điều đó có nghĩa là bất kỳ ai đăng nhập vào Uber bằng thiết bị mới, tuy nhiên không rõ trong khoảng thời gian nào. "Mặc dù chúng tôi chưa thấy bằng chứng cho thấy kỹ thuật này đã được sử dụng trên nền tảng của chúng tôi, đội ngũ và hệ thống an ninh của chúng tôi liên tục tìm kiếm vấn đề có thể phát sinh và sẽ thông báo cho người dùng khi chúng tôi phát hiện hoạt động đáng ngờ trên tài khoản của họ," Ensign nói.

Hiện tại, Facebook đang xem xét xem việc đặt lại access token có đủ để ngăn chặn kẻ tấn công truy cập vào những trang web bên thứ ba trong tương lai hay không. (Polakis nói rằng dựa trên nghiên cứu của ông, điều này không đủ.) Quy mức thiệt hại đã được gây ra trong 14 tháng khi lỗ hổng này hoạt động vẫn chưa biết. Facebook vẫn chưa chia sẻ những đề xuất cụ thể cho nhà phát triển, nhưng Polakis có một đề xuất: Single Sign-Off. Nó sẽ mang lại cho người dùng cách thuận tiện để thu hồi ngay lập tức quyền truy cập từ mọi trang web kết nối với tài khoản Facebook của họ và vô hiệu hóa phiên của kẻ tấn công.

Facebook chắc chắn đáng được xem xét. Nó đã đẩy mình vào mọi góc của internet hơn một thập kỷ, thường xuyên mà không cân nhắc đến hậu quả của sự phổ biến của mình. Nhưng điều cũng rõ ràng là, vì lợi ích của việc giúp mọi người dễ dàng hơn trong việc dành nhiều thời gian hơn để vuốt và nhấp qua các trang web và ứng dụng của họ, các đại gia web khác cũng đã làm phản lại người dùng của họ. Và bây giờ mọi người sẽ phải trả giá.

Báo cáo thêm bởi Louise Matsakis.

• Các trang web có thể sử dụng cảm biến của điện thoại của bạn mà không cần hỏi
• Làm thế nào những người nhảy tốt nhất trên thế giới có thể bay cao đến vậy
• 25 năm của những dự đoán và lý do tại sao tương lai không bao giờ đến
• Trường hợp cho những loại kháng sinh đắt tiền
• Bên trong cuộc hành trình chỉ dành cho phụ nữ tới Cực Bắc
• Đang tìm kiếm thêm? Đăng ký nhận bản tin hàng ngày của chúng tôi và đừng bao giờ bỏ lỡ những câu chuyện mới nhất và tuyệt vời nhất của chúng tôi