Lỗ hổng Facebook làm lộ số điện thoại của người dùng

Lỗi bảo mật đã trở thành “chuyện cơm bữa” với các dịch vụ online. Tuy nhiên, phát hiện mới được cho là nghiêm trọng vì nó ảnh hưởng đến 1,5 tỷ thành viên của Facebook.

Reza Moaiandin, Giám đốc kỹ thuật tại công ty Salt Agency, phát hiện một lỗi trong Facebook có thể cho phép hacker biết được một số điện thoại nào đó sẽ tương ứng với tài khoản nào kể cả khi họ đã chọn Private (riêng tư).

Cụ thể, hộp tìm kiếm của Facebook hỗ trợ các thành viên tìm kiếm bạn bè trên Facebook bằng cách gõ tên. Nhưng nhiều người không biết rằng họ có thể nhập số điện thoại mà vẫn ra kết quả. Để số điện thoại ở chế độ ẩn chỉ khiến nó không hiển thị trên tài khoản cá nhân, chứ vẫn xuất hiện trong kết quả tìm kiếm, tức bất cứ ai cũng có thể tra cứu ra tài khoản của bạn bằng số điện thoại hoặc địa chỉ e-mail.

Để thử nghiệm, phóng viên VnExpress đã nhập một vài số điện thoại ngẫu nhiên (chưa lưu trong danh bạ và cũng chưa kết bạn trên Facebook) và nhanh chóng biết biết được tài khoản Facebook của người đó với tên, tuổi, nơi ở, công việc… (với điều kiện chủ nhân số điện thoại đó có lập Facebook).

Khi nhập một số điện thoại vào ô tìm kiếm, người dùng có thể tra được số điện thoại đó thuộc về ai (nếu người kia có tài khoản Facebook).

Moaiandin cho hay, vấn đề sẽ trở nên đặc biệt nguy hiểm vì hacker chỉ cần viết một đoạn mã đơn giản chứa hàng triệu số điện thoại mà chúng dễ dàng thu thập được (những kẻ spam vẫn sử dụng kho số này để phát tán tin nhắn rác), sau đó dùng Facebook API thực hiện lệnh tra cứu là đã có thể nhận kết quả về tài khoản và tên người dùng tương ứng với các số điện thoại đó chỉ trong vài phút.

Moaiandin đã yêu cầu Facebook ngăn chặn tình trạng này bằng cách khống chế số lượt tra cứu mà người dùng được phép thực hiện, chẳng hạn mỗi ngày, một thành viên chỉ được tra cứu bao nhiêu lần… Ông gửi cảnh báo từ tháng 4/2015 nhưng đến nay vẫn chưa được mạng xã hội lớn nhất thế giới khắc phục.

Tuy nhiên, Moaiandin đã gợi ý các bước đơn giản để người dùng tránh bị lộ tài khoản thông qua số điện thoại và trở thành nạn nhân của hacker:

Từ máy tính desktop:

– Bấm mũi tên trỏ xuống ở góc phải trên cùng, chọn Settings.
– Chọn Privacy ở cột trái.
– Tìm Who Can Look Me Up (Ai có thể tìm kiếm tôi) ở dưới mục Privacy Settings and Tools.
– Chọn mục Who can look me up using the phone number you provided? (Ai có thể tìm kiếm tôi thông qua số điện thoại) và đổi chế độ sang Friends.

Người dùng cũng có thể chuyển chế độ bảo mật cho địa chỉ e-mail, nhưng các chuyên gia cho là không cần thiết vì việc tạo ra đoạn mã chứa các e-mail ngẫu nhiên sẽ phức tạp hơn nhiều so với số điện thoại.

Từ smartphone:

– Bấm vào biểu tượng hamburger (ba vạch ngang) ở góc trên cùng bên phải, chọn Account Settings.
– Chọn Privacy, tìm đến Who Can Look Me Up ở phần How You Connect.
– Chọn mục Who can look me up using the phone number you provided? (Ai có thể tìm kiếm tôi thông qua số điện thoại) và đổi chế độ sang Friends.

Châu An