Nếu bạn từng cung cấp số điện thoại cho Facebook, gần như chắc chắn nó đã bị lộ và đang nằm trong một danh sách hàng triệu tài khoản đang được mua bán trên Internet. Chỉ với đường dẫn tài khoản Facebook, bất cứ ai cũng có thể biết được số điện thoại, ngày sinh, giới tính, nơi ở của người nào đó.
"Lượng dữ liệu này khổng lồ tới mức có hơn 70% người dùng Facebook tại Việt Nam bị lộ thông tin", anh Trần Huy, một người trong lĩnh vực quảng cáo và phát triển ứng dụng tại TP.HCM tiết lộ.
Trong khi Cambrige Analytica (công ty khiến Facebook bị chỉ trích thậm tệ những ngày qua) dùng nguồn thông tin này để "đầu độc" quan điểm chính trị của người dân, thì tại Việt Nam, thông tin cá nhân này được rao bán rẻ mạt trên các trang mạng với mục đích chạy quảng cáo.
Rò rỉ thông tin, Facebook không thể cứu vãn
Theo anh Huy, những dữ liệu người dùng tại Việt Nam đã bị rò rỉ từ 4 năm trước. Và đã bị "dân trong nghề" tải toàn bộ về lưu trữ, tạo ra các bản sao, khiến Facebook không thể thu hồi hoặc hủy những dữ liệu rò rỉ.
Quay trở lại năm 2014, thời kỳ Facebook còn "ngây thơ" trong việc cấp quyền truy cập cho các ứng dụng. Khi đó, ứng dụng HTC Sense, nền tảng Widget đồng bộ thông tin người dùng lên giao diện di động của HTC là "cần câu" thông tin người dùng. Nó yêu cầu đầy đủ các quyền truy cập mà trong giới gọi là "token full quyền".
Lổ hổng HTC Sense được giới "đạo tặc" Internet năm 2014 xem như "huyền thoại về cấp quyền cho bên thứ ba".
Những thông tin người dùng buộc phải cung cấp cho HTC Sense bao gồm thông tin cá nhân, thông tin bạn bè, địa chỉ email, tin nhắn, video... Gần như đầy đủ mọi thứ mà người dùng thực hiện trên Facebook đều được mạng xã hội này trao cho HTC Sense.
Lợi dụng một lỗ hổng "chết người" này, một số hacker tạo ra các ứng dụng mang tính vui vẻ như "kiếp trước bạn là ai?", "bạn trông thế nào sau 60 năm nữa?" để kết hợp với HTC Sense nhằm lấy tất cả quyền trên.
Ngoài HTC Sense, các hacker còn ưa chuộng các ứng dụng khác như Facebook for iOS, Facebook for Android... để chiếm lấy token của người dùng.
Token là một đoạn mã được Facebook dùng để định danh một tài khoản cụ thể, thực hiện nhiều thứ thay người dùng mà không cần mật khẩu. Nó có thể thay mặt người dùng thực hiện nhiều tác vụ, không cần phải trực tiếp quản lý (không cần biết mật khẩu). Thông thường các token có giá trị trong vài ngày. Nhưng token Facebook cấp cho HTC Sense có thời hạn tới 6 tháng, đủ để lấy những dữ liệu quan trọng trong thời gian dài.
Cách thức công cụ khai thác thông tin người dùng Facebook này có khả năng truy xuất số điện thoại, email, nơi ở của 90% người dùng Việt Nam.
"Hoạt động này người trong giới được gọi là 'via tài khoản' bằng HTC Sense. Sau khi lấy toàn bộ thông tin trên, nó sẽ được lưu trữ trên máy tính, ổ cứng. Người dùng, Facebook, HTC hoàn toàn không có một cơ hội nào để đòi lại những thông tin đó, hoàn toàn bất lực", anh Nguyễn Nhân, người làm trong lĩnh vực Facebook Marketing ở TP.HCM cho biết.
Theo chuyên gia bảo mật Nguyễn Hồng Phúc, những ứng dụng như HTC Sense được cho là "app cổ" và đã bị Facebook chặn từ năm 2016, ngoài HTC Sense, còn có những app khác như Nokia Lumia và các "biến thể" do hacker dịch ngược, tạo ra những "mồi nhử" là những trang tặng 1.000 like, dụ dỗ những người dùng chơi dại, ham nổi tiếng ảo.
Facebook phát sinh lỗi bảo mật trong tháng 8/2017, khung search của Facebook tồn tại sơ hở giúp hacker có thể khai thác để kiểm tra số điện thoại của người dùng vô số lần mà không bị chặn. Từ đó, những hacker này tiếp tục viết công cụ tự tạo ra danh bạ số điện thoại, tự động dò ra số đó tương ứng với tài khoản nào trên Facebook. Từ đó, hacker có được hàng triệu Facebook gắn với số điện thoại tương ứng của người dùng và mang đi rao bán.
Cũng theo chuyên gia này, các hình thức nói trên đã bị Facebook chặn, nhưng giới MMO và hacker Việt Nam vẫn còn một số cách lách luật để có được thông tin cá nhân của người dùng. Để thay đổi chuỗi mã token có thể đã bị lấy cắp, người dùng có thể đổi mật khẩu Facebook để được cấp chuỗi mã mới.
Hầu hết dữ liệu trên đều bắt nguồn từ sai lầm mà Facebook và các ứng dụng bên thứ ba gây ra cách đây nhiều năm. Vì vậy, Facebook có làm gì chăng nữa cũng không thể chuộc lại lỗi lầm của chính mình.