1001 thắc mắc: Vì sao không nên dùng Facebook đăng nhập vào các website khác?

ngày 29/06/2021

Nếu có thói quen sử dụng Facebook để đăng nhập vào các ứng dụng và trang web trên mạng bạn nên từ bỏ ngay vì những lí do dưới đây.

Một vụ rò rỉ dữ liệu Facebook khổng lồ vừa xảy ra với hơn 533 triệu người dùng Facebook từ 106 quốc gia trên toàn thế giới bị rao bán thông tin.

Theo BGR, dữ liệu này đã được đăng trên một diễn đàn hack, có nghĩa là nếu bạn có tài khoản Facebook, rất có thể dữ liệu của bạn một lần nữa bị lộ cho tin tặc, bao gồm mọi thứ từ số điện thoại đến địa chỉ email, ngày sinh, họ tên...

Trong số 533 triệu tài khoản bị rò rỉ, có khoảng 32 triệu tài khoản đến từ Mỹ, gần 29 triệu tài khoản Ả Rập Xê Út, 20 triệu tài khoản từ Pháp... Theo đánh giá, đây là vụ rò rỉ tồi tệ nhất mà Facebook từng dính phải.

Có thể nói từ khi Mark Zuckerberg giới thiệu công cụ có tên Facebook Connect năm 2008, nó được xem như một loại hộ chiếu điện tử đối với phần còn lại của Internet. Chỉ với vài cú nhấp chuột, người dùng có thể đăng nhập các ứng dụng và website khác với mật khẩu Facebook của họ.

Tuy nhiên, mới đây Facebook thông báo vụ xâm phạm dữ liệu nghiêm trọng ảnh hưởng đến ít nhất 50 triệu tài khoản và có thể là cả 40 triệu người khác. Vụ tấn công cho phép hacker tiếp cận không chỉ tài khoản Facebook mà còn nhiều tài khoản khác mà bạn dùng Facebook để đăng nhập – những dịch vụ như Instagram, Spotify, Airbnb, Tinder, Pinterest, Expedia và hơn 100.000 cái tên khác.

Jason Polakis, Giáo sư ngành khoa học máy tính tại Đại học Illinois cho biết, quy mô và sự phức tạp của các hãng như Facebook hay Google chống lại tính bảo mật của nó. Ví dụ, vụ tấn công Facebook dường như tạo ra bởi 3 lỗi khác nhau trong code. Theo ông, codebase của các dịch vụ này lớn, họ có các nhóm khác nhau làm việc trên những phần khác nhau và họ có thể tác động lẫn nhau theo nhiều cách. Sau cùng, sẽ xuất hiện lỗ hổng mà không ai có thể ngờ đến.

Một nguy cơ khác từ đăng nhập bằng Facebook là lừa đảo (phishing). Ngay cả nếu hàng triệu tài khoản Facebook không bị hack, tài khoản của từng người đều là mục tiêu của các phương pháp lừa đảo trên mạng. Ai hack được Facebook của bạn, họ sẽ có quyền truy cập mọi thứ gắn với tài khoản đó.

Vì vậy, sau hàng loạt bê bối dữ liệu thời gian gần đây, đã đến lúc bạn từ bỏ thói quen sử dụng Facebook để đăng nhập vào các ứng dụng và trang web trên mạng.

Những lỗ hổng 'chết người' của facebook

Một lỗ hổng bảo mật mới của Facebook đã được báo cáo, bug này có thể cho phép kẻ tấn công có được thông tin cá nhân nhất định về người dùng và bạn bè của họ, có khả năng đưa sự riêng tư của bạn vào nguy hiểm. Được phát hiện bởi các nhà nghiên cứu bảo mật mạng từ Imperva, lỗ hổng nằm trong cách tính năng tìm kiếm của Facebook hiển thị kết quả cho các truy vấn đã nhập.

Theo nhà nghiên cứu Ron Masas của Imperva, trang hiển thị kết quả tìm kiếm bao gồm các phần tử iFrame được kết hợp với mỗi kết quả, trong đó các URL điểm cuối của các iFrames đó không có bất kỳ cơ chế bảo vệ nào để bảo vệ chống lại các tấn công yêu cầu giả mạo cross-site (CSRF).

Cần lưu ý rằng lỗ hổng mới được báo cáo đã được vá, và không giống như lỗ hổng được tiết lộ trước đây trên Facebook đã phơi bày thông tin cá nhân của 30 triệu người dùng, nó không cho phép kẻ tấn công trích xuất thông tin từ số lượng lớn các tài khoản cùng một lúc.

Để khai thác lỗ hổng này, tất cả kẻ tấn công cần làm chỉ đơn giản là lừa người dùng truy cập vào trang web độc hại trên trình duyệt web của họ, nơi họ đã đăng nhập vào tài khoản Facebook của mình.

Trước đó, một video được chia sẻ bởi một nhà nghiên cứu cho thấy một lỗ hổng bảo mật xuất hiện trên Facebook cho phép tin tặc lấy địa chỉ email từ người dùng. Alon Gal, nhà nghiên cứu bảo mật kiêm CTO của công ty an ninh mạng Hudson Rock, đã thực hiện thử cách khai thác lỗ hổng như chia sẻ trong video và chứng minh ông có thể thấy các địa chỉ email được lấy từ Facebook.

Nhóm nghiên cứu bảo mật Imperva cũng đã từng công bố một lỗ hổng bảo mật trên Facebook Messenger có thể được tin tặc khai thác để xem danh sách trò chuyện trong tài khoản Facebook của nạn nhân thông qua trình duyệt web và iframe (một thẻ trong lập trình web).

Theo các chuyên gia bảo mật, với cách tấn công này tin tặc có thể lấy hết thông tin danh bạ của người dùng.

Trong khi đó, BRCA Sisterhood, một mạng lưới hỗ trợ trực tuyến dựa trên Facebook cho những phụ nữ có nguy cơ di truyền cao mắc ung thư vú, đã phát hiện ra lỗ hổng trên khi thông tin cá nhân của các thành viên trong nhóm có thể đã bị bên ngoài thu thập trái phép.

Sau khi tiếp cận với một nhà nghiên cứu bảo mật, BRCA Sisterhood đã phát hiện ra rằng plugin (phần ứng dụng mở rộng) của bên thứ ba cho trình duyệt web Google Chrome có thể lấy email, tên và vị trí của các thành viên từ nhóm kín này.

Plugin được bên thứ ba sử dụng để thu thập thông tin có tên gọi là Grouply.io, cho phép mọi người tải xuống tên, nhà tuyển dụng, địa điểm và địa chỉ email của các thành viên nhóm riêng tư. Các thành viên của nhóm kín sẽ không biết dữ liệu đã bị thu thập.

Nguồn Tienphong