Nhiều trang web đánh cắp dữ liệu người dùng qua tính năng “đăng nhập bằng Facebook”

Vụ việc này xuất hiện vào thời điểm rất nhạy cảm đối với Facebook, khi hãng vẫn đang đau đầu tìm cách giải quyết vấn đề dữ liệu cá nhân và quyền riêng tư của người dùng.

nhieu trang web danh cap du lieu nguoi dung qua tinh nang dang nhap bang facebook

Vào ngày hôm nay (19/4), Facebook đã xác nhận với trang tin TechCrunch rằng công ty đang tiến hành điều tra một báo cáo nghiên cứu bảo mật cho thấy dữ liệu người dùng Facebook có thể bị đánh cắp bởi các đoạn mã theo dõi JavaScript bên thứ ba được nhúng vào các trang web sử dụng tính năng "Đăng nhập bằng Facebook" (Login With Facebook). Lỗ hổng này sẽ cho phép các đoạn mã thu thập rất nhiều thông tin của người dùng, bao gồm tên, địa chỉ email, độ tuổi, giới tính, địa chỉ, ảnh đại diện, tùy thuộc vào việc người dùng đó đã cung cấp những gì cho trang web. Hiện vẫn chưa rõ các đoạn mã này sẽ làm gì với những dữ liệu thu thập được, nhưng nhiều công ty mẹ của chúng bao gồm Tealium, AudienceStream, Lytics và ProPS đều bán các dịch vụ kiếm tiền cho nhà xuất bản dựa trên dữ liệu người dùng thu thập được.

Cách các trang web có thể lấy được dữ liệu của người dùng

Các đoạn mã lạm dụng được phát hiện trên 470 trang web thuộc top 1 triệu website tại Mỹ (danh sách đầy đủ tại đây) bao gồm cả trang web cho freelancer Fiverr.com và nhà cung cấp cơ sở dữ liệu đám mây MongoDB. Đây là kết quả thu được của Steven Englehardt và các đồng nghiệp của anh tại Freedom To Tinker, một nhóm thuộc Trung tâm Chính sách Công nghệ Thông tin của Đại học Princeton, Mỹ.

Trong khi đó, trang web hòa nhạc khá nổi tiếng tại Mỹ BandsInTown được cho là đã vô ý chuyển dữ liệu người dùng Đăng nhập bằng Facebook tới các đoạn mã nhúng trên các trang có cài đặt sản phẩm quảng cáo Amplified của họ. Một đoạn iframe (một tag HTML có tác dụng hiển thị một trang web trong một trang web khác) vô hình của BandsInTown sẽ được tải, cho phép những trang web độc hại có thể biết được danh tính của khách truy cập. BandsInTown đã sửa lỗ hổng này. Đại diện của trang cho biết: "BandsInTown tuyệt đối không tiết lộ dữ liệu một cách trái phép cho các bên thứ ba. Sau khi nhận được email từ một nhà nghiên cứu cho thấy các lỗ hổng bảo mật tiềm năng đang chạy trên nền tảng quảng cáo của chúng tôi, chúng tôi đã nhanh chóng hành động và giải quyết vấn đề".

Cho đến nay, Facebook vẫn chưa đưa ra thêm bất kỳ bình luận nào ngoài "Chúng tôi sẽ xem xét vấn đề và trả lời sau". Sau khi trang TechCrunch liên hệ với MongoDB vào sáng nay, công ty cũng đã tiến hành điều tra và tuyên bố: "Chúng tôi không hề biết chuyện có bên thứ ba sử dụng các đoạn mã để thu thập dữ liệu người dùng Facebook. Chúng tôi đã xác định được nguồn gốc của đoạn mã và vô hiệu hóa nó".

nhieu trang web danh cap du lieu nguoi dung qua tinh nang dang nhap bang facebook

Vụ việc này xuất hiện vào thời điểm rất nhạy cảm đối với Facebook. Công ty vẫn đang cố gắng hồi phục sau bê bối rò rỉ 87 triệu người dùng Cambridge Analytica, CEO Mark Zuckerberg thì vừa mới điều trần trước Quốc hội Mỹ vào tuần trước, và mới đây công ty cũng đã giới thiệu những sửa đổi về quyền riêng tư để tuân thủ Quy định chung về Bảo vệ Dữ liệu (GDPR) của EU. Tuy nhiên, những thay đổi về API của Facebook để bảo vệ dữ liệu người dùng lại không hề ngăn chặn được những lỗ hổng như thế này, và đồng thời vụ việc cũng cho thấy người dùng Facebook có thể bị theo dõi một cách dễ dàng như thế nào.

Englehardt có viết: "Khi một người dùng cho phép một trang web truy cập vào hồ sơ mạng xã hội của họ, họ không chỉ tin tưởng trang web đó mà còn cả những bên thứ ba được nhúng vào bên trong trang đó".

nhieu trang web danh cap du lieu nguoi dung qua tinh nang dang nhap bang facebook

Facebook lẽ ra đã có thể xác định và ngăn chặn các trình theo dõi này nếu họ kiểm định API (giao diện lập trình ứng dụng) kỹ càng hơn. Sau bê bối rò rỉ dữ liệu, công ty mới tăng cường rà soát API, truy quét các nhà phát triển có thể đã từng chia sẻ, bán hoặc sử dụng dữ liệu với mục đích không đúng đắn, giống như cách mà dữ liệu người dùng của Aleksandr Kogan đến được tay Cambridge Analytica. Facebook cũng có thể thay đổi các hệ thống của mình để ngăn các nhà phát triển lấy ID của người dùng để khai thác thông tin.

Những phát hiện như thế này nhiều khả năng sẽ châm ngòi cho những phản ứng dữ dội hơn từ người dùng. Trong nhiều năm qua, công chúng đã quá dễ dãi khi để mặc cho dữ liệu của mình bị khai thác một cách trái phép trên Internet. Tuy Facebook hiện đang phải ngồi trên chiếc ghế nóng, vẫn còn những gã khổng lồ công nghệ khác như Google đang sống phụ thuộc vào dữ liệu của người dùng. Ngoài ra, những nhà xuất bản tin tức, vốn luôn tuyệt vọng tìm cách để tồn tại từ quảng cáo, thường bị rơi vào bẫy của các hệ thống quảng cáo và theo dõi mờ ám.

Mark Zuckerberg là một mục tiêu dễ dàng, vì anh là nhà sáng lập và CEO của Facebook, nên anh phải đứng ra chịu trách nhiệm cho những thất bại của nền tảng. Tuy nhiên, bất kỳ công ty nào khác đang "lập lờ" với dữ liệu người dùng có lẽ nên chuẩn bị sẵn tinh thần đi là vừa.

Theo VnReview

Đọc thêm

Hàng hiếm iPhone không có logo Apple

Hàng hiếm iPhone không có logo Apple

Một nguyên mẫu iPhone được cho là phiên bản thử nghiệm tính năng nút cảm ứng, dùng logo biểu tượng Vesica Piscis thay quả táo.
Smartphone giá rẻ rồi cũng có AI

Smartphone giá rẻ rồi cũng có AI

Đến năm 2028, 90% smartphone giá trên 250 USD sẽ trang bị những tính năng AI tạo sinh, vốn chỉ đang có mặt trên các dòng cao cấp.
iPhone SE 4 có gây bất ngờ?

iPhone SE 4 có gây bất ngờ?

Dù chưa có tin đồn xác thực, ảnh chụp mô hình của iPhone SE 4 cho thấy có khả năng mẫu iPhone giá rẻ có thêm phiên bản màn hình lớn với kích thước 6,7 inch.
Giá cước 5G thế nào so với 4G?

Giá cước 5G thế nào so với 4G?

Gói 5G thấp nhất giá 135.000 đồng, cao gần gấp đôi mức 70.000 đồng của gói 4G, nhưng dung lượng nhiều gấp tám lần, kèm nhiều tiện ích.
'Cú lừa' mới của YouTube với quảng cáo

'Cú lừa' mới của YouTube với quảng cáo

YouTube đang thử nghiệm loại bỏ bộ đếm thời gian hình tròn hiển thị trước khi người dùng nhấn nút bỏ qua quảng cáo trên cả phiên bản máy tính và di động.
Nhiều khu vực xuất hiện sóng 5G

Nhiều khu vực xuất hiện sóng 5G

Thiết bị của người dùng tại nhiều khu vực ở Hà Nội, TP HCM và một số tỉnh thành bất ngờ bắt được sóng 5G, dù công nghệ kết nối này chưa triển khai chính thức.
Chờ đợi gì ở M4 MacBook Pro?

Chờ đợi gì ở M4 MacBook Pro?

Người dùng đang chờ đợi nhiều cập nhật và thay đổi ở M4 MacBook Pro, chiếc máy tính sắp được Apple trình làng.