Vào ngày hôm nay (19/4), Facebook đã xác nhận với trang tin TechCrunch rằng công ty đang tiến hành điều tra một báo cáo nghiên cứu bảo mật cho thấy dữ liệu người dùng Facebook có thể bị đánh cắp bởi các đoạn mã theo dõi JavaScript bên thứ ba được nhúng vào các trang web sử dụng tính năng "Đăng nhập bằng Facebook" (Login With Facebook). Lỗ hổng này sẽ cho phép các đoạn mã thu thập rất nhiều thông tin của người dùng, bao gồm tên, địa chỉ email, độ tuổi, giới tính, địa chỉ, ảnh đại diện, tùy thuộc vào việc người dùng đó đã cung cấp những gì cho trang web. Hiện vẫn chưa rõ các đoạn mã này sẽ làm gì với những dữ liệu thu thập được, nhưng nhiều công ty mẹ của chúng bao gồm Tealium, AudienceStream, Lytics và ProPS đều bán các dịch vụ kiếm tiền cho nhà xuất bản dựa trên dữ liệu người dùng thu thập được.
Cách các trang web có thể lấy được dữ liệu của người dùng
Các đoạn mã lạm dụng được phát hiện trên 470 trang web thuộc top 1 triệu website tại Mỹ (danh sách đầy đủ tại đây) bao gồm cả trang web cho freelancer Fiverr.com và nhà cung cấp cơ sở dữ liệu đám mây MongoDB. Đây là kết quả thu được của Steven Englehardt và các đồng nghiệp của anh tại Freedom To Tinker, một nhóm thuộc Trung tâm Chính sách Công nghệ Thông tin của Đại học Princeton, Mỹ.
Trong khi đó, trang web hòa nhạc khá nổi tiếng tại Mỹ BandsInTown được cho là đã vô ý chuyển dữ liệu người dùng Đăng nhập bằng Facebook tới các đoạn mã nhúng trên các trang có cài đặt sản phẩm quảng cáo Amplified của họ. Một đoạn iframe (một tag HTML có tác dụng hiển thị một trang web trong một trang web khác) vô hình của BandsInTown sẽ được tải, cho phép những trang web độc hại có thể biết được danh tính của khách truy cập. BandsInTown đã sửa lỗ hổng này. Đại diện của trang cho biết: "BandsInTown tuyệt đối không tiết lộ dữ liệu một cách trái phép cho các bên thứ ba. Sau khi nhận được email từ một nhà nghiên cứu cho thấy các lỗ hổng bảo mật tiềm năng đang chạy trên nền tảng quảng cáo của chúng tôi, chúng tôi đã nhanh chóng hành động và giải quyết vấn đề".
Cho đến nay, Facebook vẫn chưa đưa ra thêm bất kỳ bình luận nào ngoài "Chúng tôi sẽ xem xét vấn đề và trả lời sau". Sau khi trang TechCrunch liên hệ với MongoDB vào sáng nay, công ty cũng đã tiến hành điều tra và tuyên bố: "Chúng tôi không hề biết chuyện có bên thứ ba sử dụng các đoạn mã để thu thập dữ liệu người dùng Facebook. Chúng tôi đã xác định được nguồn gốc của đoạn mã và vô hiệu hóa nó".
Vụ việc này xuất hiện vào thời điểm rất nhạy cảm đối với Facebook. Công ty vẫn đang cố gắng hồi phục sau bê bối rò rỉ 87 triệu người dùng Cambridge Analytica, CEO Mark Zuckerberg thì vừa mới điều trần trước Quốc hội Mỹ vào tuần trước, và mới đây công ty cũng đã giới thiệu những sửa đổi về quyền riêng tư để tuân thủ Quy định chung về Bảo vệ Dữ liệu (GDPR) của EU. Tuy nhiên, những thay đổi về API của Facebook để bảo vệ dữ liệu người dùng lại không hề ngăn chặn được những lỗ hổng như thế này, và đồng thời vụ việc cũng cho thấy người dùng Facebook có thể bị theo dõi một cách dễ dàng như thế nào.
Englehardt có viết: "Khi một người dùng cho phép một trang web truy cập vào hồ sơ mạng xã hội của họ, họ không chỉ tin tưởng trang web đó mà còn cả những bên thứ ba được nhúng vào bên trong trang đó".
Facebook lẽ ra đã có thể xác định và ngăn chặn các trình theo dõi này nếu họ kiểm định API (giao diện lập trình ứng dụng) kỹ càng hơn. Sau bê bối rò rỉ dữ liệu, công ty mới tăng cường rà soát API, truy quét các nhà phát triển có thể đã từng chia sẻ, bán hoặc sử dụng dữ liệu với mục đích không đúng đắn, giống như cách mà dữ liệu người dùng của Aleksandr Kogan đến được tay Cambridge Analytica. Facebook cũng có thể thay đổi các hệ thống của mình để ngăn các nhà phát triển lấy ID của người dùng để khai thác thông tin.
Những phát hiện như thế này nhiều khả năng sẽ châm ngòi cho những phản ứng dữ dội hơn từ người dùng. Trong nhiều năm qua, công chúng đã quá dễ dãi khi để mặc cho dữ liệu của mình bị khai thác một cách trái phép trên Internet. Tuy Facebook hiện đang phải ngồi trên chiếc ghế nóng, vẫn còn những gã khổng lồ công nghệ khác như Google đang sống phụ thuộc vào dữ liệu của người dùng. Ngoài ra, những nhà xuất bản tin tức, vốn luôn tuyệt vọng tìm cách để tồn tại từ quảng cáo, thường bị rơi vào bẫy của các hệ thống quảng cáo và theo dõi mờ ám.
Mark Zuckerberg là một mục tiêu dễ dàng, vì anh là nhà sáng lập và CEO của Facebook, nên anh phải đứng ra chịu trách nhiệm cho những thất bại của nền tảng. Tuy nhiên, bất kỳ công ty nào khác đang "lập lờ" với dữ liệu người dùng có lẽ nên chuẩn bị sẵn tinh thần đi là vừa.