Google che giấu lỗi lỗ hổng tiết lộ thông tin người dùng 3 năm nay vì sợ bị trừng phạt?
Google đã phát hiện lỗ hổng bảo mật tiết lộ thông tin người dùng tồn tại trong Google+ từ 3 năm nay, song vẫn giấu nhẹm đi vì sợ bị trừng phạt.
Trong thông báo chính thức trên trang chủ của công ty, Google đã thừa nhận rằng thông tin cá nhân của hàng trăm nghìn người đang sử dụng mạng xã hội Google+ đã bị tiết lộ ra ngoài. Theo đó, hàng loạt thông tin của người dùng như tên, địa chỉ email, nghề nghiệp, giới tính và độ tuổi đã bị tiết lộ bất hợp pháp, kể cả những dữ liệu riêng tư không được công khai của cá nhân. Vụ việc này đã được tờ tạp chí Wall Street Journal đăng tải trước cả thông báo của Google.
Google đã phát hiện lỗ hổng bảo mật tiết lộ thông tin người dùng tồn tại trong Google+ từ 3 năm nay, song vẫn giấu nhẹm
Google cũng thừa nhận họ đã phát hiện thấy lỗ hổng bảo mật này xuất hiện từ năm 2015, nằm trong bộ People API của Google+ cho phép app bên thứ ba truy cập những dữ liệu đã được đánh dấu là riêng tư thuộc về profile khách hàng. Tuy nhiên, Google cũng khẳng định rằng chưa có bất kì bằng chứng nào cho thấy có nhà phát triển hay bên thứ ba nào biết về lỗ hổng bảo mật này hay "tận dụng" nó.
Google cũng cho biết thêm, họ đã "đóng" lỗ hổng bảo mật trên Google+ này từ tháng 3/2018 ngay sau khi phát hiện lỗi. Nhưng sau đó, Google vẫn "giấu nhẹm" đi và không có bất cứ thông báo nào đến người dừng vì sợ sẽ đi vào "vết xe đổ" của Facebook trước đó. Hành động nói trên là một phần của Project Strobe - dự án điều tra nội bộ của Google để xem các app bên thứ 3 liệu có vi phạm chính sách về dữ liệu của Google hay Android hay không. Mục tiêu của dự án là phát hiện xem những nơi nào có thể thắt chặt hơn về việc bảo vệ quyền riêng tư của người dùng.
Trong bài đăng của mình, ông Ben Smith - đại diện của Project Strobe lý giải nguyên nhân không công bố lỗi này trước đó: "Hàng năm chúng tôi đều gửi hàng triệu thông báo đến người dùng về các lỗi hay các vấn đề liên quan đến quyền riêng tư cũng như bảo mật. Bất cứ khi nào dữ liệu có khả năng bị ảnh hưởng, chúng tôi đều xem xét rất kỹ các vấn đề pháp lý, phân tích các tiêu chí có lợi cho người dùng và tìm kiếm các bằng chứng về việc lạm dụng để xác định liệu có nên thông báo đến người dùng hay không. Trong trường hợp này không tiêu chí nào trong số trên phù hợp."
Việc Google+ đóng cửa sẽ diễn ra trong vòng 10 tháng và kết thúc vào tháng 8/2019. Tuy nhiên, Google cho biết vẫn có kế hoạch để biến Google+ thành một "sản phẩm nội bộ" cho các doanh nghiệp. "Chúng tôi quyết định tập trung hơn vào mảng doanh nghiệp và sẽ đưa ra những tính năng mới được xây dựng với mục đích dành riêng cho mục đích nội bộ. Thông tin mới sẽ được công bố trong những ngày tới." - ông Smith cho biết. Đây được cho là một động thái khá "kỳ lạ" dành cho một sản phẩm đang bị lỗi bảo mật API nghiêm trọng về và còn tồn tại suốt 3 năm nay.
Đã có 438 ứng dụng sử dụng People API, không rõ có bao nhiêu lập trình viên biết về lỗ hổng này. Nhiều nhất là 500.000 người dùng đã bị ảnh hưởng, còn chính xác có ai bị lấy thông tin hay không thì Google không nắm chắc vì các dòng log truy cập vào tính năng này chỉ được lưu trữ trong vòng 2 tuần, sau đó sẽ bị xóa đi để ghi nhận log mới.
Tháng trước, Facebook cũng vướng phải sự cố bảo mật khiến 50 triệu tài khoản bị "hack" và suýt bị các nhóm tin tặc lợi dụng lỗ hổng này nếu không khắc phục kịp thời. Đây là bê bối lớn thứ hai của trang mạng xã hội lớn nhât thế giới sau vụ rò rỉ dữ liệu Cambridge Analytica xảy ra hồi tháng 3 khiến CEO Mark Zuckerberg phải điều trần trước Quốc hội Mỹ.
Phương Thảo (T/h)
