Lỗi Facebook để lộ sở thích và lượt thích trong hồ sơ người dùng

Hiện đã được khắc phục, lỗ hổng này được nhà nghiên cứu bảo mật Ron Masas của Imperva lần đầu công bố trong tháng 5-2018. Tuy nhiên, phải tới những ngày qua người ta mới biết đến sự tồn tại của nó. Theo mô tả của Masas, lỗ hổng cho phép các trang web truy xuất một số dữ liệu từ hồ sơ người dùng, ví dụ như sở thích hay số lượt thích, mà bản thân người dùng không hề hay biết. Tuy nhiên, Facebook khẳng định chưa phát hiện bất cứ trường hợp lợi dụng nào.

Theo mô tả, Facebook không hề bảo vệ các kết quả tìm kiếm khỏi những cuộc tấn công lợi dụng yêu cầu đưa ra bởi các trang web liên kết chéo (CSRF). Như vậy, kẻ xấu có thể dùng một iFrame (cơ chế cho phép nhúng các nội dung như PDF, phim YouTube… vào các trang web) để mở một tab Facebook và thu thập thông tin.

Như vậy, những hacker có thể tung yêu cầu tìm kiếm để xác định liệu một người dùng có thích trang (Page) cụ thể; hoặc liệu bạn có chụp ảnh một khu vực nhất định nào; hoặc sử dụng các từ khóa nhất định nào trong các tìm kiếm của mình hay không. Thậm chí, nó có thể xác định cả tôn giáo của người dùng trong một số trường hợp. Những thông tin này có thể được khai thác kể cả khi người dùng đã thiết lập chỉ hiển thị chúng với bạn bè trên Facebook.

Facebook không phải công ty duy nhất đối mặt với lỗ hổng dạng này. Những dữ liệu bị tiết lộ có nhiều mục đích sử dụng, tương tự như trong vụ bê bối với Cambridge Analytica, ví dụ như quảng cáo hướng đối tượng hay thăm dò kết quả bầu cử.

Hoàng Linh