Một lỗ hổng bảo mật cực kỳ nghiêm trọng vừa được phát hiện trên nền tảng Facebook, cho phép tin tặc chiếm quyền điều khiển tài khoản mà không cần mật khẩu. Vụ việc đã đẩy Meta vào tình trạng báo động đỏ khi ước tính có ít nhất 50 triệu người dùng bị ảnh hưởng trực tiếp, làm dấy lên những lo ngại sâu sắc về quyền riêng tư trong kỷ nguyên số.

Vào rạng sáng nay (giờ Việt Nam), đội ngũ kỹ sư bảo mật của Meta đã chính thức xác nhận sự tồn tại của một lỗ hổng zero-day nằm trong tính năng "View As" (Xem với tư cách) và trình tải lên video của nền tảng này. Lỗ hổng cho phép kẻ tấn công đánh cắp "access tokens" – các mã khóa kỹ thuật số giúp người dùng duy trì trạng thái đăng nhập mà không phải nhập lại mật khẩu mỗi lần truy cập. Theo các số liệu sơ bộ, quy mô của đợt tấn công này có thể là lớn nhất trong vòng 3 năm trở lại đây đối với Facebook.

Đội ngũ kỹ sư của Meta đang nỗ lực xử lý lỗ hổng bảo mật lớn nhất trong lịch sử gần đây của hãng.

Bản chất kỹ thuật của "lỗ hổng tử thần"

Các phân tích kỹ thuật cho thấy, lỗ hổng này không xuất phát từ một sai sót đơn lẻ mà là kết quả của sự tương tác phức tạp giữa ba lỗi phần mềm khác nhau liên quan đến trình tải lên video của Facebook. Cụ thể, khi tính năng "View As" được kích hoạt, hệ thống đã vô tình tạo ra các mã access token cho tài khoản của người xem nhưng lại dưới danh nghĩa của người dùng được xem.

Ông Robert Miller, Giám đốc Chiến lược An ninh mạng tại CyberGuard International, nhận định: "Đây không phải là một vụ lừa đảo qua email (phishing) hay đánh cắp mật khẩu thông thường. Đây là một lỗi kiến trúc hệ thống ở mức độ thấp (low-level architecture flaw). Tin tặc không cần mật khẩu, không cần mã xác thực hai lớp (2FA). Khi đã có access token trong tay, chúng có toàn quyền kiểm soát tài khoản của nạn nhân như chính chủ nhân của nó."

Hậu quả của việc rò rỉ access token không chỉ dừng lại ở Facebook. Do mạng lưới liên kết của Meta, những mã token này có thể cho phép tin tặc đăng nhập trái phép vào các dịch vụ bên thứ ba sử dụng tài khoản Facebook làm cổng đăng nhập (Facebook Login) như Instagram, Spotify hay các ứng dụng ngân hàng tích hợp.

Các chuyên gia cảnh báo nguy cơ rò rỉ dữ liệu xuyên suốt nhiều nền tảng ứng dụng khác nhau.

Quy mô ảnh hưởng và phản ứng từ Meta

Theo thông cáo báo chí chính thức từ Facebook, hiện có khoảng 50 triệu tài khoản được xác nhận là đã bị lộ token. Tuy nhiên, như một biện pháp phòng ngừa rủi ro, tập đoàn này đã buộc phải đặt lại mã truy cập cho thêm 40 triệu tài khoản khác cũng có sử dụng tính năng "View As" trong năm qua. Điều này giải thích vì sao hàng triệu người dùng trên khắp thế giới đột ngột bị đăng xuất khỏi tài khoản của họ vào rạng sáng nay.

Số liệu từ các tổ chức theo dõi an ninh mạng độc lập cho thấy, Việt Nam nằm trong danh sách các quốc gia có tỷ lệ người dùng Facebook cao nhất, do đó thiệt hại có thể rất đáng kể. Thống kê nhanh từ TechNews VN cho thấy, các cụm từ khóa liên quan đến việc "bị out Facebook", "tài khoản bị đăng xuất" đã tăng vọt 400% trên các công cụ tìm kiếm chỉ trong vòng 2 giờ đồng hồ.

"Chúng tôi đang thực hiện mọi biện pháp cần thiết để bảo vệ người dùng. Tính năng 'View As' đã bị tạm thời vô hiệu hóa để thực hiện rà soát an ninh toàn diện. Chúng tôi chưa tìm thấy bằng chứng cho thấy các thông tin thanh toán hay mật khẩu cá nhân bị đánh cắp, nhưng người dùng nên hết sức cảnh giác."

- Mark Zuckerberg, CEO Meta phát biểu trên trang cá nhân.

Biểu đồ mô phỏng các kết nối token bị ảnh hưởng trong đợt tấn công zero-day.

Chuyên gia khuyến nghị người dùng nên làm gì?

Mặc dù Facebook đã chủ động đăng xuất và vô hiệu hóa các token cũ, các chuyên gia bảo mật từ TechNews VN khuyến cáo người dùng thực hiện ngay các bước sau để đảm bảo an toàn tối đa:

• Kiểm tra hoạt động đăng nhập: Truy cập phần "Cài đặt & Quyền riêng tư" > "Mật khẩu và bảo mật" > "Nơi bạn đã đăng nhập" để kiểm tra các thiết bị lạ.
• Đăng xuất khỏi mọi thiết bị: Chọn tùy chọn đăng xuất khỏi tất cả các phiên làm việc cũ để đảm bảo các token lỗi hoàn toàn bị hủy.
• Cập nhật mật khẩu và 2FA: Mặc dù không trực tiếp bị lộ mật khẩu, việc thay đổi định kỳ và sử dụng các ứng dụng tạo mã xác thực (như Google Authenticator) luôn là lớp phòng thủ cần thiết.
• Cẩn trọng với thông báo lạ: Tuyệt đối không nhấp vào các liên kết lạ yêu cầu xác minh tài khoản Facebook thông qua tin nhắn hoặc email vào lúc này.

Tổng kết và nhận định xu hướng

Vụ tấn công zero-day lần này một lần nữa cho thấy rằng, ngay cả những gã khổng lồ công nghệ với ngân sách bảo mật hàng tỷ USD như Meta cũng không bao giờ hoàn toàn "miễn nhiễm" trước các lỗ hổng. Xu hướng tấn công mạng năm 2024 đang chuyển dịch từ việc tấn công người dùng cuối sang việc khai thác các lỗi hệ thống phức tạp ngay từ bên trong cấu trúc ứng dụng.

Trong tương lai gần, việc phụ thuộc vào một phương thức đăng nhập duy nhất (Single Sign-On - SSO) như tài khoản mạng xã hội sẽ trở thành "con dao hai lưỡi". Người dùng cần có nhận thức rõ hơn về việc phân tách dữ liệu cá nhân giữa các nền tảng. Các chuyên gia dự báo rằng, sau sự cố này, Meta sẽ phải đối mặt với một loạt các cuộc điều tra từ Liên minh Châu Âu (EU) theo các quy định nghiêm ngặt của GDPR, nơi mức phạt có thể lên tới 4% doanh thu toàn cầu nếu bị kết luận là thiếu trách nhiệm trong bảo mật.

TechNews VN sẽ tiếp tục cập nhật những diễn biến mới nhất về tình hình khắc phục lỗ hổng này từ phía Meta cũng như các báo cáo kỹ thuật chi tiết từ giới bảo mật quốc tế. Người dùng được khuyến nghị theo dõi sát sao để có các biện pháp bảo vệ tài sản số kịp thời.