TechCrunch đưa tin hơn 419 triệu ID và số điện thoại Facebook được lưu trong máy chủ trực tuyến không được bảo vệ bằng mật khẩu. Bất kỳ ai cũng có thể truy cập dữ liệu của hơn 133 triệu người dùng Mỹ, 18 triệu người dùng Anh và 50 triệu người dùng Việt Nam mà không cần bất kỳ mật khẩu nào.
Tuy nhiên, cơ sở dữ liệu này đã ngoại tuyến sau khi TechCrunch liên hệ với đơn vị lưu trữ web.
Đây là bê bối bảo mật lớn nhất, mới nhất của Facebook sau scandal Cambridge Analytica (hơn 80 triệu hồ sơ người dùng bị lợi dụng trong cuộc tranh cử Tổng thống Mỹ năm 2016).
Facebook xác nhận đây là sự thật và đang điều tra xem cơ sở dữ liệu được thu thập từ khi nào và do ai thực hiện. Người phát ngôn công ty cũng khẳng định con số thực tế "chỉ" xấp xỉ 210 triệu do trong số 419 triệu kia có nhiều dữ liệu trùng lặp.
Dường như dữ liệu được thu thập nhờ một công cụ mà Facebook đã vô hiệu hóa từ tháng 4/2018 sau bê bối Cambridge Analytica. Trước thời điểm ấy, Facebook cho phép bất kỳ ai cũng có thể tìm kiếm người dùng bằng số điện thoại của họ.
Người phát ngôn của Facebook là Jay Nancarrow cho biết dữ liệu trên đã bị loại bỏ kể từ khi Facebook tắt quyền xem số điện thoại công khai.
"Những dữ liệu trên đã cũ và dường như được thu thập trước khi chúng tôi tắt tính năng tìm kiếm người dùng thông qua số điện thoại kể từ năm ngoái. Tệp dữ liệu số điện thoại của người dùng đã được gỡ xuống và chúng tôi vẫn chưa thấy bất kỳ bằng chứng nào cho thấy người dùng bị xâm phạm", Nancarrow nói.
Tuy nhiên, phát ngôn viên cũng không trả lời câu hỏi về việc liệu Facebook có thông báo cho những người dùng bị lộ số điện thoại hay đưa ra giải pháp nào xoa dịu những người bị ảnh hưởng hay không.
Tuy những dữ liệu của người dùng bị Facebook cho là "cũ" là không hợp lý vì những thông tin này gắn bó chặt chẽ với người dùng và tiềm ẩn nhiều rủi ro. Dù không nhạy cảm như số chứng minh nhân dân, chúng là các định danh quan trọng, có thể bị lợi dụng để chiếm đoạt các thông tin riêng tư khác về cá nhân hay gia đình từ những kẻ môi giới trực tuyến.
Thậm chí, những kẻ tấn công giàu kinh nghiệm có thể dùng số điện thoại và thông tin có được từ môi giới hay các trang mạng xã hội (như địa chỉ nhà, thành viên gia đình…) để thuyết phục nhà mạng chuyển số điện thoại của nạn nhân sang điện thoại khác.
Nạn nhân mới nhất và nổi tiếng nhất của loại tấn công này chính là CEO Twitter Jack Dorsey. Tài khoản Twitter của ông đã bị tấn công bởi một nhóm tin tặc dường như đã giành được quyền kiểm soát số điện thoại. Hôm 4/9, Twitter thông báo tạm thời vô hiệu hóa khả năng gửi tweet thông qua SMS do lỗ hổng cần được nhà mạng giải quyết.
Hiếu Nguyễn (Tổng hợp)