Thay đổi cài đặt bảo mật Facebook có thể cho phép hacker trộm cắp thông tin cá nhân của bạn
Người dùng Facebook: Ai có thể tìm ra tôi…? Hacker: Tôi có thể!! Một nhà nghiên cứu bảo mật tuyên bố “Tội phạm công nghệ có thể dễ dàng quét dân số của cả một quốc gia để tìm mục tiêu”. Reza Moaiandin, giám đốc kỹ thuật tại Salt Agency, đã tìm ra cách khai thác một tính ...
Người dùng Facebook: Ai có thể tìm ra tôi…? Hacker: Tôi có thể!!
Một nhà nghiên cứu bảo mật tuyên bố “Tội phạm công nghệ có thể dễ dàng quét dân số của cả một quốc gia để tìm mục tiêu”.
Reza Moaiandin, giám đốc kỹ thuật tại Salt Agency, đã tìm ra cách khai thác một tính năng Facebook quan trọng để thu thập dữ liệu cá nhân thuộc về người dùng.
Cài đặt bảo mật Facebook khiến danh tính của bạn dễ bị xâm nhập
Nếu bạn chú ý đến các thiết lập bảo mật trong hồ sơ Facebook của mình, bạn sẽ tìm thấy một thiết lập riêng tư: “Ai có thể tìm ra tôi?”, hoặc “Ai có thể nhìn thấy bạn bằng cách sử dụng số điện thoại bạn cung cấp?” đã được thiết lập ‘Tất cả mọi người’ theo mặc định.
Cấu hình này cho phép bạn tìm kiếm bất cứ ai chỉ bằng cách nhập số điện thoại của họ; kết quả là, hộp tìm kiếm trong Facebook sẽ hiển thị hồ sơ cá nhân của người đó.
Tuy nhiên, bạn có thể tưởng tượng, tội phạm mạng có thể tận dụng sai lầm riêng tư nghiêm trọng này như thế nào?
Bằng cách khai thác tính năng mặc định này với một thủ thuật đơn giản, nhà nghiên cứu đã có thể kết nối hàng ngàn số điện thoại vào tài khoản Facebook tương ứng.
Hơn nữa, lỗ hổng bảo mật này trong công cụ tìm kiếm của Facebook gần đây đã dẫn đến ăn cắp dữ liệu khoảng 1,5 triệu người dùng Facebook.
Những “kẽ hở” cho phép kẻ tấn công thu thập thông tin cá nhân (PII) từ hàng triệu người sử dụng, bao gồm cả họ tên, số điện thoại, địa điểm, hình ảnh và nhiều hơn thế.
Nhà nghiên cứu bảo mật sử dụng một scipt có thứ tự để tạo ra mọi sự kết hợp số điện thoại có thể được sử dụng ở Anh, Mỹ và Canada.
Về cơ bản, ông đã thành lập một bộ tạo số điện thoại mà thông qua các con số có thể và sử dụng Application Programming Interface của Facebook (API) (một công cụ cho phép các nhà phát triển xây dựng các ứng dụng liên kết với các mạng xã hội) để thu thập ID người dùng facebook liên kết với từng số điện thoại.
Một khi bạn có ID của người sử dụng, các API trả về chi tiết người dùng bao gồm:
Số điện thoại,
Họ và tên,
Ảnh đại diện,
Loại điện thoại nó gắn liền với,
Phiên bản Facebook Messenger chủ tài khoản đang sử dụng,
Dù có hay không vài người có thể đưa dữ liệu lên điện thoại.
Nhà nghiên cứu tuyên bố rằng ông có thể tìm thêm thông tin về người dùng Facebook nếu ông tiếp tục nghiên cứu.
Hơn nữa, ông trích dẫn:
“Với lỗ hổng bảo mật này, một người có kiến thức cần thiết có thể thu hoạch chi tiết thông tin công khai của người dùng, những người cho phép truy cập công cộng đến các số điện thoại của họ, thu thập thông tin để sau đó sử dụng hoặc bán các chi tiết về cá nhân người dùng cho các mục đích mà người dùng có thể không mong muốn”, Moaiandin cho biết.
Facebook không thể vá nó, nhưng bạn có thể!
Moaiandin đã cảnh báo Facebook về vấn đề nghiêm trọng này và yêu cầu họ mã hóa trước các API Facebook.
Tuy nhiên, lỗ hổng an ninh vẫn còn nguyên vẹn, bị cáo buộc khiến 1,44 tỷ người sử dụng trang web xã hội này mở cửa cho các cuộc tấn công phi kỹ thuật và hành vi trộm cắp thông tin cá nhân.
Nhà nghiên cứu đã liên hệ với Facebook hai lần kể từ khi phát hiện ra lỗ hổng. Tuy nhiên, Facebook dường như không coi nó là một lỗ hổng có thể bị lạm dụng.
Theo Facebook Security Team, có kiểm soát để giám sát và giảm thiểu những loại lạm dụng API như vậy.
Công ty cho biết có những quy định nghiêm ngặt hạn chế cách các nhà phát triển có thể sử dụng các API và động thái ngay tức thì chống lại bất cứ ai phá vỡ chúng.
Làm thế nào để sửa chữa vấn đề bảo mật Facebook
Trong khi đó, các biện pháp bảo mật có thể được thực hiện và bạn có thể bảo vệ mình an toàn không trở thành nạn nhân.
Bạn có thể làm theo một số bước đơn giản dưới đây:
Đừng chia sẻ số điện thoại của bạn trong hồ sơ.
Ngoài ra, thay đổi thiết lập ‘mặc định’ thành ‘Chỉ dành cho bạn bè’.
Nhưng, một người thu được gì từ hành động này?
Một kẻ tấn công với mục đích xấu có thể bán bộ cơ sở dữ liệu của các ‘thông tin cá nhân’ ở thị trường chợ đen, có thể đẩy cuộc sống của người dùng vào nguy hiểm.
Hơn nữa, nếu bạn là nạn nhân của các cuộc tấn công như vậy, bạn nên suy nghĩ bước tiếp theo của hacker là gì! Hành vi trộm cắp thông tin cá nhân, thiệt hại tài chính, lây nhiễm phần mềm độc hại và tấn công lừa đảo… tại sao không!
THN