Facebook vừa xác nhận một lỗ hổng bảo mật zero-day trong nền tảng mạng xã hội này cho phép hacker ăn cắp token truy xuất bí mật của hơn 50 triệu tài khoản.
Trong một bài blog chia sẻ mới đây, Facebook tiết lộ rằng đội ngũ bảo mật của họ đã phát hiện vụ tấn công cách đây ba ngày và vẫn đang điều tra vụ việc này.
Lỗ hổng bảo mật này không được tiết lộ chi tiết nhưng đã được Facebook vá lại. Nó nằm trong tính năng View As cho phép người dùng có thể phát hiện những người dùng Facebook khác sẽ thấy gì khi truy xuất vào trang Facebook cá nhân của họ.
Theo Facebook, lỗ hổng này cho phép hacker có thể chiếm token truy cập bí mật và dùng nó để chiếm tài khoản Facebook của người dùng. Đây là vấn đề khá nghiêm trọng vì token này giống như một loại khóa kỹ thuật số, cho phép người dùng đăng nhập vào Facebook mà không phải nhập lại mật khẩu mỗi lần sử dụng.
Nhằm tránh hậu quả nghiêm trọng cho người dùng, Facebook đã đặt lại token truy cập này cho gần 50 triệu tài khoản bị ảnh hưởng và thêm 40 triệu tài khoản khác để phòng hờ. Hậu quả là có khoảng 90 triệu người dùng sẽ phải đăng nhập lại vào Facebook hoặc bất kỳ ứng dụng nào sử dụng tính năng Facebook Login. Sau khi đăng nhập vào lại, người dùng sẽ nhận được thông báo về sự việc ngay phía trên News Feed.
Hiện tại, tính năng View as đã tạm thời bị vô hiệu hóa. Trong khi đó, cuộc điều tra chỉ mới ở giai đoạn đầu và Facebook cũng chưa thể xác định được liệu kẻ tấn công có sử dụng hành vi sai trái nào với các token truy cập của hơn 50 triệu tài khoản nói trên hay có thông tin nào đã bị truy xuất trái phép hay không.
Sau vụ Cambridge Analytica, dường như vận xui vẫn tiếp tục bám đuổi nền tảng mạng xã hội lớn nhất thế giới này. Thậm chí sau vụ việc này thì người ta càng thấy sự thất bại của Facebook trong việc bảo vệ thông tin của người dùng, dù hãng đang kiếm được hàng tỉ đô từ dữ liệu này.