250GB dữ liệu chứa thông tin cá nhân của hàng triệu người dùng mạng xã hội Facebook có thể đang nằm trong tay hacker và những kẻ xấu có thể lợi dụng những thông tin này cho mục đích đen tối, các nhà nghiên cứu của đại học British Columbia (Canada) cho biết.
Trong một báo cáo khoa học được phát hành vào tuần trước, các nhà nghiên cứu công nghệ của trường Đại học danh tiếng British Columbia cho biết các mạng xã hội lớn hiện nay, đặc biệt là Facebook rất dễ bị “tổn thưởng” bởi những cuộc tấn công xâm nhập quy mô lớn được tiến hành bời các hacker. Trong quá trình kiểm tra, các nhà nghiên cứu cũng cho biết Facebook đã không thể vượt qua được 80% các cuộc thử nghiệm bảo mật được tiến hành.
Đáng lưu tâm, mặc dù có các cơ chế bảo mật để chống gian lận và lừa đảo, tuy nhiên Facebook vẫ rất dễ bị xâm nhập bởi “Socialbot”, một loại phần mềm máy tính được thiết kế để có hành vi hoạt động tương tự như con người để tự động xâm nhập vào Facebook và đánh cắp các thông tin của người dùng có trên mạng xã hội này.
Cụ thể, các chuyên gia công nghệ của trường đại học Britis Columbia đã trải qua 8 tuần nghiên cứu để tìm hiểu khả năng xâm nhập vào các lỗ hổng bảo mật trên mạng xã hội. Họ đã lập trình 102 loại “socialbot” khác nhau nhằm vào mục tiêu Facebook, với các thông tin về người sử dụng không có thật và các “socialbot” này tự đọng gửi các yêu cầu kết bạn đến những người dùng Facebook khác.
Trong vòng 2 tuần đầu tiên, các phần mềm “bẫy” này đã gửi 976 lời mời kết bạn và có đến 19% người dùng Facebook đồng ý lời mời. Trong vòng 6 tuần tiếp theo, socialbot tiếp tục tự động gửi 3.517 lời mời kết bạn khác thông qua danh sách bạn bè của những người đã đồng ý kết bạn trong 2 tuần đầu tiên. Có đến 59% số người dùng Facebook đã đồng ý lời mời kết bạn trong lần thứ 2 này.
Sở dĩ, tỉ lệ đồng ý kết bạn này tăng cao bởi lẽ người dùng Facebook dễ dàng chấp nhận những lời mời kết bạn từ người lạ, nếu trong danh sách bạn bè của người này có những người bạn chung là bạn của mình.
“Từ phía mạng xã hội, chúng tôi nhận thấy rằng không quá khó khăn để tạo nên một hệ thống socialbot giả để qua mắt nhà cung cấp, cụ thể ở đây là Facebook” – Các nhà nghiên cứu cho hay – “Còn về phía người dùng, chúng tôi nhận ra rằng phần lớn họ quá dễ dãi và không cẩn thận trong việc chấp nhận lời mời kết bạn, chỉ cần có một vài người bạn chung là đủ”.
Kết quả nghiên cứu cho biết cơ chế bảo mật và chống lừa đảo của Facebook quá yếu kém và làm việc không hiệu quả trong việc xác định và loại bỏ những hồ sơ giả. Chỉ có 20% số lượng các socialbot bị chế độ bảo vệ của Facebook ngăn chặn, nhưng chỉ được thực hiện sau khi người dùng đưa ra lời than phiền và đánh dấu đó là những tài khoản spam.
Các nhà nghiên cứu cũng cảnh báo rằng những dữ liệu người dùng bị thu thập có thể được sử dụng để đánh cắp nhân dạng và sử dụng trong các mục đích đen tối: “Khi socialbot thâm nhập vào trong hệ thống mạng xã hội, chúng có thể tiếp tục thu hoạch dữ liệu cá nhân của người dùng như địa chỉ email, số điện thoại và các thông tin cá nhân có giá trị khác. Các dữ liệu này sau đó có thể được lợi dụng cho các chiếc dịch phát tác thư rác hoặc lừa đảo trên quy mô lớn”.
Trước kết quả của cuộc nghiên cứu, Graham Cluley chuyên gia tư vấn của hãng bảo mật nổi tiếng Sophos, cho biết đây là một cuộc nghiên cứu thú vị và rất đáng để lưu tâm.
“Rõ ràng đây là một bài học cho người sử dụng Facebook để tìm hiểu về sự cẩn thận trong việc đồng ý ai sẽ trở thành bạn của mình trên Facebook và những thông tin này mà bạn muốn chia sẻ trên đó” – Cluley nói.
Tuy nhiên, Cluley cũng cho biết là hơi quá đáng vì đã công khai nhắm thẳng vào các lỗ hổng bảo mật của Facebook để khai thác cũng như đã thử nghiệm thu thập thông tin từ người dùng Facebook mà không hỏi ý kiến của họ.
“Đội ngũ bảo mật của Facebook hẳn sẽ không hài lòng trước cuộc nghiên cứu này. Đặc biệt, không ít người dùng Facebook sẽ cảm thấy khó chịu khi biết mình bị đem ra làm thí nghiệm mà không có cảnh báo trước. Không chỉ thế, việc tạo các tài khoản ảo là vi phạm quyền sử dụng của Facebook. Các nhà nghiên cứu chỉ nên tiến hành khi được sự đồng ý từ phía Facebook và người dùng trong việc thu thập thông tin từ họ”.
Phản ứng trước kết quả của cuộc nghiên cứu, Facebook tuyên bố rằng mình đã vô hiệu hóa được số lượng tài khoản ảo nhiều hơn so với số lượng mà các nhà nghiên cứu đã công bố.
Một phát ngôn viên của Facebook nói: “Chúng tôi có rất nhiều các hệ thống được thiết kế để nhận diện các tài khoản giả và ngăn chặn việc thu thập thông tin. Chúng tôi liên tục cập nhật các hệ thống này để cải thiện hiệu quả của chúng và ngăn chặn các địa chỉ tấn công mới. Chúng tôi đã nghiên cứu mức độ tin cậy của những hệ thống này một cách kỹ càng”.
“Chúng tôi rất quan tâm đến cách thức mà các nhà nghiên cứu của trường Đại học British Columbia tiến hành và chúng tôi đã bày tỏ sự quan tâm này với họ. Ngoài ra, như mọi khi chúng tôi khuyến khích người dùng chỉ kết bạn với những người mà họ thực sự biết và báo cáo bất cứ hành vi đáng ngờ nào họ quan sát được trên Facebook với chúng tôi” – Facebook cho hay.
Mặc dù đưa ra những thông tin chấn an, tuy nhiên đây không phải là lần đầu tiên các nhà nghiên cứu bảo mật đưa ra thông tin cảnh báo về mức độ bảo mật kém và khả năng bị lừa đảo của người dùng trên mạng xã hội Facebook.