Vụ tấn công tài khoản Facebook

An toàn thông tin - Ngày đăng : 18:05, 03/10/2018

Ngày 28/9, một vi phạm lớn đã mở ra một mặt trận mới trong cuộc chiến trên Facebook. Theo công ty, hơn 50 triệu tài khoản đã bị chiếm đoạt bởi một loại sâu đăng nhập, sử dụng một loạt các lỗ hổng chưa được công bố để chiếm đoạt các khóa phiên trên một quy mô chưa từng thấy. Tin tặc có quyền truy cập đầy đủ vào bất kỳ tài khoản được nhắm mục tiêu nào - về cơ bản, họ có thể làm bất cứ điều gì bạn có thể làm khi đăng nhập - và Facebook vẫn đang làm việc để khảo sát toàn bộ mức độ thiệt hại.

Phản ứng vi phạm luôn luôn hỗn loạn, nhưng điều này đặc biệt bất tiện vì một bộ quy tắc mới được thiết lập bởi Quy định bảo vệ dữ liệu chung của EU hoặc Quy định chung về bảo mật dữ liệu của Liên minh Châu Âu. Được triển khai vào tháng 5, Quy định chung về bảo mật dữ liệu của Liên minh Châu Âu đặt ra các yêu cầu nghiêm ngặt đối với mọi vi phạm liên quan đến công dân EU, các yêu cầu đã hướng dẫn đối phó của Facebook đối với cuộc tấn công khóa phiên. Theo dòng thời gian của Facebook, việc tiết lộ vào thứ Sáu chỉ sát khung giờ quy định là 72 tiếng để thông báo sự cố có hiệu cho các ủy viên bảo mật, một thời hạn chặt chẽ hơn nhiều so với các công ty thường áp dụng.

Theo yêu cầu, Facebook cũng gửi các thông báo chính thức hơn cho các ủy viên bảo mật khác nhau, những người có thể quyết định nộp đơn kiện về vi phạm. Gần đây nhất là Chủ nhật, ủy viên bảo mật dữ liệu của Ireland cho biết họ đang “chờ đợi từ Facebook các chi tiết khẩn cấp hơn nữa về vi phạm an ninh”. Ủy viên Vương quốc Anh vẫn đang xác định xem công dân của đất nước có liên quan hay không, mặc dù đã đưa ra mô hình phạm vi rộng và vô lối của cuộc tấn công, có khả năng ít nhất là một vài trong số đó bị ảnh hưởng. "Trách nhiệm của công ty luôn là xác định khi nào công dân Anh bị ảnh hưởng như là một phần của vi phạm dữ liệu và thực hiện các bước để giảm thiểu thiệt hại cho người tiêu dùng", Ủy viên cho biết trong một tuyên bố. "Chúng tôi sẽ đưa ra yêu cầu với Facebook và các đối tác nước ngoài của chúng tôi để thiết lập quy mô vi phạm và nếu bất kỳ công dân Anh nào bị ảnh hưởng". Facebook đang đối mặt với một vụ kiện tập thể ở California và một số câu hỏi nghiêm khắc từ FTC, nhưng phần lớn áp lực dự kiến đến từ châu Âu.

Đã có vô số hành vi vi phạm trước đây - Facebook thậm chí đã xử lý các lỗi đăng nhập cụ thể như thế này - nhưng Quy định chung về bảo mật dữ liệu của Liên minh Châu Âu thay đổi mọi thứ. Nếu bị phát hiện vi phạm, công ty có thể chịu trách nhiệm cho đến 4% doanh thu hàng năm, lên đến 4 tỷ đô la. Chưa ai tố cáo Facebook về sự bất cẩn trên, nhưng thực tế của vụ việc vẫn chưa được kết luận, và với các nhà lập pháp vốn có mối thù địch với Facebook, nhiều ủy viên bảo mật sẽ muốn thử vận may của họ. Bởi vì luật này còn mới mẻ, không ai biết chắc chắn như thế nào một trường hợp như vậy sẽ diễn ra, nhưng Facebook đã chuẩn bị cho cuộc chiến trọng đại trong lịch sử của công ty.

Vụ vi phạm mới đi ngược lại với cuộc đấu tranh của Quy định chung về bảo mật dữ liệu của Liên minh Châu Âu, phần lớn liên quan đến các quyết định chính sách và điều khoản dịch vụ. Cả Facebook và Google đã phải chịu trách nhiệm về việc có Điều khoản dịch vụ vi phạm quy định, mặc dù bộ đồ được mang bởi bên thứ ba và vụ này chưa tiến triển nhiều. Vụ bê bối như Cambridge Analytica thể hiện một mặt trận khác trong cuộc chiến, trong đó rõ ràng vi phạm quyền riêng tư của người dùng từ sự lựa chọn của người dùng, lách được hầu hết các định nghĩa pháp lý về vi phạm. Nhưng sự vi phạm gần đây này đơn giản hơn rất nhiều. Facebook không nên cho phép các tin tặc này truy cập vào các tài khoản - đó không phải là một dự án chia sẻ dữ liệu hoặc một API bị lỗi - vì vậy thật khó để đọc được bất kỳ điều gì khác ngoài sự cố trong bảo mật Facebook. Câu hỏi duy nhất là Facebook sẽ bị phạt bao nhiêu tiền vì vụ này.

Theo Quy định chung về bảo mật dữ liệu của Liên minh Châu Âu, câu hỏi về trách nhiệm của công ty phần lớn nghiêng về việc liệu công ty có bất cẩn hay không, bỏ qua các thực hành cơ bản có thể ngăn chặn được sự vi phạm. Chúng tôi không có đủ thông tin về cuộc tấn công để đánh giá phản ứng của Facebook vào thời điểm này, nhưng những gì đã xảy ra trước công chúng đã đủ để làm hài lòng một số nhà phê bình. Shane Green, người sáng lập Digi.me, một nền tảng thay thế tập trung vào sự riêng tư về dữ liệu cho biết: “Facebook đã thực hiện tốt cho đến nay dựa trên những gì chúng tôi biết, bao gồm cả việc đặt lại mã thông báo. "Các điều tra pháp lý về vấn đề này không phải là dễ dàng, và đó là một sự cân bằng để cảnh báo mọi người về trường hợp xấu nhất mà không dọa họ sợ chết khiếp hoặc gây ra một phản ứng quá mức."

Tuy nhiên, khi có nhiều thông tin hơn hơn, khả năng rất khó tránh khỏi Quy định chung về bảo mật dữ liệu của Liên minh Châu Âu. Cho đến nay, Facebook đã nhấn mạnh sự phức tạp của các lỗi - một lỗ hổng ba phần trong chức năng tối nghĩa “View As”, nhưng chính mã sản phẩm riêng của Facebook đã tạo ra lỗ hổng và chưa được vá trong hơn một năm. Cũng có một số tin đồn cho rằng cuộc tấn công có thể đã báo cáo cho Facebook trước sự vi phạm, tin đồn đã gây ra sự đe doạ công khai chống lại tài khoản của Mark Zuckerberg một ngày trước khi Facebook công bố. Không tin đồn nào được xác nhận, nhưng chúng thể hiện nguy cơ đáng sợ với công ty. Nếu bất kỳ lỗi nào đã được báo cáo cho Facebook trước khi vi phạm, việc không kịp thời vá lỗ hổng có thể là bằng chứng mạnh mẽ tại tòa án.

Trường hợp này đặc biệt phức tạp vì bản hack mở rộng ra ngoài Facebook. Khi một tài khoản cụ thể bị xâm nhập, kẻ tấn công cũng có quyền truy cập vào bất kỳ tài khoản bên thứ ba nào đã dựa vào Facebook để xác thực. Đây là thực tiễn phổ biến trên web - nếu bạn đã từng nhấp vào "đăng nhập thông qua Facebook" thay vì thiết lập mật khẩu mới, bạn là một phần của mật khẩu - nhưng là một mật khẩu nguy hiểm trong các trường hợp như thế này. Facebook đã thu hồi các mã thông báo đăng nhập bị xâm nhập, nhưng nó không thể giải quyết toàn bộ vấn đề. Những nền tảng bên ngoài cũng sẽ cần phải tuôn ra hệ thống của họ, và có khả năng sẽ có một số người đến muộn để nhận ra sự nguy hiểm. Nếu đường tấn công đó gây ra nhiều vi phạm hơn nữa và thiệt hại hơn nữa, thật khó để nói liệu trách nhiệm pháp lý có rơi vào Facebook hay dịch vụ của bên thứ ba hay không.

Đối với Facebook, những câu hỏi chưa được trả lời như thế là phần đáng sợ nhất của mớ hỗn độn này. Chưa có ai từng kiện tụng những vấn đề này trước đây và chúng tôi chỉ có cảm giác mơ hồ về quyền lực của Quy định chung về bảo mật dữ liệu của Liên minh Châu Âu mạnh hoặc yếu. Công ty có thể phải trải qua nhiều năm trong chiến tranh pháp lý và phải thanh toán khoản phạt hàng tỷ đô la - hoặc không hề bị phạt. Chúng ta mới chỉ áp dụng Quy định chung về bảo mật dữ liệu của Liên minh Châu Âu vài tháng, và đơn giản là không có lộ trình nào về cách sử dụng nó. Về mặt chính trị, Facebook là mục tiêu hoàn hảo - một công ty công nghệ Mỹ ngày càng không được ưa chuộng với những đối thủ đáng kể ở cả phe cánh tả và cánh hữu. Với luật pháp vẫn đang hoạt động, các chi tiết của vụ án ít nghiêm trọng hơn vụ việc có liên quan đến yếu tố chính trị. Các tình huống như thế này không bao giờ dễ dàng, nhưng Facebook đã chọn một thời khắc xấu để vi phạm.

Hồng Phương, Phạm Thu Trang