5.000 USD cho dữ liệu của 1 triệu tài khoản Facebook
Thông tin cá nhân và bảo mật của hơn 1,5 tỷ người dùng Facebook đang được rao bán trên một diễn đàn liên quan đến tin tặc khá nổi tiếng. Sự việc này có khả năng tạo điều kiện cho những nhà quảng cáo vô lương tâm và tội phạm mạng trục lợi từ đối tượng người dùng Internet trên toàn cầu.
Nếu điều này được xác thực, nó có thể được xem là một trong những vụ việc liên quan "rò rỉ" dữ liệu Facebook lớn nhất và quan trọng nhất từ trước đến nay.
Vào cuối tháng 9/2021, một người dùng của diễn đàn tin tặc nổi tiếng đã đăng một thông báo, tuyên bố rằng mình sở hữu dữ liệu cá nhân của hơn 1,5 tỷ người dùng Facebook.
Dữ liệu hiện đang được bán trên nền tảng diễn đàn tương ứng cho những khách hàng tiềm năng có cơ hội được mua tất cả dữ liệu cùng một lúc hoặc với số lượng ít hơn.
Thông tin người dùng bị rao bán trên trang tin tặc (Ảnh: Privacy Affair).
Một người mua tuyên bố đã được báo giá 5.000 USD cho dữ liệu của 1 triệu tài khoản Facebook.
Theo người đăng trên diễn đàn, dữ liệu cá nhân của hơn 1,5 tỷ người dùng Facebook được bán chứa các thông tin cá nhân, như: tên, e-mail, vị trí, giới tính, số điện thoại, ID người dùng.
Dữ liệu có vẻ xác thực?
Vào cuối ngày 4/10, sau khi thông tin này được đăng tải, một người dùng trên diễn đàn và một người mua cho biết, họ đã trả tiền cho người bán nhưng không nhận được bất kỳ thứ gì.
Tuy nhiên, sau đó vào ngày 5/10, người bán dữ liệu trên diễn đàn phủ nhận các cáo buộc mình lừa đảo, khẳng định những thông tin dữ liệu là có thật. Người bán này cũng cho biết, mình sẵn sàng hợp tác với quản trị viên của diễn đàn để chứng minh tính xác thực của các dữ liệu.
Thông tin cá nhân gồm nhiều dữ liệu, như tên, giới tính, vị trí... (ảnh: Privacy Affair)
Các mẫu dữ liệu được trình bày trên diễn đàn cho thấy, nó có vẻ là thật.
Khi kiểm tra chéo chúng cho kết quả không trùng khớp với các dữ liệu bị rò rỉ của Facebook trước đó, như vậy khẳng định ban đầu dữ liệu mẫu được cung cấp là duy nhất và không phải là bản sao hoặc được bán lại của một vi phạm dữ liệu nào đã biết trước đó. Dữ liệu đã bán được tuyên bố là mới từ năm 2021.
Người bán tự nhận mình đại diện cho một nhóm khai thác dữ liệu hoạt động ít nhất 4 năm và đã có hơn 18.000 khách hàng trong thời gian này.
Dữ liệu được thu thập bằng cách "cào" thông tin
Người giao dịch tuyên bố đã lấy được dữ liệu bằng cách thu thập dữ liệu chứ không phải hack hoặc xâm phạm tài khoản của người dùng cá nhân.
Người giao dịch tuyên bố đã lấy được dữ liệu bằng cách thu thập dữ liệu (ảnh: Privacy Affair).
Scraping là một quá trình trích xuất hoặc khai thác dữ liệu công khai và có thể truy cập trực tuyến với sự trợ giúp của các chương trình máy tính từ một website bất kỳ, hay còn gọi là "cào" dữ liệu. Trong đó, dữ liệu có sẵn và công khai sẽ được truy cập và sắp xếp thành các danh sách dưới dạng cơ sở dữ liệu.
Đa số dữ liệu như vậy có được từ việc lọc ra những hồ sơ Facebook được chính chủ sở hữu đặt chế độ "công khai". Không may là phần lớn thông tin cá nhân được chia sẻ miễn phí và cung cấp cho công chúng bởi chính người dùng Facebook.
Mặc dù về mặt kỹ thuật không có tài khoản nào bị xâm phạm, nhưng điều này đã trở thành nỗi lo cho những người có dữ liệu mà giờ đây có thể đã nằm trong tay của các nhà tiếp thị internet và có khả năng cũng nằm trong tay của những tên tội phạm mạng.
Nguy cơ tấn công lừa đảo và chiếm đoạt tài sản
Các nhà tiếp thị có thể sử dụng thông tin của người dùng để tiếp cận cá nhân hoặc nhóm đối tượng cụ thể bằng các quảng cáo phiền toái.
Sự thật là số điện thoại, vị trí thực tế và tên đầy đủ của người dùng là điều đáng quan tâm. Tin tặc có thể sử dụng dữ liệu cóp nhặt đó để thực hiện các cuộc tấn công, lừa đảo một cách tinh vi.
Việc xác định được số điện thoại của người dùng có thể tạo điều kiện cho tội phạm mạng gửi tin nhắn SMS mạo danh Facebook hay thậm chí là các ngân hàng. Sau đó, người dùng sẽ được mời nhấp vào một liên kết để thay đổi mật khẩu, nhận thưởng hoặc làm điều gì đó tương tự.
Sau khi truy cập vào liên kết, họ sẽ được chuyển hướng đến một phiên bản sao chép của trang web được thủ phạm giả danh xây dựng. Nếu người dùng nhập mật khẩu thật hiện tại của họ, tội phạm mạng sẽ có thể chiếm đoạt tài khoản đó.
Tin tặc có thể sử dụng dữ liệu cóp nhặt đó để thực hiện các cuộc tấn công, lừa đảo một cách tinh vi (ảnh: Elleman).
Có "khảo sát" và "câu đố” giả mạo trên Facebook
Một phương pháp thu thập dữ liệu phổ biến - nhưng bất hợp pháp là thông qua các khảo sát và câu đố giả mạo trên Facebook.
Có thể bạn đã từng bắt gặp một bài đăng với nội dung như "Bạn phù hợp với nghề gì?" hoặc "Làm bài trắc nghiệm này để biết khi nào bạn gặp được nửa kia?"…. Đây thường là những kế hoạch để lấy cắp dữ liệu cá nhân của người dùng.
Để bảo vệ tài khoản Facebook của mình, người dùng Facebook được khuyến cáo không nên đặt tài khoản ở chế độ công khai hoàn toàn. Không nên đăng nhập các câu đố hay bài khảo sát, một trò chơi ngẫu nhiên trên Facebook trừ khi nó được cung cấp bởi một đơn vị sản xuất đã được xác minh.
Sự việc trên hoàn toàn không liên quan tới sự cố kỹ thuật ngừng hoạt động trên toàn cầu của Facebook vào cuối ngày 4 tháng 10 (vào khoảng từ 22:30 đêm đến 5:00 sáng theo giờ Việt Nam).
Một số trang web và tài khoản Twitter đã quy kết sai rằng lý do của sự cố mất điện Facebook vào ngày 4 tháng 10 là do rò rỉ dữ liệu mà không có bằng chứng nào.
Người ta cáo buộc rằng dữ liệu được thu thập bằng cách lấy những dữ liệu có sẵn công khai bởi người dùng. Một số phương tiện truyền thông và người dùng Twitter hiểu sai sự cố trên là do bị hack hoặc vi phạm dữ liệu, nhưng những điều đó không đúng.
Để bảo vệ người dùng của mình, Facebook cần thực hiện việc bảo mật thông tin một cách quyết liệt hơn.
Xuân Diệu - Thanh Tùng (Theo Privacy Affair)
