Tin tặc tuyên bố đánh cắp 1,2 tỷ hồ sơ người dùng Facebook

Cơ sở dữ liệu quy mô lớn này đã xuất hiện trên một diễn đàn chuyên chia sẻ thông tin bị rò rỉ, kèm theo tuyên bố từ nhóm tấn công rằng đây không phải tập hợp từ các bản ghi cũ, mà là một kho dữ liệu hoàn toàn mới. Nếu được xác thực, đây có thể là một trong những vụ thu thập trái phép dữ liệu người dùng lớn nhất từng xảy ra với Facebook.

Nhóm nghiên cứu tại tờ Cybernews đã phân tích một mẫu dữ liệu bao gồm 100.000 hồ sơ người dùng Facebook duy nhất, được trích từ bài đăng ban đầu của kẻ tấn công. Dù chỉ là một phần nhỏ trong tập dữ liệu được cho là có quy mô 1,2 tỷ bản ghi, các nhà nghiên cứu cho biết thông tin trong mẫu này có vẻ hợp lệ.

Theo phân tích ban đầu, dữ liệu chứa các trường thông tin nhạy cảm như: ID người dùng, tên đầy đủ, địa chỉ email, tên người dùng, số điện thoại, địa điểm, ngày sinh và giới tính, đủ để tạo ra rủi ro nghiêm trọng về quyền riêng tư nếu bị khai thác.

Tuy nhiên, các chuyên gia cảnh báo rằng, cần thận trọng trước khi xác nhận tính xác thực của toàn bộ tuyên bố. Một phần vì đây chỉ mới là bài đăng thứ hai của nhóm tấn công trên diễn đàn, và bài đăng trước đó chứa lượng dữ liệu ít hơn rất nhiều.

“Không loại trừ khả năng họ đã thử phản hồi ban đầu với một phần dữ liệu nhỏ, sau đó tiếp tục thu thập hoặc tổng hợp dữ liệu để nâng số lượng lên 1,2 tỷ bản ghi”, nhóm nghiên cứu nhận định.

Nếu tuyên bố này được xác nhận, đây sẽ là một trong những vụ rò rỉ dữ liệu người dùng lớn nhất từng được ghi nhận trên nền tảng Facebook, điều này tiếp tục làm dấy lên câu hỏi về cách Meta bảo vệ thông tin cá nhân của người dùng.

“Các vụ việc liên tiếp cho thấy Facebook đang áp dụng các biện pháp bảo mật mang tính phản ứng hơn là chủ động, đặc biệt đối với dữ liệu nhạy cảm nhưng vẫn có thể truy cập công khai. Việc thiếu các cơ chế bảo vệ mạnh mẽ và sự minh bạch cần thiết không chỉ làm xói mòn lòng tin mà còn đặt hàng triệu người dùng vào nguy cơ bị lừa đảo, đánh cắp danh tính và các hệ quả lâu dài liên quan đến quyền riêng tư”, báo cáo của Cybernews nhấn mạnh.

Với quy mô lên tới 1,2 tỷ bản ghi, tập dữ liệu bị rò rỉ có thể trở thành công cụ cực kỳ nguy hiểm trong tay các nhóm tội phạm mạng. Việc sở hữu khối lượng lớn địa chỉ email, số điện thoại và thông tin cá nhân xác thực từ người dùng Facebook giúp kẻ tấn công dễ dàng tự động hóa các chiến dịch lừa đảo và tấn công mục tiêu ở quy mô lớn.

Thay vì cần đến thao tác thủ công, các chiến dịch này có thể được triển khai bằng robot tự động tạo ra hàng triệu thông điệp giả mạo, tin nhắn độc hại hoặc yêu cầu đăng nhập giả, được cá nhân hóa dựa trên dữ liệu thu thập được.

Việc biết rằng địa chỉ email trong danh sách thực sự gắn với tài khoản Facebook khiến các chiêu trò lừa đảo càng thêm thuyết phục. Tin tặc có thể nhắm vào từng người dùng bằng các chiến dịch lừa đảo tinh vi, giả danh Facebook hoặc các dịch vụ liên quan để đánh cắp thông tin đăng nhập, chiếm quyền điều khiển tài khoản, hoặc lừa đảo tài chính.

Theo các chuyên gia bảo mật, việc lạm dụng API là một chiến thuật ngày càng phổ biến đối với các tác nhân đe dọa. Trong nửa đầu năm nay, nhiều nền tảng lớn như Shopify, GoDaddy, Wix và OpenAI đã trở thành mục tiêu của các cuộc tấn công khai thác API.

Các nhóm tấn công có động cơ tài chính thậm chí còn sử dụng kỹ thuật tương tự để truy cập bất hợp pháp vào ví tiền điện tử, hoặc thu thập dữ liệu cá nhân từ các hệ thống không được bảo vệ đầy đủ.

API là một phần không thể thiếu trong hạ tầng kỹ thuật số hiện đại, cho phép các dịch vụ khác nhau tương tác và chia sẻ dữ liệu. Tuy nhiên, chính sự linh hoạt này lại khiến API trở thành điểm yếu nếu không được kiểm soát chặt chẽ. Những kẻ tấn công có thể lợi dụng các API hợp pháp để trích xuất dữ liệu với tốc độ và quy mô vượt xa ý định ban đầu của nhà phát triển.

Việc dữ liệu Facebook bị thu thập trái phép không còn là điều mới mẻ. Năm ngoái, chính Meta đã thừa nhận rằng họ đã sử dụng dữ liệu công khai từ Facebook và Instagram để đào tạo trợ lý ảo AI, một động thái từng gây nhiều tranh cãi về quyền riêng tư.

Trước đó, vào năm 2021, một vụ rò rỉ lớn khác liên quan đến dữ liệu của hơn 500 triệu người dùng Facebook, bao gồm số điện thoại và vị trí đã khiến công ty bị Ủy ban Bảo vệ Dữ liệu Ireland (DPC) phạt 265 triệu euro.

“Các sự cố lặp đi lặp lại cho thấy Facebook và nhiều nền tảng khác vẫn đang duy trì mô hình bảo mật mang tính phản ứng hơn là chủ động, đặc biệt là khi nói đến việc kiểm soát dữ liệu công khai nhưng nhạy cảm”, nhóm nghiên cứu cảnh báo.

Nhóm nghiên cứu cho rằng: “Khi thiếu đi các cơ chế phòng vệ nghiêm ngặt và sự minh bạch cần thiết, lòng tin người dùng bị xói mòn và hàng triệu người trở thành mục tiêu tiềm tàng của lừa đảo, gian lận, hoặc thậm chí đánh cắp danh tính”.