Giám đốc bảo mật của Facebook, Alex Stamos, đã thông báo rằng một lỗ hổng trong xác thực hai yếu tố có nghĩa là một số người dùng đã được gửi thông báo bằng tin nhắn văn bản là một lỗi.
Trong một bài đăng trên blog, anh ấy nói “Điều cuối cùng chúng tôi muốn là mọi người tránh các tính năng bảo mật hữu ích vì họ sợ sẽ nhận được những thông báo không liên quan. Chúng tôi không có ý định gửi thông báo SMS không liên quan đến bảo mật đến những số điện thoại này và tôi xin lỗi vì bất kỳ sự bất tiện nào mà những tin nhắn này có thể đã gây ra. ”
Một số người dùng gặp phải lỗi cũng phát hiện ra rằng khi họ gửi trả lời cho các thông báo yêu cầu họ dừng lại, tin nhắn của họ đã được đăng lên tường Facebook của họ để mọi người xem. Theo Stamos, trong những trường hợp này, hoạt động của mạng xã hội không phải là một sai sót, mà là chức năng mà người dùng đơn giản là không nhận thức được.
“Trong nhiều năm, trước sự phổ biến của điện thoại thông minh, chúng tôi đã hỗ trợ đăng bài lên Facebook qua tin nhắn văn bản, nhưng tính năng này ngày càng ít hữu ích hơn. Do đó, chúng tôi đang nỗ lực để sớm ngừng sử dụng chức năng này ”.
Lý do này nghe có vẻ hơi khó hiểu đối với tôi, vì các trang hỗ trợ của Facebook nói rằng bạn cần thiết lập văn bản trên Facebook để tận dụng chức năng này. Như chúng tôi đã đề cập trong câu chuyện gốc bên dưới, Gabriel Lewis, lập trình viên đã nêu bật các lỗi một cách rõ ràng cho biết anh ta chưa bao giờ đăng ký nhắn tin văn bản.
Phải nói rằng, số điện thoại mà Lewis nhận được thông báo (32665) chính là số mà Facebook sử dụng cho các tính năng tin nhắn văn bản, vì vậy ai mà biết được. Đạo lý của câu chuyện là nếu bạn không muốn thứ gì đó xuất hiện trên tường của mình, đừng tình cờ chia sẻ nó với Facebook.
Câu chuyện gốc tiếp tục dưới đây:
Facebook đang bị giám sát bởi hai sai sót đáng kể trong việc xử lý xác thực hai yếu tố.
Xác thực hai yếu tố, hoặc 2FA, được sử dụng để thêm một lớp bảo mật bổ sung cho các tài khoản trực tuyến. Khi bạn đăng nhập bằng tên người dùng và mật khẩu, mã thứ hai, duy nhất được tạo, thường được gửi bằng SMS, để ngăn bất kỳ ai khác truy cập vào tài khoản.
Theo báo cáo của The Verge, đầu tuần này, kỹ sư phần mềm Gabriel Lewis của Mỹ đã nhận thấy rằng Facebook đang gửi thông báo bằng văn bản đến một số điện thoại mà anh ấy đã đăng ký chỉ để nhận các mã đăng nhập này. Đáng chú ý, anh ấy chưa bao giờ chọn bật thông báo tin nhắn văn bản.
ĐỌC TIẾP: Cách bật xác thực hai yếu tố trên Facebook
Lỗ hổng thứ hai, có vẻ là một lỗi, đó là khi Lewis trả lời các tin nhắn yêu cầu Facebook ngừng gửi chúng, phản hồi của anh ấy đã được đăng lên tường Facebook của anh ấy cho tất cả bạn bè của anh ấy xem. Để tăng thêm sự xúc phạm cho thương tích, các thông báo sau đó vẫn tiếp tục.
Lỗ hổng đầu tiên, theo nhiều cách, gây rắc rối hơn, vì có vẻ như Facebook đang sử dụng số điện thoại của người dùng cho các mục đích tiếp thị mà không có sự cho phép rõ ràng. Như The Verge chỉ ra, điều này tạo cơ sở cho hành động pháp lý ở Hoa Kỳ, nơi Đạo luật bảo vệ người tiêu dùng qua điện thoại cấm các công ty liên hệ với bạn theo cách này mà không có sự đồng ý.
Điều đó không có nghĩa là tác động của lỗ hổng thứ hai cũng không đáng kể. Người dùng Twitter David Comdico đã cố gắng nói với tất cả gia đình của mình rằng hãy vô tình đi xuống địa ngục bằng cách trả lời các thông báo trong cơn giận dữ, điều này rõ ràng là không lý tưởng.
Ở giai đoạn này, có vẻ như các lỗ hổng cụ thể theo khu vực. Nó dường như không ảnh hưởng đến bất kỳ ai ở Vương quốc Anh. Hơn nữa, khi tôi thử trả lời SMS mã đăng nhập, tin nhắn văn bản chỉ không gửi được nên không có gì xuất hiện trên tường Facebook của tôi.
ĐỌC TIẾP: Giải thích xác thực hai yếu tố
Nhà văn nổi tiếng người Thổ Nhĩ Kỳ, Zeynep Tufekci, người thẳng thắn chỉ trích những sai sót của mình, đã hỏi liệu có ai ở EU bị ảnh hưởng hay không và tại thời điểm viết bài, không ai phản hồi để nói rằng họ có.
Facebook đã đưa ra tuyên bố tương tự mà họ đã đưa ra cho The Verge: “Chúng tôi cung cấp cho mọi người quyền kiểm soát các thông báo của họ, bao gồm cả những thông báo liên quan đến các tính năng bảo mật như xác thực hai yếu tố. Chúng tôi đang xem xét tình huống này để xem liệu chúng tôi có thể làm gì hơn để giúp mọi người quản lý thông tin liên lạc của họ hay không. ”
Mạng xã hội không làm rõ việc đăng tự động lên tường của người dùng có phải là lỗi hay không và nó cũng tuyên bố rằng người dùng có thể sử dụng xác thực hai yếu tố mà không cần đăng ký số điện thoại bằng "trình tạo mã" trên ứng dụng Facebook dành cho thiết bị di động.
Xem liên quan Cách bật (hoặc tắt) Xác thực hai yếu tố trên Facebook Xác thực hai yếu tố được giải thích: Tại sao bạn nên bật bảo mật hai bướcThật khó để tưởng tượng rằng một trong hai sai sót này đều là những động thái có tính toán của Facebook, đặc biệt là sau khi Mark Zuckerberg đưa ra quyết định của Năm mới để sửa chữa các sai sót của mạng xã hội. Người đứng đầu Civic Engagement của trang web, Samidh Chakrabarti, gần đây cũng đã công bố các biện pháp để giúp xây dựng lại lòng tin của người dùng đối với trang web. Thay vào đó, có vẻ như hai lỗi đơn giản kết hợp với nhau theo những cách tồi tệ nhất.
Tuy nhiên, cho đến khi Facebook làm rõ thêm về cách người dùng nhận thông báo qua số điện thoại mà họ đã đăng ký xác thực hai yếu tố, một số người chắc chắn sẽ đặt câu hỏi liệu đó có phải là một ví dụ khác về việc mạng xã hội ngày càng tuyệt vọng trong việc thúc đẩy mức độ tương tác của người dùng hay không.