Một báo cáo bảo mật vừa được công bố đã làm dậy sóng cộng đồng công nghệ: 3,5 tỉ người dùng WhatsApp đã vô tình bị lộ số điện thoại và ảnh cá nhân trong nhiều năm, và điều đáng nói là lỗ hổng này có thể bị khai thác mà… không cần bất kỳ kỹ năng hack nào.
GSMArena đưa tin, theo các nhà nghiên cứu tại Áo, lỗ hổng xuất phát từ chính cơ chế đồng bộ danh bạ quen thuộc của WhatsApp. Chỉ cần nhập một số điện thoại, ứng dụng sẽ cho biết số đó có dùng WhatsApp hay không và hiển thị hồ sơ cơ bản. Nhóm nghiên cứu đã tự động hóa quá trình này thông qua WhatsApp Web và nhanh chóng đạt tốc độ quét 100 triệu số mỗi giờ, mở ra khả năng thu thập dữ liệu ở quy mô chưa từng có.
Kết quả thu được cho thấy mức độ phơi bày thông tin vô cùng nghiêm trọng:
- Toàn bộ 3,5 tỉ người dùng đều bị xác định số điện thoại liên kết với tài khoản.
- 57% bị lộ ảnh đại diện độ phân giải cao.
- 29% bị lộ phần mô tả cá nhân.
Với lượng dữ liệu khổng lồ này, tin tặc, công ty quảng cáo hay kẻ lừa đảo hoàn toàn có thể tạo ra các cơ sở dữ liệu gắn số điện thoại thật với khuôn mặt và thông tin cá nhân để phục vụ cho mục đích xấu.
Điều gây tranh cãi hơn cả là Meta đã biết lỗ hổng từ năm 2017, nhưng không có biện pháp ngăn chặn triệt để. Chỉ đến tháng 4 năm nay – khi nhóm nghiên cứu gửi báo cáo đầy đủ và gây sức ép – Meta mới bắt đầu xử lý, và phải đợi đến tháng 10 mới chính thức chặn việc quét số hàng loạt.
Dù đã âm thầm vá lỗi, Meta vẫn giữ quan điểm rằng dữ liệu bị thu thập “là thông tin công khai” và cho biết những người đặt quyền riêng tư phù hợp sẽ không bị ảnh hưởng. Tuy vậy, với phần lớn người dùng, việc số điện thoại và ảnh cá nhân có thể bị thu thập dễ dàng như vậy vẫn là hồi chuông cảnh báo về sự mong manh của quyền riêng tư trên nền tảng nhắn tin lớn nhất thế giới.
