Kỹ sư Facebook có thể truy cập mọi tài khoản người dùng

Kỹ sư Facebook đã trình diễn ngay trước mặt một vị khách đến thăm trụ sở tại Los Angeles, Mỹ của trang mạng xã hội này khả năng đăng nhập vào tài khoản của chính ông mà không cần hỏi xem mật khẩu là gì.

Theo trang tin tức chuyên về bảo mật TheHackerNews, rõ ràng là Facebook và các hãng công nghệ lớn – trong đó có Google, Apple và Yahoo – đang ra sức làm cho dịch vụ của mình “thoát ly” khỏi các cơ quan thực thi pháp luật cũng như cơ quan tình báo.

Tuy nhiên, cùng lúc ấy, chính các hãng này, tối thiểu là với vài nhân viên tại các hãng này, vẫn có khả năng tự do truy cập vào dữ liệu cá nhân của người dùng.

Bản tin trên TheHackerNews ngày 27/2 cho biết, hồi đầu tuần này, ông Paavo Siljamäki bất ngờ đăng trên tài khoản Facebook cá nhân về việc trong chuyến thăm của mình đến văn phòng Facebook ở Los Angeles, sau khi nhận được sự cho phép của ông thì một kỹ sư tại Facebook đã đăng nhập vào tài khoản Facebook của ông, và điều bất ngờ là kỹ sư này đã đăng nhập thành công mà chẳng hề hỏi ông xem mật khẩu đăng nhập là gì.

Một người dùng Facebook vừa cho biết kỹ sư tại trang mạng xã hội này có thể đăng nhập thành công vào tài khoản của ông mà không cần hỏi xem mật khẩu đăng nhập là gì.

Một người dùng Facebook vừa cho biết kỹ sư tại trang mạng xã hội này có thể đăng nhập thành công vào tài khoản của ông mà không cần hỏi xem mật khẩu đăng nhập là gì.

Chưa dừng lại ở đó, theo ông Siljamäki, dịch vụ Facebook thậm chí chẳng hề cảnh báo cho ông khi có ai đó cũng truy cập vào profile Facebook cá nhân của mình, điều mà vốn dĩ Facebook thường thực hiện khi tài khoản Facebook của người dùng được đăng nhập từ bất kỳ thiết bị mới nào hay từ một vị trí địa lý hoàn toàn khác lạ so với trước đây.

Theo tường thuật của trang TheHackerNews, Siljamäki đã liên lạc với phía Facebook để biết được có bao nhiêu nhân viên của Facebook sở hữu quyền truy cập “thượng thừa” đối với mọi tài khoản Facebook và chính xác trong những trường hợp nào thì họ có thể truy cập dữ liệu của người dùng Facebook.

Ông này cũng đặt câu hỏi, làm thế nào để người dùng Facebook biết được rằng tài khoản Facebook của mình từng bị truy cập trái phép.

Trước câu hỏi từ phía ông Siljamäki, đại diện Facebook khẳng định hãng này có những chính sách nghiêm ngặt về hành chính, kỹ thuật và phương tiện để hạn chế nhân viên truy cập tài khoản khách hàng, đồng thời cho biết các khả năng kiểm soát này đã được đánh giá bởi một bên thứ 3 hoàn toàn độc lập và được xác nhận nhiều lần bởi văn phòng của Ủy ban bảo vệ dữ liệu Ireland.

Tuy nhiên, cũng theo TheHackerNews, trang mạng xã hội hàng đầu thế giới đã không giải thích được chính xác nhân viên của hãng có thể truy xuất được những gì, tuy nhiên vẫn đảm bảo với người dùng của mình rằng khả năng truy cập các tài khoản được phân cấp và giới hạn tùy vào nhiệm vụ công việc cụ thể.

Đại diện Facebook cho biết quyền truy cập tài khoản người dùng được cấp cho hầu hết nhân viên nhằm đáp ứng yêu cầu thông tin từ phía khách hàng hay báo cáo lỗi, tuy nhiên các nhân viên có quyền truy cập tài khoản người dùng chỉ được phép truy cập đúng loại thông tin cần thiết cho nhu cầu công việc.

Cụ thể, Facebook có một công cụ dịch vụ khách hàng, qua đó cho phép nhân viên Facebook có thể truy xuất tài khoản của người dùng.

Do đó, nhằm đảm bảo tính minh bạch, Facebook cũng nói rằng hãng này vận hành 2 hệ thống giám sát hoàn toàn khác nhau, và 2 hệ thống này hằng tuần đưa ra các báo cáo về những hành vi đáng ngờ và báo cáo sau đó sẽ được thẩm tra cũng như phân tích bởi 2 nhóm phụ trách công tác bảo mật riêng biệt.

Khi thuê nhân viên, phía Facebook đều đưa ra cảnh báo nghiêm khắc liên quan đến việc sử dụng công cụ này, và cho biết sẽ sa thải ngay bất kỳ nhân viên nào vi phạm các quy định liên quan, theo tường thuật của trang TheHackerNews.

Theo PCWorldVN

Trả lời

Thư điện tử của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *