Lỗ hổng giống nhau về bảo mật của Facebook và thị trường Cryptocurrency

Facebook vừa công bố họ bị hack và có thể 50 triệu tài khoản bị rò rỉ thông tin. Trong bài viết này mình sẽ tổng hợp lại thông tin từ các nguồn khác nhau về vấn đề này để anh em hiểu hơn, cũng như nguyên nhân cốt lõi của tất cả những chuyện này là gì. Cuối cùng, mình sẽ chỉ ra sự giống nhau đến bất ngờ của các vụ hack như thế này đến vấn đề bảo mật trên thị trường cryptocurrency.
Nguyên nhân vụ hack 50 triệu tài khoản Facebook
1. Lỗi xuất phát từ việc Facebook phát hiện 1 hacker đã khai thác lỗ hổng kĩ thuật để trộm access token của người khác. Access token của Facebook là một chuỗi nhiều kí tự, nó sinh ra để các hệ thống / web / trình duyệt giao tiếp với nhau và nó KHÔNG phải là password mà bạn dùng để đăng nhập. Mỗi người sau khi đăng nhập sẽ có một access token, và khi bạn log out rồi log in lại thì access token cũng thay đổi.

Khi bạn dùng app Facebook trên điện thoại, server Facebook biết bạn là ai để trả thông tin cho đúng cũng là nhờ access token. Mỗi một yêu cầu (request) gửi lên server Facebook đều phải đính kèm access token để hệ thống thực hiện việc xác thực, định danh. Nói nôm na nó là cái thẻ tên của các tài khoản trên hầu hết các nền tảng web, để server nền tảng đó định danh từng tài khoản là của người nào.
2. Facebook nói hacker trên đã sử dụng access token để đăng nhập vào tài khoản của 50 triệu người dùng thông qua lỗ hổng của tính năng View As. Đây thực chất là một công cụ có sẵn của Facebook cho phép bạn xem thử trang hồ sơ (profile) của mình sẽ hiển thị như thế nào khi người khác vào xem.
Kết hợp tất cả mọi thứ lại, lỗ hổng có thể diễn giải như sau: khi bạn vào xem trang hồ sơ của ai đó, access token sẽ được trình upload video của Facebook tạo ra, và đây lại là access token của người đó chứ không phải của bạn (đúng ra là phải của bạn). Access token này lại được chèn vào mã HTML của trang web nên hacker có thể trích xuất và sử dụng nó để đăng nhập vào tài khoản của người khác.
3. Mật khẩu của bạn không hề bị mất, nên không cần phải đổi mật khẩu trên lý thuyết. 50 triệu tài khoản này chỉ bị hack thông qua access token của tính năng View As, không liên quan tới mật khẩu. Tuy nhiên bạn vẫn nên đổi mật khẩu cho chắc, vì đâu biết bọn hacker đã có thể làm thêm điều gì.
Facebook bị hack liên quan gì tới bảo mật trên thị trường crypto?
Về mặt bản chất, hầu hết các vụ hack đều xảy ra khi người chủ của 1 nền tảng bỏ sót 1 lỗ hổng, hay lỗi, hay bug, vấn đề gì đó mà hacker có thể khai thác để truy cập trái phép vào nền tảng. Mức độ quan trọng của hack tới đâu thì phụ thuộc vào trình độ của hacker, và khả năng giải quyết tình huống của chủ nền tảng. Có thể nói các vụ hack đều xảy ra theo mô tuýp này, nên cơ bản là chúng giống nhau.

Bây giờ thử tưởng tượng Facebook chính là cái sàn crypto mà bạn thường xuyên giao dịch. Bạn là 1 trong 50 triệu tài khoản của sàn. Bạn sẽ thấy 2 câu chuyện này chẳng khác gì nhau.
Hacker hoàn toàn có khả năng hack vào tài khoản của bạn thông qua cái mã API Key nếu bạn có sử dụng tính năng này của sàn. API Key (application programming interface key) là một đoạn mã mà các chương trình máy tính dùng để tương tác với nhau, và để xác thực và kết nối một ứng dụng bên ngoài nền tảng tới trang chủ của nền tảng đó. Nôm na anh em dùng cái API Key này để đăng nhập vào các ứng dụng bên thứ ba, ví dụ Coinstat, TabTrader, Coinigy để các ứng dụng này liên kết trực tiếp tới tài khoản trên sàn của anh em. Từ đó có thể giao dịch, xem thông tin tài khoản thông qua các ứng dụng này mà không cần phải lên sàn.

Anh em thấy cái API Key này quen quen chứ, nó thực ra rất giống access token của Facebook. Cả 2 đều là các đoạn mã để các nền tảng máy tính tương tác với nhau, và đều dùng để nhận diện người nào là bạn, để truy xuất các thông tin của bạn cho đúng. Và tương tự acccess token, API Key cũng có thể bị lợi dụng để hack vào tài khoản giao dịch.
Thực tế tầm tháng 4-5 vừa qua, Binance đã bị dính 1 vụ hack do lỗ hổng API Key này. Hacker lợi dụng độ lỏng lẻo và non nớt của hệ thống API Key trên Binance để truy cập được vào các tài khoản trade và đặt lệnh theo ý họ. Đương nhiên là hacker chỉ truy cập được vào các tài khoản có sử dụng API Key, tương tự lần này hacker Facebook chỉ hack được vào tài khoản có xài tính năng View As. Ở cả 2 trường hợp, mật khẩu đều không bị đe doạ. Nói cách khác, 2 vụ hack này là hoàn toàn giống nhau.

Làm gì để không bị hack tài khoản Facebook và tài khoản giao dịch?
Đơn giản thôi, là không dùng 2 tính năng View As của Facebook và API Key của sàn. Hacker sẽ không truy cập được vào tài khoản của bạn ít nhất là thông qua đường này, nhưng không có nghĩa là không có đường khác.

Có 1 cách hay hơn, và giảm tới mức tối thiểu khả năng tài khoản của bạn bị đánh cắp. Đó là sử dụng Google Authenticator cho tất cả các tài khoản quan trọng: tài khoản trade, Facebook, Email, Internet Banking, vv. Google Authen là 1 ứng dụng trên điện thoại sẽ liên kết tới tài khoản của bạn, tạo ra 1 đoạn mã số để bất cứ khi nào có yêu cầu đăng nhập, hệ thống sẽ đòi bạn nhập vào mã số đó. Do đó không ai có thể đăng nhập vào tài khoản của bạn, bất kể là thông qua API Key hay access token.
Trên đây là tổng quan về vụ hack Facebook sáng nay, và là 1 bài học kinh nghiệm cho bất cứ ai từng giao dịch trên thị trường cryptocurrency, 1 thị trường bảo mật kém