Khi cho một ứng dụng, website quyền đăng nhập bằng tài khoản Facebook, Google, người dùng đã trao đi chiếc chìa khóa mở hộp bí mật của mình.
Đầu tháng 10, Meta phát đi cảnh báo một triệu người dùng Facebook có thể đã bị xâm nhập trái phép bởi 400 ứng dụng độc hại được thiết kế tinh vi để chuyển giao thông tin đăng nhập người dùng. Việc này diễn ra khá quen thuộc: khi tải về một ứng dụng hoặc truy cập website, nhà phát triển thường yêu cầu người dùng đăng ký tài khoản, hoặc sẽ hỏi: “Bạn có muốn đăng nhập bằng tài khoản Google hoặc Facebook”.
Chỉ với một click chuột, người dùng đã có thể thoải mái sử dụng dịch vụ. Nhưng cái giá của sự tiện lợi là bạn có thể vô tình cho phép ai đó quyền truy cập kho dữ liệu riêng tư nhất của mình. Đây là mánh lới phổ biến của kẻ lừa đảo nhưng nhiều người vẫn sập bẫy.
Rủi ro của nút “đăng nhập”
Ví dụ với nền tảng iCIMS. Nó có 2,4 triệu người dùng và được các công ty lớn như Microsoft, Uber, UPS, Target và IBM đùng để tuyển nhân sự. Vấn đề nằm ở chỗ khi tải lý lịch trực tuyến lên Google Drive, một thông báo sẽ xuất hiện: “Điều này sẽ cho phép iCIMS xem và tải xuống tất cả tệp Google Drive của bạn”. Nhiều người có thể không để ý và bỏ qua, nhưng trên Google Drive không chỉ có những tài liệu được lưu trữ mà còn có ảnh, video, tờ khai thuế và nhiều thông tin cá nhân nhạy cảm khác. Chỉ bằng cách tải lên một hồ sơ xin việc, người dùng phải đánh đổi bằng quá nhiều dữ liệu riêng tư.
Al Smith, Giám đốc công nghệ của iCIMS, cho biết hiện tại họ không lục lọi các tệp thông tin của người dùng ngoài những gì họ tải lên nền tảng. Tuy nhiên, các chuyên gia công nghệ nhận ra, nền tảng này vẫn đang yêu cầu quyền truy cập vào tất cả tệp trên Google Drive. Smith lập luận đây là “kết nối tiêu chuẩn do Google quản lý” và là cách duy nhất để chia sẻ tệp Drive khi iCIMS tạo trang web của mình.
Một phát ngôn viên của Google nói với WSJ rằng người dùng vẫn có quyền “lựa chọn và kiểm soát” việc chia sẻ dữ liệu trong phần điều khoản, nhưng thực tế mọi người chỉ bấm đồng ý mà chẳng mấy quan tâm đến những trang văn bản chi chít chữ.
Rủi ro đầu tiên của việc đăng nhập bằng Facebook, Google là nhiều website, ứng dụng giả mạo có thể dễ dàng đánh cắp tài khoản, mật khẩu của người dùng. Thứ hai, bất kỳ ai xâm nhập vào tài khoản Google hoặc Facebook của người dùng cũng sẽ có quyền truy cập vào những ứng dụng, website mà họ đã đăng nhập. Thứ ba, Google, Facebook vẫn có thể thông qua các quyền “đã được người dùng cho phép” khi đăng nhập để theo dõi kể cả lúc họ không dùng đến nền tảng.
Khi nào nên cho phép đăng nhập?
Theo Bogdan Botezatu, Giám đốc nghiên cứu và báo cáo về mối đe dọa tại công ty bảo mật Bitdefender, không phải lúc nào việc yêu cầu đăng nhập cũng là xấu. Nếu đó là một trang web hoặc dịch vụ hợp pháp, người dùng không cần lo lắng quá nhiều.
Ví dụ, một số người vẫn đăng nhập Zoom qua tài khoản Google. Ứng dụng sẽ yêu cầu quyền truy cập và lịch và thực hiện một số lệnh tự động. “Nhưng một vấn đề hóc búa là làm sao bạn biết khi nào việc cho phép đăng nhập này là nên và không nên?”, Jen Caltrider, người dẫn dắt dự án về quyền riêng tư tại tổ chức phi lợi nhuận Mozilla, đặt câu hỏi. Kể cả là chuyên gia trong lĩnh vực này nhưng không phải ai cũng chắc chắn 100% về lựa chọn của mình.
Ngày càng nhiều công ty che giấu họ đang kinh doanh dựa trên việc thu thập dữ liệu người dùng. Năm 2018, Google từng bị lên án về việc hàng trăm ứng dụng tìm cách truy cập vào nội dung Gmail của mọi người để cung cấp các dịch vụ như so sánh giá và lập lịch trình du lịch tự động. Thậm chí, các ứng dụng huấn luyện máy học và nhân viên của công ty cũng có thể đọc email của người dùng. Facebook còn vi phạm chính sách nhiều hơn. Năm 2019, công ty phải nộp phạt 5 tỷ USD sau khi Ủy ban Thương mại Liên bang điều tra việc đối tác Cambridge Analytica truy cập vào dữ liệu cá nhân của người dùng.
Cách kiểm tra xem đã đăng nhập ở đâu
Cả Google và Facebook đều cho phép người dùng kiểm tra lại họ đã đăng nhập tài khoản ở những website, ứng dụng nào. Người dùng nên thường xuyên cập nhật và quản lý danh sách này.
Với Google, người dùng có thể xem danh sách trong phần trung tâm kiểm soát. Tất cả ứng dụng từ bên thứ ba đã đăng nhập bằng tài khoản đều được hiển thị. Họ có quyền thu hồi quyền đăng nhập từ trung tâm này.
Với Facebook, người dùng có thể đăng nhập tài khoản, mở phần cài đặt ứng dụng và trang web được liên kết và xóa tài khoản khỏi nơi đã đăng nhập. Ngoài ra, mạng xã hội còn cung cấp tính năng tự động vô hiệu hóa các kết nối sau 90 ngày không hoạt động.