Twitter vừa công bố một “sự cố” về bảo mật mà cho thấy vấn đề lâu đời với cách dịch vụ xử lý số điện thoại. Twitter tuyên bố đã phát hiện và đóng cửa “một mạng lưới lớn các tài khoản giả mạo” đang tải lên số điện thoại hàng loạt và sử dụng công cụ trong API của Twitter để phù hợp chúng với tên người dùng cá nhân. Loại hoạt động này có thể được sử dụng để xây dựng một công cụ tra cứu ngược, để tìm số điện thoại liên kết với một tên người dùng cụ thể.

Thì ra ít nhất một trong số những người tải lên hàng loạt số điện thoại đó là một nhà nghiên cứu bảo mật, những khám phá của anh ta đã được TechCrunch đưa tin vào tháng 12.

Vấn đề với các công cụ cho phép người dùng tìm tài khoản bằng số điện thoại liên kết với họ không mới tại Twitter (hay cũng như Facebook). Và, với cách mà những tính năng này được thiết kế, khả năng lạm dụng của chúng rất khó biến mất.

Cách tốt nhất để Twitter bảo vệ người dùng là giảm thiểu số lượng tài khoản có số điện thoại liên kết với họ, và làm rõ với người dùng khi và như thế nào những số điện thoại đó có thể bị tiết lộ. Đó là lý do tại sao Twitter cần ngừng áp lực người dùng để thêm số điện thoại vào hồ sơ của họ và ngừng làm cho những số điện thoại đó có thể được tìm thấy theo mặc định.

Cách hoạt động của vấn đề này

Khi bạn mới sử dụng một dịch vụ hoặc tải xuống một ứng dụng lần đầu, bạn có thể nhìn thấy nhắc bạn tải lên danh bạ để tìm những người bạn đã biết trên ứng dụng. Twitter cung cấp một trong những công cụ tải lên danh bạ đó.

Vấn đề đó là, nếu Twitter muốn kết nối bạn với bạn bè của mình thông qua số điện thoại của họ, nó cần cung cấp một API để hỗ trợ điều đó. Trong khi loại API đó có thể và nên có những hạn chế để ngăn ai đó tiết lộ danh tính và thông tin liên hệ của mọi người một cách độc hại, thì hầu như luôn sẽ có cách để vượt qua nó. Trong trường hợp của Twitter, một trong những hạn chế đã được áp dụng là từ chối bất kỳ ai cố gắng tải lên một danh sách dài các số điện thoại tuần tự – một dấu hiệu cho thấy người này hầu như chắc chắn không tải lên danh bạ trong một nỗ lực để tìm bạn bè.

Cách vượt qua gần như hài hước đơn giản: ai đó có thể chỉ cần tải lên một danh sách dài các số điện thoại được ngẫu nhiên hóa. Và đó là cách nhà nghiên cứu bảo mật, người đã đánh bại Twitter về vấn đề này, đã khớp các số điện thoại và tên người dùng không chỉ cho những người trong danh bạ của anh ta, mà còn cho 17 triệu người dùng Twitter không hề hay biết, bao gồm các quan chức nổi tiếng và chính trị gia trên toàn thế giới.

Ai bị ảnh hưởng

Công cụ này chỉ có thể khớp số điện thoại với tài khoản Twitter của những người 1) có “khả năng tìm thấy số điện thoại” bật trong cài đặt và 2) có số điện thoại liên kết với tài khoản của họ. Nếu cả hai điều đó không đúng đối với bạn, thì tài khoản của bạn không bị tiết lộ bởi vấn đề này. Để kiểm tra cài đặt của bạn, hãy tham khảo hướng dẫn từng bước tại đây.

Những lời hứa không rõ ràng

Đây không phải lần đầu tiên Twitter đã làm sai quản lý và bảo vệ số điện thoại người dùng: ngay vào tháng 10 năm ngoái, Twitter đã thừa nhận đã sử dụng số xác thực hai yếu tố của người dùng cho quảng cáo nhắm mục tiêu.

Nhưng, lúc đó cũng như bây giờ, kế hoạch của Twitter để khắc phục những vấn đề đã tiết lộ thông tin người dùng ban đầu vẫn là mơ hồ. Thông báo của Twitter cho biết công ty đã thực hiện “một số thay đổi đối với công cụ tải lên danh bạ này để không thể trả lại tên tài khoản cụ thể khi trả lời các truy vấn.”

Nhưng những thay đổi đó chính xác là gì và chúng hoạt động như thế nào? Sau khi làm mất lòng tin công chúng, Twitter nên cung cấp thêm sự minh bạch cho người dùng của mình để họ có thể tự đánh giá xem các sửa đổi có đủ tốt hay không.