Twitter xuất hiện “lỗi” khiến thông tin người dùng bị nhà cung cấp quảng cáo bên thứ 3 tiếp cận

Mới đây, một blog vi mô của Twitter đã chính thức tiết lộ thông tin rằng một số đối tác quảng cáo bên thứ 3 đã cố gắng lạm dụng một lỗ hổng trong trong hệ thống của nền tảng truyền thông xã hội này nhằm trích xuất thông tin người dùng mà không có sự đồng ý của chủ tài khoản. Đây có thể được coi là hành vi vi phạm dữ liệu nội bộ tương đối nghiêm trọng.

Lỗ hổng này đã được biết đến lần đầu từ hơn 1 năm trướcLỗ hổng này đã được biết đến lần đầu từ hơn 1 năm trước

Hiện lỗ hổng này đã được vá thành công vào ngày 5 tháng 8 năm 2019, chưa có bất cứ thiệt hại đáng kể nào được ghi nhận. Twitter cam kết với người dùng rằng họ sẽ theo dõi sát sao vụ việc và gửi thông báo chi tiết về tình hình thực tế cho tất cả các tài khoản bị ảnh hưởng bởi hành vi thu thập dữ liệu trái phép của nhà cung cấp quảng cáo bên thứ 3. Thông báo chính thức của @TwitterSupport như sau:

“Một lỗi bảo mật nhỏ xuất hiện trên nền tảng Twitter cho iOS đã vô tình cho phép các nhà cung cấp quảng cáo bên thứ 3 thu thập và chia sẻ dữ liệu vị trí của người dùng. Chúng tôi hiện đã vá lỗi, và đảm bảo sẽ cung cấp chi tiết mọi thông tin liên quan đến vụ việc cho các tài khoản bị ảnh hưởng”.

Theo điều tra, sự tồn tại của lỗ hổng này đã được một số đối tác quảng cáo của Twitter biết đến lần đầu tiên kể từ tháng 5 năm 2018, nhưng Twitter đã không có những biện pháp xử lý cần thiết. Thời điểm đó, trang blog vi mô vẫn chưa nắm rõ chi tiết cụ thể về vụ việc.

Dữ liệu vị trí của mỗi tài khoản thường được Twitter lưu trữ “an toàn” trong cơ sở dữ liệu người dùng như một phần của chính sách bảo mật dữ liệu, nhưng trên thực tế, chưa thể khẳng định rằng liệu các nhà quảng cáo đối tác của trang mạng xã hội này có được cấp quyền truy cập vào kho dữ liệu đó hay không.

Nếu bị xác nhận có xâm phạm đến GDPR, Twitter hoàn toàn có thể phải nhận án phạt nặng từ ECNếu bị xác nhận có xâm phạm đến GDPR, Twitter hoàn toàn có thể phải nhận án phạt nặng từ EC

Dữ liệu vị trí của người dùng thường được sử dụng cho quy trình khôi phục tài khoản, và không được thiết kế, đồng thời cũng không phải là một loại “hàng hóa” có thể được phép “bán” cho các nhà quảng cáo. Tuy nhiên kết quả điều tra cho thấy khi tài khoản người dùng Twitter bị ảnh hưởng bởi lỗ hổng nêu trên, việc trích xuất dữ liệu vị trí thậm chí còn có thể được thực hiện tùy ý bởi một đối tác quảng cáo của Twitter ngay cả khi người dùng không đồng ý (đa số là không hề hay biết).

Cách đây hơn 1 năm, Ủy ban Châu Âu (EC) đã cho ban hành và thực thi một cách quyết liệt Quy định bảo vệ dữ liệu chung (GDPR) đối với mọi quốc gia thành viên EU, cũng như tất cả các công ty đã và đang phục vụ công dân EU kể từ ngày 25 tháng 5 năm 2018. Rất nhiều ông lớn trong lĩnh vực cung cấp dịch vụ internet đã bị “sờ gáy”, bao gồm Facebook, Google, và cả Microsoft. Hàng tỷ đô la tiền phạt đã được áp dụng, và nếu vụ vi phạm dữ liệu trên được chứng minh là bắt nguồn từ lỗi chủ quan của Twitter và có liên quan đến công dân EU, một án phạt nặng rất có thể sẽ được áp dụng. Đã phải mất tới hơn một năm để xác nhận sự tồn tại của lỗ hổng, và trong đó chắc chắn bao gồm thông tin tài khoản của một công dân EU.

“Chúng tôi có thể đã hiển thị cho bạn các quảng cáo dựa trên những suy luận liên quan đến thiết bị mà bạn sử dụng ngay cả khi chưa hỏi ý kiến. Tuy nhiên đây chỉ là một phần trong quá trình thử nghiệm thuật toán nhằm đưa ra quảng cáo phù hợp hơn cho người dùng Twitter và các dịch vụ khác của chúng tôi kể từ tháng 9 năm 2018” đội ngũ Twitter giải thích.

Các cuộc điều tra vẫn đang tiếp tục và nhắm đến các nhóm phụ trách công nghệ bên trong và bên ngoài trang mạng xã hội này để xác định toàn bộ phạm vi tác động của lỗ hổng, thậm chí cả đối tác của Twitter cũng nằm trong tầm ngắm.

Về phần mình, Twitter cam kết rằng bất kỳ phát hiện mới nào cũng đều sẽ được tiết lộ công khai ngay lập tức, không có ngoại lệ.

Các cuộc điều tra nhắm vào Twitter và các đối tác đang được tích cực triển khaiCác cuộc điều tra nhắm vào Twitter và các đối tác đang được tích cực triển khai

Người dùng Twitter nếu muốn liên hệ với đại diện trang mạng xã hội này để cập nhật thêm thông tin cụ thể đều có thể sử dụng biểu mẫu tùy chỉnh mà công ty cung cấp. Tất cả vẫn còn đang trong quá trình điều tra và chúng tôi sẽ thông báo đến bạn ngay khi có thông tin mới nhất.

Thứ Sáu, 11/10/2019 13:56
53 👨 287
0 Bình luận
Sắp xếp theo
    ❖ Tấn công mạng