Facebook thiết kết một cổng thông tin để các cơ quan thực thi pháp luật như cảnh sát, toàn án… đề nghị cung cấp thông tin người dùng. Nếu bạn là một tài khoản cá nhân, bạn sẽ ít quan tâm đến, nhưng nếu làm trong ngành điều tra, đây là nơi để bạn yêu cầu Facebook cung cấp dữ liệu cho bạn.
Bình thường Facebook đã chọn cách xem xét các yêu cầu dữ liệu của người dùng, theo cách thủ công mà không sàng lọc địa chỉ email của người dùng yêu cầu quyền truy cập vào các cổng thông tin, vốn chỉ dành cho các cơ quan thực thi pháp luật.
Bất kỳ ai có địa chỉ email đều có thể truy cập vào các cổng thông tin thực thi pháp luật của Facebook, nó được thiết kế để các nhân viên thực thi pháp luật gửi yêu cầu liên quan đến dữ liệu người dùng.
Việc truy cập vào cổng thông tin cung cấp nội dung phạm tội không cấp cho mọi người quyền truy cập vào bất cứ thông tin nào của người dùng cũng như bất kỳ thông tin nhạy cảm nào của công ty. Nhưng các cổng này không được thiết kế để lọc đia chỉ email theo bất kỳ phương pháp nào, vậy nên nó mở ra cánh cửa cho những kẻ gửi thư rác tự do truy cập các cổng và gửi các yêu cầu giả mạo.
Địa chỉ để cảnh sát yêu cầu Facebook cung cấp dữ liệu
Tuần trước, nhà nghiên cứu bảo mật Jacob Riggs đã phát hiện ra rằng anh ta có thể truy cập vào hai cổng thông tin cung cấp nội dung phạm tội để yêu cầu Facebook cung cấp dữ liệu bằng bất kỳ địa chỉ email nào. Tất cả những gì anh ta cần làm là nhập địa chỉ email của mình, rồi gửi nó đến cổng thông tin, sau đó nhấp vào liên kết xác nhận mà anh ấy nhận được trong hộp thư đến của mình.
Sau khi làm điều đó, anh ta có thể yêu cầu quyền truy cập dữ liệu người dùng bằng các thông tin bên dưới.
RIggs đã báo cáo vấn đề này với Facebook, và cho rằng đó là do một lỗi thiết kế cần được sửa chữa. Tuy nhiên, Facebook đã nói với Riggs rằng đây là một tính năng, không phải lỗi (câu này nghe quen quen).
“Các nhóm chuyên dụng từ Facebook đã xem xét cẩn thận từng yêu cầu thực thi pháp luật để đảm báo chúng tôi chỉ phản hồi các quy trình pháp lý hợp lệ theo yêu cầu của luật hiện hành. Mặc dù, chúng tôi luôn duy trì các chính sách để ngăn chặn việc lạm dụng spam đối với hệ thống yêu cầu trực tuyến, nhưng chúng tôi chọn việc cho phép mọi người đều có quyền gửi yêu cầu vì chúng tôi sẽ tiến hành xem xét thủ công mọi yêu cầu đến với công ty của chúng tôi”, người pháp ngôn của Facebook cho biết trong một tuyên bố. “Trong trường hợp khẩn cấp, các yêu cầu liên quan đến các trường hợp khẩn cấp trong thời gian thực sẽ được chúng tôi xem xét kỹ lưỡng hơn việc yêu cầu truy cập thủ công bằng các miền email khong quen thuộc như miền email mà nhà nghiên cứu bảo mật đã sử dụng”.
Người phát ngôn nói thêm rằng hệ thống từ chối một số miền email và có các quy tắc khác để chặn thư rác. Nói cách khác, Facebook sẽ cho phép ai cũng có thể yêu cầu Facebook cung cấp dữ liệu và sau đó kiểm tra xem nó có thật và hợp pháp hay không, hơn là việc chặn họ bằng hệ thống tự động hoặc yêu cầu các bên thứ ba đăng ký.
“Tôi đoán nó tương tự như đứa trẻ vị thành niên đang cố vào hộp đêm vậy. Xác thực cơ bản của họ là nhân viên sàng lọc khách hàng ở lối vào. Nếu đứa trẻ vị thành niên bằng cách nào đó vào được, họ sẽ không coi đó là vấn đề an ninh, vì quán bar vẫn sẽ kiểm tra ID của họ khi họ cố gắng gọi rượu”, Riggs nói. “Trong bối cảnh này, họ có vẻ tự tin rằng nhân viên quán bar của họ sẽ nhận ra đâu là ID giả”.
Trong mọi trường hợp, cả cổng thông tin của Facebook đều có ghi chú để ngăn chặn những kẻ có khả năng gửi thư rác, cảnh báo họ rằng chỉ “các tổ chức chính phủ được phép mới có thể thu thập bằng chứng liên quan đến thủ tục pháp lý chính thức” mới được phép gửi yêu cầu.
“Các yêu cầu trái phép sẽ bị truy tố”, ghi chú viết. “Bằng cách yêu cầu quyền truy cập, bạn đã thừa nhận rằng bạn là một quan chức chính phủ đưa ra yêu cầu với tư cách chính thức”.
Ngoài việc yêu cầu Facebook cung cấp dữ liệu, cơ quan công an cũng sẽ truy tìm IP của tội phạm bằng cách yêu cầu các dịch vụ cung cấp.
Cổng thực thi pháp luật của Google, chỉ cho phép bên thực thi pháp luật “đã xác minh” có được dữ liệu người dùng, theo trang web của công ty. Trên thực tế, Riggs không thể vào cổng Google bằng địa chỉ email cá nhân của mình.
Các công ty công nghệ thường xuyên nhận và xử lý các yêu cầu dữ liệu hợp pháp thông qua các cổng này. Trong báo cáo minh bạch mới nhất của mình, bao gồm các yêu cầu dữ liệu cho Facebook, Facebook Messenger, Instagram, WhatsApp và Oculus, và bao gồm sáu tháng cuối năm 2019, công ty tiết lộ họ đã nhận được 140, 875 yêu cầu về dữ liệu người dùng.