KhoGameHub – Diễn đàn Công Nghệ & Gaming, nơi chia sẻ game PC, console, retro online và phần mềm hữu ích

Các nhà nghiên cứu bảo mật vừa công bố việc thu thập công khai các dữ liệu cá nhân của khoảng 3,5 tỷ tài khoản WhatsApp, bao gồm tên, số điện thoại, ảnh hồ sơ và trạng thái công khai — một quy mô mà một số chuyên gia gọi là "vụ rò rỉ dữ liệu lớn nhất trong lịch sử". Thông tin này ban đầu được báo cáo chi tiết trên PC Gamer và nhanh chóng thu hút sự chú ý của cộng đồng an ninh mạng cùng người dùng ứng dụng nhắn tin phổ biến do Meta sở hữu.

Theo mô tả từ nhóm nghiên cứu, việc thu thập diễn ra bằng cách tự động hóa quá trình truy vấn các trang hồ sơ công khai trên WhatsApp. Những mục dữ liệu bị thu thập bao gồm ảnh hồ sơ (profile pictures), tên hiển thị, số điện thoại, trạng thái (status) và một số trường công khai khác mà người dùng có thể để mở. Vì các trường này có thể hiển thị công khai tuỳ theo thiết lập bảo mật, kẻ thu thập chỉ tận dụng dữ liệu sẵn có để tạo một cơ sở dữ liệu lớn và có thể tìm kiếm được.

Dù WhatsApp mã hoá đầu cuối nội dung tin nhắn, phần thông tin hồ sơ người dùng thường không được bảo vệ tương tự nếu người dùng đặt ở chế độ công khai. Điều này làm lộ diện lượng lớn dữ liệu có thể được kết hợp để phục vụ mục đích đánh lừa (social engineering), spam, lừa đảo, hay thậm chí theo dõi và quấy rối.

Số lượng bản ghi lớn như vậy làm tăng nguy cơ: kẻ xấu có thể ghép nối thông tin để xác định danh tính, tạo danh sách mục tiêu dựa trên vùng địa lý hoặc thói quen, và sử dụng ảnh hồ sơ cho mục đích giả mạo (deepfake) hoặc lừa đảo qua mạng xã hội. Ngoài ra, dữ liệu điện thoại công khai có thể bị tận dụng để thực hiện các cuộc gọi lừa đảo, SIM-swap hoặc khai thác các dịch vụ khác dựa trên xác thực bằng số điện thoại.

Cộng đồng an ninh mạng nhấn mạnh rằng việc thu thập dữ liệu dạng này không nhất thiết là "rò rỉ" từ máy chủ WhatsApp, mà chủ yếu lợi dụng dữ liệu mà người dùng đã để ở chế độ công khai. Tuy nhiên, kích thước và cách phân phối của bộ dữ liệu khiến vấn đề nghiêm trọng hơn bình thường.

WhatsApp và công ty mẹ Meta trước đây từng khuyến cáo người dùng kiểm soát cài đặt quyền riêng tư, tuyên bố rằng mã hoá đầu cuối bảo vệ nội dung tin nhắn nhưng không ngăn việc thu thập công khai các trường hồ sơ do chính người dùng công khai. Trong bối cảnh này, chuyên gia bảo mật khuyến nghị người dùng xem lại cài đặt quyền riêng tư, chuyển ảnh hồ sơ và trạng thái sang chế độ chỉ cho 'Danh bạ của tôi' hoặc 'Không ai' nếu không cần thiết để hiển thị công khai.

Ngoài ra, các tổ chức và doanh nghiệp nên cảnh giác hơn khi sử dụng số điện thoại làm phương thức xác thực chính, cân nhắc tích hợp xác thực đa yếu tố không dựa hoàn toàn vào SMS hoặc cuộc gọi.

Sự kiện thu thập dữ liệu trên quy mô hàng tỷ hồ sơ là lời nhắc mạnh mẽ rằng quyền riêng tư trực tuyến phụ thuộc không chỉ vào chính sách của nền tảng mà còn vào thiết lập và thói quen của người dùng. Trong khi các nhà nghiên cứu tiếp tục phân tích nguồn và phạm vi dữ liệu, người dùng nên chủ động kiểm tra cài đặt bảo mật trên WhatsApp và các dịch vụ khác để giảm thiểu rủi ro lộ thông tin cá nhân.

Để đọc chi tiết hơn về phát hiện này, tham khảo bài viết gốc của PC Gamer: pcgamer.com. Thông tin và hướng dẫn bảo mật từ WhatsApp có thể xem tại trang trợ giúp chính thức: faq.whatsapp.com. Bài viết liên quan và phân tích kỹ thuật khác có thể tham khảo thêm trên các chuyên trang an ninh mạng như BleepingComputer: bleepingcomputer.com.