"Tôi đã nghiệm ra bài học cho riêng mình như thế nào sau khi bị hack Facebook"

Vào thứ Tư tuần trước, tôi tỉnh dậy với 2 email từ Facebook. Một email báo cho tôi rằng địa chỉ email chính của tôi trong tài khoản Facebook của tôi đã bị chuyển sang một tài khoản Hotmail đã lâu không sử dụng. Email còn lại cho tôi biết rằng mật khẩu trên tài khoản Facebook đã bị thay đổi.

Tôi đã bị hack.

May mắn là trong email đó có chứa đường link đến trang web mà tôi có thể bảo mật tài khoản Facebook của mình trong trường hợp có gì bất thường xảy ra. Không may là các trang web đó đến từ Thổ Nhĩ Kỳ, dù đã dùng Google Translate để dịch nhưng nội dung không giúp gì nhiều cho tôi lắm.

Điều này thật là tồi tệ. Tôi vốn là người sử dụng Facebook khá nhiều, một phần vì có rất nhiều thứ trên mạng xã hội này hữu ích cho một phóng viên như tôi và một phần bởi vì tôi rất thích thú với sự chú ý nhận được từ việc đăng những thứ vui vẻ, hài hước trên đó. Ngoài ra, việc sắp xếp mọi thứ không phải thế mạnh của tôi, nên tôi đã lưu trên đó nhiều hình ảnh, địa chỉ email và mấy thứ đại loại như vậy.

Giờ tất cả những thứ đó đều nằm trong tay người khác, và tôi nghĩ rằng, để lấy lại những thứ đó, mọi việc tôi cần làm chỉ là thuyết phục một công ty rằng danh tính kỹ thuật số đó là tôi thôi, phải không? Thực ra là : Không. Tôi đã nhận ra rằng quy trình đó thực sự phí thời gian, vô lý và bực mình.

Bắt đầu hành trình đòi lại Facebook

Sau một lúc hoảng loạn, tôi đã gửi email cho khoảng nửa tá người tôi biết rằng họ làm việc cho Facebook, một vài người là bạn, một vài người khác là phụ trách quảng bá cho tài khoản Facebook của tôi. Nhưng lúc này đang là 7h sáng ở New York và tôi không mong việc nhận được phản hồi ngay lập tức.

Trong thời gian đó, tôi chỉ biết chắc một điều : đây cũng là lỗi của tôi. Từ năm 2011, khi Facebook đưa ra giải pháp xác thực 2 lớp, một biện pháp bảo mật bằng việc nhập mã PIN dùng một lần mỗi khi đăng nhập. Biện pháp xác thực này có tính bảo mật rất cao, nhưng tôi không bao giờ kích hoạt nó. Tôi cũng nhận ra rằng thật ngốc khi để một tài khoản email cũ kết nối với tài khoản của tôi, vì mật khẩu cũ đó giờ quá yếu so với tiêu chuẩn của năm 2015.

Tuy nhiên, tôi có lý do để tin rằng Facebook vẫn đang trông chừng cho tôi. Như mọi phóng viên khác, tôi là một thành viên được xác thực, với tài khoản đã được đóng dấu xác nhận của Facebook. Không dễ có được dấu này, tôi thậm chí đã phải upload cả bằng lái xe của mình lên để có được dấu đó.

Liệu Facebook có biết tôi là ai ?

Trên thực tế, Facebook biết tất cả về tôi. Phần mềm nhận diện khuôn mặt của công ty này rất tốt, chương trình đã nhận ra tôi trong ảnh mà tôi không được gắn tag. Do vậy, nếu tôi đã phải vượt qua rất nhiều rào cản để chứng minh đó là tôi, thì chắc hẳn ai đó đang cố đóng giả tôi với hàng ngàn người bạn và hơn 50.000 người theo dõi, cũng sẽ phải vượt qua ngần đó rào cản chứ nhỉ ?

Theo đề nghị của một người bạn, tôi chuyển sang sử dụng Safari thay vì Chrome và đã mở được phiên bản tiếng Anh của trang “Bảo mật tài khoản của bạn”. Tuy nhiên, cũng không hữu ích lắm, vì tôi cũng chẳng còn tài khoản để mà “bảo mật”. Hacker đã thay đổi tên, địa chỉ, và thậm chí cả hình ảnh profile của tài khoản. Trong thời gian Facebook chưa kịp quan tâm, thì tôi đã trở thành kẻ vô danh. Tuy nhiên, sau một vài lần thử và bị lỗi, tôi đã xác định được tài khoản Jeff Bercovici của tôi đã thuộc về một người Thổ Nhĩ Kỳ tên Hamza.

Tôi click vào nút “This is my Account” và trả lời một câu hỏi bảo mật để bắt đầu việc lấy lại tài khoản của mình. Tôi cho rằng, mọi việc khá rõ ràng rằng tôi đã không đổi tên tôi thành Hamza, cũng như đổi tài khoản email, chuyển sang Thổ Nhĩ Kỳ và phẫu thuật thẩm mỹ chỉ trong vòng khoảng một giờ.

Vì vậy, thật là kỳ lạ khi ai đó có thể làm tất cả những việc trên mà không gặp phải bất kỳ một cảnh báo nào. Trong khi tôi đang tiến hành các bước trên, thì tôi nhận được tin nhắn từ ngân hàng yêu cầu tôi xác nhận một giao dịch nhỏ tôi thực hiện ở siêu thị, chỉ bởi vì tôi chưa từng mua sắm ở đó bao giờ. Chẳng phải việc thay đổi toàn bộ chi tiết của cuộc sống ít nhất cũng đáng nghi hơn việc mua một cái mũ hay một cốc café đá ở nơi nào đó xa lạ hay sao ? Facebook chẳng phải luôn nói về sự cần thiết của danh tính thật, đến mức ngăn cản người chuyển giới sử dụng tên ưa thích của họ hay sao ?

Cuối cùng tôi cũng nhận được phản hồi từ một người quảng bá cho Facebook của tôi, người đã cố tìm ai đó có thể giải quyết cho trường hợp của tôi. Sau đó, cô ấy nói với tôi rằng tài khoản của tôi đã bị tạm dừng để kiểm tra. Một cậu tên Andew từ Đội hoạt động cộng đồng Facebook (Community Operations) đã gửi email cho tôi hỏi vài câu hỏi, tôi trả lời và lăn ra ngủ.

Và cái xác Facebook đã quay về với tôi

Thức dậy vào sáng thứ năm, tôi nhận được một email cho biết tôi đã có thể đăng nhập vào lại tài khoản của mình – thật nhẹ nhõm vì điều đó. Chỉ có điều, đó không còn là tài khoản của tôi nữa. Mọi thứ đều đã bị xóa sạch, danh sách bạn bè, các bức ảnh, các bài đăng. Trừ một vài bài đăng ở một số pages mà tôi “like”, tất cả bằng chứng về của một tài khoản Facebook trong chín năm của tôi đã không còn. Ảnh cưới, các lời chúc mừng sinh nhật, những cuộc gặp ngẫu nhiên với bạn bè cũ đã 20 năm không gặp của tôi – tất cả những thứ giúp bạn hồi tưởng lại trên Facebook, đều đã ra đi.

Điều này thực sự chấn động, nhưng tôi vẫn cố giữ bình tĩnh. Mọi thứ chắc hẳn vẫn chưa mất hết. Facebook từng tuyên bố rằng sẽ phải mất đến 90 ngày để bạn xóa toàn bộ dữ liệu, kể cả khi bạn muốn thế. Tôi gửi email cho Andrew hỏi cách để phục hồi lại những thứ đó. Tôi nhanh chóng nhận được phản hồi.

“Thật không may, Facebook không có khả năng phục hồi lại nội dung đã bị xóa khỏi tài khoản,” anh ấy viết “Chúng tôi xin lỗi vì bất cứ sự bất tiện nào có thể gây ra cho bạn.”

“Chúng tôi xin lỗi về bất cứ sự bất tiện nào” ư ? Đến đây thì tôi không thể chấp nhận được nữa.

Trong chín năm, Facebook đã làm tôi hài lòng vì đã là danh bạ điện thoại, album ảnh, nhật ký và nhiều thứ khác của tôi nữa. Dù tất cả thông tin về tôi được cất giữ ở đâu, thì chỗ đó cũng kém an toàn đến mức không thể ngăn chặn một tên trộm nửa mùa có thể đột nhập vào và xóa sạch mọi thứ. Sau khi tôi đăng lời phàn nàn về việc này lên Twitter, người phụ trách quảng bá Facebook của tôi lại gửi email cho tôi, chỉ nói rằng đừng từ bỏ hy vọng.

Policy bí mật của Hotmail

Cùng lúc với việc đòi lại tài khoản Facebook, tôi bắt đầu chú ý đến Hotmail. Mẫu form phục hồi tài khoản của Microsoft yêu cầu chủ tài khoản phải cung cấp thông tin về hoạt động gần đây trên tài khoản – những người bạn gửi email, chủ đề của email và những thứ đại loại như vậy. Như phần lớn những người tôi quen, tôi đã ngừng sử dụng Hotmail từ năm 2009, vì vậy nếu nhớ được những chi tiết đó, tôi chắc hẳn đã phải xếp vào loại IQ cao hơn rồi. Tôi đã thử bằng địa chỉ email của vài người bạn và gia đình, để tìm xem email cuối cùng tôi liên lạc bằng Hotmail là gửi cho ai, nhưng tất cả đều không đúng với cỗ máy bảo mật của Microsoft. Sau 3 lần không thành công, tôi phải đợi đến ngày mai vì đã hết giới hạn số lần thử.

Đến hôm sau, tôi nhận được email từ Microsoft cho tôi biết rằng việc phục hồi tài khoản đã thất bại vĩnh viễn. Tôi không biết làm gì khác hơn ngoài việc đăng thêm mấy tweet phàn nàn nữa về việc này. Cho đến khi, một người bạn đại học, hiện đang làm cho Microsoft, nhìn thấy những dòng tweet ngày càng tuyệt vọng của tôi và đề nghị giúp đỡ. Trong vòng vài giờ, nhóm phụ trách về an toàn trực tuyến của Microsoft Outlook đã giải quyết xong cho trường hợp của tôi. Hóa ra, tài khoản của tôi không bị hack gì cả, nhưng vì đã quá 270 ngày không sử dụng, nên địa chỉ email của tôi bị loại ra để nhường chỗ cho địa chỉ khác.

Tôi không hề biết đến chính sách này, vì tôi cho rằng điều này sẽ tạo ra các lỗ hổng an ninh cho tài khoản cũ của Microsoft (Biết đâu đó là một công cụ để giữ chân khách hàng của Microsoft : hoặc là bạn duy trì tài khoản hoặc là nó sẽ bị dùng để chống lại bạn ?). Sau khi xác định việc Hamza sử dụng tài khoản của tôi là vi phạm điều khoản sử dụng – nhóm an ninh của Microsoft nói với tôi rằng Hamza còn cố reset mật khẩu Twitter và Instagram của tôi nữa và Microsoft đã chặn hành động đó lại.

Một hacker kỳ lạ

Trong khi đợi phản hồi từ Facebook, tôi có liên lạc với Hamza, dù không mong nhận được phản hồi. Cho đến giờ tôi có thể nói Hamza đã sử dụng tên thật của mình, hay ít nhất cùng một cái tên với hình ảnh như vậy đã được sử dụng cho tài khoản Twitter, và link đến website của anh ấy, nơi anh ấy tự nhận mình là một “Chuyên gia về truyền thông xã hội”. “Loại hacker nào lại đi lấy tên thật của mình chứ?”

Sau khi tôi gọi anh đó trên Twitter, Hamza thậm chí còn “like” một loạt các tweet của tôi. Chả biết anh chàng này là người thế nào nữa ?

Và ngạc nhiên hơn, khi tôi còn thấy anh chàng đó trả lời vài lần nữa. Nhưng tiếng Anh của anh chàng này còn tệ hơn cả máy dịch tự động của Chrome nữa, nhưng một người bạn của một người bạn đã dịch hộ anh ấy.

Theo Business Insider