Khi cho một ứng dụng, website quyền đăng nhập bằng tài khoản Facebook, Google, người dùng đã trao đi chiếc chìa khóa mở hộp bí mật của mình.
Vào đầu tháng 10, Meta đã phát đi cảnh báo cho khoảng một triệu người dùng Facebook có thể đã bị xâm nhập trái phép bởi khoảng 400 ứng dụng độc hại có thiết kế tinh vi để lấy thông tin đăng nhập của họ. Điều này không phải là hiếm: khi tải ứng dụng hoặc truy cập trang web, người dùng thường sẽ được yêu cầu tạo tài khoản hoặc cung cấp thông tin đăng nhập thông qua tài khoản Google hoặc Facebook.
Chỉ cần một cú click chuột, người dùng có thể dễ dàng trải nghiệm dịch vụ mà không cần phải tốn quá nhiều công sức. Tuy nhiên, đôi khi sự tiện lợi này cũng đi kèm với nguy cơ mất an toàn thông tin cá nhân. Đó chính là lý do tại sao người dùng cần cẩn trọng trong việc chia sẻ thông tin để tránh rơi vào bẫy của những kẻ lừa đảo.
Nguy cơ khi sử dụng nút “đăng nhập”
Ví dụ với hệ thống iCIMS, có tổng cộng 2,4 triệu người dùng và được các tập đoàn lớn như Microsoft, Uber, UPS, Target và IBM tin dùng để tuyển dụng nhân sự. Tuy nhiên, khi tải hồ sơ trực tuyến lên Google Drive, người dùng sẽ nhận được thông báo cảnh báo về việc iCIMS sẽ có quyền truy cập và tải xuống toàn bộ tệp trên Google Drive của họ. Điều này gây ra nguy cơ tiết lộ thông tin cá nhân nhạy cảm như ảnh, video, tờ khai thuế hay các tài liệu khác trên Google Drive. Điều này đặt ra nghi ngờ về việc bảo vệ thông tin cá nhân khi sử dụng dịch vụ của iCIMS.
Al Smith, Giám đốc công nghệ của iCIMS, cho biết hiện tại họ không truy cập vào dữ liệu của người dùng ngoài những gì họ tải lên nền tảng của họ. Tuy nhiên, các chuyên gia công nghệ nhận ra rằng, iCIMS vẫn cần quyền truy cập vào tất cả các tệp trên Google Drive. Smith lập luận rằng đây là "kết nối tiêu chuẩn được quản lý bởi Google" và là cách duy nhất để chia sẻ tệp Drive khi iCIMS xây dựng trang web của mình.
Theo một phát ngôn viên của Google trên WSJ, người dùng vẫn đều có quyền "lựa chọn và kiểm soát" việc chia sẻ dữ liệu trong điều khoản, tuy nhiên thực tế họ thường chỉ bấm đồng ý mà không quan tâm đến những chi tiết trong các trang văn bản.
Một trong những rủi ro đầu tiên của việc đăng nhập bằng tài khoản Facebook hoặc Google là khả năng bị các trang web giả mạo đánh cắp thông tin cá nhân, bao gồm tên đăng nhập và mật khẩu. Điều này có thể dẫn đến việc nguy cơ bị hack tài khoản của người dùng. Ngoài ra, một khi ai đó đã xâm nhập vào tài khoản Facebook hoặc Google của người dùng, họ sẽ có quyền truy cập vào tất cả các ứng dụng và trang web mà người dùng đã đăng nhập từ đó. Cuối cùng, Google và Facebook có thể sử dụng quyền truy cập đã được người dùng cho phép để theo dõi hoạt động của họ, ngay cả khi họ không sử dụng các nền tảng này.
![]()
Người dùng nên bảo vệ và kiểm soát quyền đăng nhập tài khoản Google, Facebook của mình. Ảnh: WSJ
Khi thì nên cho phép đăng nhập?
Theo Giám đốc nghiên cứu và báo cáo về mối đe dọa tại công ty bảo mật Bitdefender, Bogdan Botezatu, việc yêu cầu đăng nhập không phải lúc nào cũng là xấu. Nếu đó là một trang web hoặc dịch vụ hợp pháp, người dùng không cần lo lắng quá nhiều.
Ví dụ, một số người vẫn sử dụng tài khoản Google để đăng nhập vào Zoom. Ứng dụng sẽ yêu cầu quyền truy cập vào lịch và thực hiện một số thao tác tự động. Tuy nhiên, câu hỏi được đặt ra là làm thế nào để xác định khi nào nên cho phép việc đăng nhập này và khi nào không. Jen Caltrider, người đứng đầu dự án về quyền riêng tư tại Mozilla, thảo luận về vấn đề này, thậm chí ngay cả các chuyên gia cũng không chắc chắn 100% về quyết định của mình.
Ngày càng có nhiều doanh nghiệp che đậy việc kinh doanh dựa trên việc thu thập dữ liệu người dùng. Google đã gây ra tranh cãi khi nhiều ứng dụng được phát hiện cố gắng truy cập vào nội dung Gmail để cung cấp dịch vụ như so sánh giá và lịch trình du lịch tự động. Facebook cũng vi phạm chính sách với việc truy cập dữ liệu cá nhân của người dùng, với vi phạm nghiêm trọng nhất vào năm 2019 đòi hỏi công ty phải nộp phạt 5 tỷ USD sau vụ việc Cambridge Analytica.
Cách kiểm tra xem đã đăng nhập ở đâu
Cả Google và Facebook đều cung cấp tính năng cho phép người dùng kiểm tra lịch sử đăng nhập tài khoản trên các trang web và ứng dụng. Để đảm bảo an toàn và bảo mật, người dùng nên thường xuyên cập nhật và quản lý danh sách này.
Google cho phép người dùng xem danh sách ứng dụng đã đăng nhập bằng tài khoản trong trung tâm kiểm soát. Tất cả các ứng dụng từ bên thứ ba đều được hiển thị và người dùng có thể thu hồi quyền đăng nhập từ trung tâm này.
Facebook cho phép người dùng đăng nhập vào tài khoản, quản lý ứng dụng và trang web liên kết, cũng như xóa tài khoản khỏi các thiết bị đăng nhập. Đồng thời, tính năng tự động vô hiệu hóa kết nối sau 90 ngày không sử dụng cũng được cung cấp trên mạng xã hội này.