Như rất nhiều bài viết trên các trang báo trước đây, chơi game trên Facebook đồng nghĩa với việc bạn sẽ cần chia sẻ một số thông tin cá nhân cho nhà phát triển game… Điều này dẫn đến việc một số thông tin cá nhân của bạn có nguy cơ bị thu thập cho các mục đích khác nhau.  Và mới đây, cộng đồng mạng “kéo nhau” chơi một tựa game có tên là OMG (tên tiếng Việt: Cuộc đời bạn màu gì?). Đây là một trò chơi đơn giản, với kết quả trả về là một màu sắc có vẻ là hợp với “phong cách” của bạn nhất. Mọi việc không vấn đề gì cho đến khi một nhóm nhỏ chia sẻ việc chơi game này có thể làm người dùng mất tài khoản Facebook của mình. Theo phân tích, việc chia sẻ thông tin trong game này sẽ bao gồm một access_token (là một khóa đặc biệt dành cho mỗi tài khoản Facebook khác nhau). Đối tượng khi có khóa này có thể “hack” Facebook của một người. Về lý thuyết thì điều này không sai với phương thức bảo mật của Facebook trước đây, khi mà các nhà phát triển có thể yêu cầu nhiều quyền hạn lúc người dùng chơi game (người dùng không để ý đọc kỹ và cho phép), từ đó mới dẫn đến việc mất tài khoản. Tuy nhiên, hiện nay cơ chế bảo mật của Facebook đã tốt hơn. Cụ thể, đối với tựa game OMG này, đây là một Instant Game - nền tảng chơi game mới của Facebook. Đặc điểm của loại game này là gì? Để có thể phổ biến một Instant Game như trường hợp OMG ở trên, game phải tuân thủ chặt chẽ tất cả chính sách dành cho nhà phát triển của Facebook bao gồm việc không yêu cầu các thông tin cá nhân cũng như có thể thêm, chỉnh sửa bất kỳ thông tin gì từ tài khoản của người khác. Các Instant Game này chỉ có quyền hạn lấy thông tin ảnh đại diện, tên của bạn, UID (các thông tin này là không riêng tư). Lưu ý nhiều người nhầm UID với access_token, UID chỉ đơn giản là ID tài khoản của một người dùng Facebook, nó giống như số thứ tự vậy, không liên quan đến các thông tin như mật khẩu người dùng. Trong trường hợp người dùng chơi game này với bạn bè, OMG sẽ yêu cầu thêm các quyền hạn như danh sách bạn bè, quyền gửi tin nhắn cho bạn bè. Các quyền này sẽ đều được Facebook hiển thị và phải nhận được sự cho phép của bạn. PV cũng đã tiến hành thử nghiệm tựa game “Cuộc đời bạn màu gì” và sau đó kiểm tra lại phần các quyền riêng tư của tài khoản thì thấy không có sự can thiệp nào, tất cả thông tin game này lấy là những thông tin công khai của tài khoản. Ngoài ra, không có thông tin nhạy cảm nào được phép truy cập, cũng như không có access_token nào có đủ quyền để chiếm đoạt tài khoản của người dùng mà game này có thể lấy. Do đó, bạn có thể yên tâm nếu đã “lỡ” thử qua game này. Tuy nhiên, đây cũng là một lời cảnh báo dành cho người dùng hay thử nghiệm các game, ứng dụng không rõ nguồn gốc. Bạn cần hết sức lưu ý đọc mọi thông tin được ghi trong các cửa sổ, đó có thể là những cảnh báo của Facebook mà bạn không nên bỏ qua. Nổi trội trong mấy ngày qua là game OMG trên Facebook chẳng hạn (nó thuộc loại Instant Game, một hình thức chơi game nhanh ngay trên Facebook), chúng ta hãy xem thử các quyền mà trò chơi này yêu cầu thì sẽ bao gồm những gì:
Tên và ảnh đại diện thì chưa phải là quá nghiêm trọng, nhưng dữ liệu về bạn bè và timeline lại là chuyện khác. Giả sử game OMG có ý đồ xấu, sau khi có được quyền truy cập vào những dữ liệu này, nhà phát triển có thể viết 1 script tự động rút hết mọi thông tin về các bài post bạn đã đăng, những tấm ảnh bạn đã post, các video bạn từng chia sẻ và tất nhiên là lấy tiếp link đến những người bạn của bạn trên Facebook. Việc này không hề khó làm, bất kì một lập trình viên bình thường nào cũng có thể thực hiện chứ chẳng cần phải là hacker gì cao siêu. Những thông tin đó của bạn có thể tiếp tục dùng để bán cho những đối tác quảng cáo (họ xài địa chỉ email để chạy quảng cáo định hướng trên chính Facebook hoặc các nền tảng quảng cáo khác), những bên làm dịch vụ thu thập dữ liệu (data collection) hoặc những công ty muốn nhắm đến bạn cho một chiến dịch marketing nào đó. Nói như vậy không có nghĩa là game hay app nào trên Facebook cũng xấu, và không phải app nào cũng sẽ dùng dữ liệu của bạn trái phép để quảng cáo và làm những thứ như mình giả định ở trên. Vẫn có những nhà phát triển tốt, họ yêu cầu những thông tin đó chỉ để phục vụ cho app của mình và mang lại trải nghiệm tốt hơn mà thôi. OMG cũng thế, tính đến giờ mình chưa thấy họ có ý đồ gì xấu. Tuy nhiên mọi thứ vẫn còn mập mờ trong tương lai sắp tới, và mình thì có phương châm là không tin bố con thằng nào cả. Còn chuyện mất nick vì chơi các game Facebook thì mình chưa tìm thấy bằng chứng đáng tin cậy nào. App có thể lấy được một số token và một số quyền nhất định, không có quyền nào được phép đổi password, đổi email đăng kí hay những thứ có thể làm bạn bị... mất nick. Cùng lắm là bạn đi spam tin nhắn hay spam quảng cáo cho game trên timeline của bạn bè mà thôi. Trừ khi bạn cấp quyền cho app làm hết mọi thứ này, nhưng mình tin rằng Facebook không mở quyền đổi pass, đổi email ra ngoài cho app bên thứ 3 sử dụng. .jpg) Có một thứ mà anh em cần lưu ý, đó là chuyện mất nick vẫn có thể xảy ra, nhưng thường là do bị lừa đảo click vào link độc hại rồi tự khai password cho hacker, hoặc đặt password quá dễ đoán nên bị login tài khoản rồi đổi mật khẩu, chiếm quyền sử dụng. Những lý do này thì chẳng liên quan gì đến vấn đề quyền truy cập mà chúng ta đang trao đổi trong bài này. Nhân tiện app OMG cũng chẳng có gì gọi là logic dự đoán, nó chỉ chạy random màu và các câu nhận xét thôi. Nhìn vài người thấy kết quả lặp đi lặp lại là biết rồi. Để xem các game nào đang có quyền truy cập vào dữ liệu của bạn, bạn hãy làm như sau:
Lưu ý là khi bạn xóa game thì từ giờ trở đi game / app không còn truy cập vào dữ liệu của bạn được nữa, nhưng dữ liệu trước đó có thu thập thì vẫn tồn tại vì những dữ liệu này đã được lưu trên hệ thống riêng của nhà phát triển app, không còn trên Facebook nữa. Nói cách khác, nếu bạn lỡ dại cấp quyền cho app độc hại, bạn vẫn sẽ bị thu thập thông tin như thường. |
