Thứ bảy, 10/11/2018 | 19:47 GMT+7

Lỗ hổng bảo mật ứng dụng Zalo và hậu quả khó lường

LSVNO - Ứng dụng OTT chat của Zalo xuất hiện đã khiến hàng triệu người dùng thích thú và cảm thấy sự tiện lợi và tiết kiệm của nó. Bởi chỉ cần có mạng 3G, 4G hoặc kết nối internet qua mạng wifi là người dùng đã sử dụng được toàn bộ các tiện ích của ứng dụng. Tuy nhiên, nó cũng tiềm ẩn những rủi ro bảo mật mà người dùng không ngờ tới.

z1-5be6d31b18e08

Ứng dụng Zalo – Nhắn gửi yêu thương đã đem lại nhiều tiện ích cho người sử dụng.

Từ việc gọi thoại, video call cho đến nhắn tin, gửi văn bản, hình ảnh, video clip..., người sử dụng ứng dụng OTT chat Zalo của Công ty Cổ phần VNG đều được miễn phí miễn sao có kết nối internet.

Mỗi ngày, Zalo chat - với biệt danh "Nhắn gửi yêu thương" càng trở nên quen thuộc với đông đảo người dùng trong nước. Khi đăng ký sử dụng Zalo, người dùng cần có điện thoại thông minh (Smartphone) và số điện thoại đang sử dụng thực để nhận mã kích hoạt sử dụng Zalo, sau đó người dùng được tạo mật khẩu đăng nhập tuỳ ý để dễ nhớ hoặc bảo mật cho tài khoản.

Trong thời gian đầu, khi sử dụng ứng dụng Zalo người dùng có thể khôi phục mật khẩu khi quên bằng hình thức nhận mã kích hoạt mới do hệ thống Zalo gửi về số điện thoại đăng ký. Sau đó, công ty phát triển ứng dụng Zalo thực hiện chính sách giới hạn nhận mã kích hoạt để khôi phục mật khẩu cho tài khoản Zalo. Theo đó, khi quá giới hạn nhận mã thì ngay lập tức tài khoản Zalo bị khoá trong thời gian 24 giờ.

Việc giới hạn này có thể xem là một trong các động thái bảo vệ người dùng, bảo vệ tài khoản Zalo. Tuy nhiên, đây cũng là một "lỗ hổng" bảo mật gây phiền phức và ảnh hưởng rất lớn cho người dùng nếu công ty chủ quản của ứng dụng Zalo không có phương án hiệu quả hơn.

Người sử dụng ứng dụng Zalo đăng ký bằng chính số điện thoại đang sử dụng. Khi quên mật khẩu thì khôi phục bằng cách nhận mã khôi phục qua chính số điện thoại đăng ký. Câu hỏi đặt ra là chỉ với chính sách giới hạn nhận mã kích hoạt để khôi phục mật khẩu Zalo như hiện nay thì nếu khi bị "chơi khăm" nếu không nói là bị "hack" thì người dùng sẽ bị khoá tài khoản trong 24 tiếng. Khi bị như vậy, người dùng Zalo không thể làm được gì khác ngoài việc chờ đợi.

Thực tế đã có nhiều người dùng ứng dụng Zalo để làm phương tiện liên lạc trong cuộc sống và công việc đã phải "ngậm đắng nuốt cay" khi tài khoản Zalo bị khoá. Cụ thể, trường hợp của chị Nguyễn Thị Thu L. (tỉnh Kon Tum) từng phản ánh về việc tài khoản Zalo bị khoá do có ai đó cố tình đăng nhập vào Zalo bằng chính số điện thoại của chị và sau đó yêu cầu mã khôi phục mật khẩu sử dụng tài khoản.

z2-5be6d31b25a1d

Sau khi yêu cầu khôi phục mật khẩu thì trên ứng dụng Zalo thông báo: "Đường truyền không ổn định. Vui lòng thử lại". Nếu thực hiện nhiều lần thì tài khoản Zalo ngay lập tức bị khoá 24 giờ.

Theo chị L, chị là người không am hiểu về công nghệ. Lúc phát hiện tài khoản bị khoá chị cũng rất thắc mắc nhưng không hiểu vì sao, sau khi được con chị giải thích là do mẹ yêu cầu khôi phục mật khẩu quá nhiều lần nên Zalo mới khoá. Lúc đó chị mới tá hoả là hoàn toàn không yêu cầu khôi phục mật khẩu, một thời gian sau chị mới biết là do bạn mình “chơi khăm”.

Trường hợp khác xảy ra tại TP. HCM, anh Đặng Ngọc Th. (quận Thủ Đức) cũng bị tương tự. Theo phản ánh, vào ngày 08/11/2018, vì đổi điện thoại nên anh phải đăng nhập lại tài khoản Zalo vào điện thoại mới, nhưng vì không nhớ mật khẩu nên buộc phải khôi phục lại mật khẩu theo hướng dẫn trên ứng dụng. “Khi yêu cầu nhận mã khôi phục gửi về số điện thoại đăng ký thì bị báo là  đường truyền không ổn định. Vui lòng thử lại. Tuy nhiên, khi thực hiện thao tác được vài lần khi tài khoản Zalo bị khoá”, anh Th. Cho hay.

Anh Th. cho biết thêm, sau khi tài khoản Zalo bị khoá anh liền liên hệ tổng đài hỗ trợ Zalo (1900561558, cước phí 2.000đ/phút) để nhờ giúp đỡ, nhưng tổng đài viên tiếp nhận lại thông báo là phải đợi 24 giờ sau hãy thực hiện yêu cầu khôi phục mật khẩu theo như cách mà anh đã làm trước đó và không còn cách nào khác. Do đó, anh Th. buộc phải đợi hơn 24 giờ sau để thực hiện thao tác khôi phục.

Về sự cố này, anh Th. bức xúc: "Công việc của tôi sử dụng ứng dụng Zalo gần như 90%, nên khi xảy ra sự cố này đã gây ảnh hưởng rất lớn đến hiệu quả công việc”. Anh Th. cho rằng, đây là một “lỗ hổng” bảo mật không nhỏ của ứng dụng và nhà cung cấp cần có phương án tốt hơn để đảm bảo hiệu quả cho người dùng.

Theo tìm hiểu, ngoài lỗi đường truyền không ổn định mã 112, còn có lỗi tương tự với các mã 502, 2027... Nếu đây là một “lỗ hổng” đáng quan tâm đối với ứng dụng Zalo - Nhắn gửi yêu thương, thì các tiện ích khác của Zalo như Zalo Ads hay Zalo Page liệu có vấn đề gì không?

Kiều Phong