Một lỗi logic nghiêm trọng trong quy trình đặt lại mật khẩu trên nền web của Instagram vào ngày 6 tháng 6 năm 2026 đã làm lộ địa chỉ email và số điện thoại không được che đậy, liên kết với các tài khoản người dùng. Sự cố này phơi bày lỗ hổng bảo mật đáng chú ý trong quy trình khôi phục tài khoản.
Chi tiết về lỗ hổng bảo mật Instagram
Lỗ hổng tồn tại trong giao diện đặt lại mật khẩu trên web của Instagram. Màn hình khôi phục tài khoản, lẽ ra chỉ hiển thị các tùy chọn khôi phục được che đậy một phần, đã thất bại trong việc che giấu dữ liệu liên hệ nhạy cảm trước khi cung cấp cho bên yêu cầu.
Các nhà nghiên cứu đã phát hiện ra rằng bằng cách khởi tạo quy trình đặt lại mật khẩu tiêu chuẩn cho bất kỳ tên người dùng nào, phản hồi trả về địa chỉ email và số điện thoại hiển thị đầy đủ thay vì các phiên bản bị che giấu một phần mà Instagram thường hiển thị (ví dụ: m***@fb.com). Điều này vi phạm trực tiếp chính sách giảm thiểu dữ liệu của Meta và có thể vi phạm Nghĩa vụ GDPR Điều 25 về quyền riêng tư theo thiết kế.
Ảnh hưởng và Minh chứng
Các ảnh chụp màn hình proof-of-concept được chia sẻ bởi các tài khoản cộng đồng bảo mật, bao gồm cả @vxunderground, đã hiển thị màn hình đăng nhập cho các tài khoản như của Mark Zuckerberg, tiết lộ nhiều địa chỉ email liên quan cùng với một số điện thoại được liên kết. Meta xác nhận đã khắc phục sự cố này trong vòng vài giờ sau khi lỗ hổng được công khai, nhưng không trước khi các ảnh chụp màn hình proof-of-concept lan truyền rộng rãi trên mạng xã hội, cho thấy phạm vi của lỗ hổng.
Meta đã xác nhận việc vá lỗi được áp dụng nhanh chóng và cho biết: “Chúng tôi đã khắc phục một sự cố cho phép một bên bên ngoài yêu cầu email đặt lại mật khẩu cho một số người dùng Instagram. Không có sự cố rò rỉ dữ liệu từ hệ thống của chúng tôi.”
Bối cảnh và Tác động Rộng hơn
Sự cố này là diễn biến mới nhất trong chuỗi các vấn đề bảo mật của Instagram trong năm 2026. Vào tháng 1, việc lạm dụng đặt lại mật khẩu tương tự đã cho phép bên thứ ba gửi hàng loạt email đặt lại, trùng với cáo buộc rò rỉ 17,5 triệu bản ghi người dùng Instagram trên các diễn đàn dark web.
Đầu tháng 6, một lỗ hổng riêng biệt trong chatbot hỗ trợ AI của Meta đã bị các tác nhân đe dọa khai thác. Chúng đã sử dụng kỹ thuật prompt injection để chiếm quyền điều khiển các tài khoản cấp cao, bao gồm trang lưu trữ của Nhà Trắng và các tài khoản của Lực lượng Không gian Hoa Kỳ, bằng cách thuyết phục chatbot liên kết các tài khoản mục tiêu với địa chỉ email do kẻ tấn công kiểm soát.
Các nhà nghiên cứu bảo mật đã quy sự gia tăng tần suất của các lỗi này một phần cho các quyết định kiến trúc xung quanh việc tự động hóa các chức năng tài khoản nhạy cảm bằng AI. Họ lưu ý rằng việc cấp cho hệ thống AI quyền truy cập đặc quyền vào quy trình khôi phục tài khoản mà không có xác minh danh tính mạnh mẽ sẽ tạo ra rủi ro hệ thống.
Mặc dù Meta xác nhận không có sự cố rò rỉ dữ liệu trên diện rộng nào xảy ra trong sự kiện ngày 6 tháng 6, nhưng ngay cả sự phơi nhiễm dữ liệu khôi phục tài khoản không được che đậy trong thời gian ngắn cũng tạo ra rủi ro đáng kể cho các cuộc tấn công phishing, SIM-swapping và chiếm đoạt tài khoản mục tiêu. Việc liệt kê nhiều địa chỉ email liên kết với một tài khoản duy nhất cũng có thể giúp kẻ tấn công lập bản đồ cơ sở hạ tầng định danh trên các dịch vụ.
Quản lý và Khuyến nghị
Meta chưa công bố mã định danh CVE cho lỗ hổng logic này vào thời điểm công bố. Người dùng và các nhóm bảo mật nên tiếp tục theo dõi các thông báo bảo mật của Meta để biết thêm chi tiết về lỗ hổng bảo mật này.
Các chuyên gia kỹ thuật khuyến cáo cần có các biện pháp tăng cường bảo mật cho quy trình khôi phục tài khoản. Việc áp dụng xác thực đa yếu tố (MFA) cho tất cả người dùng và triển khai các biện pháp xác minh danh tính chặt chẽ hơn cho các yêu cầu khôi phục tài khoản là rất quan trọng. Cần liên tục cập nhật bản vá bảo mật để khắc phục những lỗ hổng mới phát sinh.
Trong bối cảnh các mối đe dọa mạng ngày càng tinh vi, việc liên tục rà soát và cập nhật các biện pháp an ninh mạng là điều cần thiết. Các tổ chức cần chủ động trong việc đánh giá rủi ro bảo mật và triển khai các biện pháp phòng ngừa hiệu quả.
Để cập nhật thông tin mới nhất về các mối đe dọa và lỗ hổng bảo mật, vui lòng theo dõi các nguồn tin cậy như CISA.
