Các chuyên gia an ninh mạng vừa phát hiện lỗ hổng nghiêm trọng trong Meta Conversions API, có thể khiến tài khoản Facebook bị chiếm quyền mà người dùng không cần đăng nhập lại, không nhập mật khẩu, không click link lạ. Mã độc được chạy ngay trong phiên đăng nhập hợp lệ, nên hệ thống gần như không phát hiện bất thường.
Nguyên nhân nằm ở file capig-events.js – một đoạn JavaScript do Meta cung cấp, được sử dụng rộng rãi trên các nền tảng của Facebook và hàng triệu website bên thứ ba. Khi script này tồn tại lỗ hổng, nó không chỉ ảnh hưởng Meta mà còn lan rộng theo kiểu chuỗi cung ứng (supply chain), tác động đến người dùng trên khắp Internet.
Lỗ hổng xuất phát từ việc kiểm tra nguồn dữ liệu không đầy đủ và xử lý dữ liệu đầu vào thiếu an toàn, cho phép attacker chèn và thực thi mã JavaScript độc hại. Đặc biệt nguy hiểm là hình thức zero-click attack: người dùng không cần bấm link, không nhập mật khẩu, nhưng tài khoản vẫn có thể bị chiếm mà hệ thống gần như không phát hiện bất thường.
Trong kịch bản xấu nhất, attacker có thể chiếm quyền tài khoản Facebook hàng loạt chỉ bằng cách nhắm vào người dùng truy cập các website tưởng chừng “vô hại”.
Meta Conversions API là mã nguồn mở và được triển khai rất rộng rãi, ước tính hơn 100 triệu lần trên toàn cầu. Điều đó đồng nghĩa không chỉ Facebook, mà rất nhiều website doanh nghiệp cũng có thể vô tình trở thành điểm phát tán tấn công. Chỉ trong vài giờ, kẻ tấn công hoàn toàn có khả năng tiếp cận hàng triệu người dùng, mà không để lại dấu hiệu tấn công rõ ràng.
Các chuyên gia an ninh mạng khuyến nghị, đối với các doanh nghiệp cần chủ động rà soát, vá lỗi và kiểm tra toàn bộ mã JavaScript, đặc biệt tránh nối chuỗi trực tiếp với dữ liệu đầu vào. Đồng thời, việc sử dụng postMessage phải kiểm tra chặt chẽ event.origin và áp dụng Content Security Policy (CSP) nghiêm ngặt, hạn chế tối đa các domain bên thứ ba để giảm rủi ro tấn công chuỗi cung ứng.
Với người dùng cuối, cần hạn chế đăng nhập Facebook trên các website không rõ nguồn gốc, đăng xuất khi không sử dụng và theo dõi các cảnh báo bảo mật từ Meta để kịp thời giảm thiểu nguy cơ bị chiếm quyền tài khoản.
