Trò hỏi đáp "Profoundly" đang hot trên Facebook bị bóc mẽ: Không hề ẩn danh, làm lộ danh tính dễ như bỡn
Một lập trình viên trẻ tuổi ở Việt Nam đã tìm ra sự thật này, thậm chí còn làm ra tiện ích nhìn được hoàn toàn ai gửi tin nhắn cho mình qua Profoundly.
Những ngày gần đây, dân tình Facebook Việt Nam đang rộ lên về một ứng dụng/trò chơi hỏi đáp mới tích hợp sẵn trên Facebook có tên "Profoundly". Về cơ bản, nó chẳng khác gì chức năng tạo Stories có khung hỏi đáp ẩn danh trên Instagram cả, được các chị em học tập nhau dùng rất nhiều để trả lời "thả thính" trong dịp 8-3 vừa rồi.
Tất cả những điều trên đều đúng, ngoại trừ một thứ: Profoundly không hề ẩn danh như bạn nghĩ!
Đó là kết luận của anh Việt Thảo - một lập trình viên kiêm blogger công nghệ Việt Nam. Anh hiện cũng là Admin của J2TEAM Community - một group nổi tiếng chuyên về các vấn đề công nghệ ở nước ta. Sau khi nhận thấy nhiều sự quan tâm và thắc mắc về Profoundly, mới đây Thảo đã đăng tải bài viết (link tại đây), nhận được rất nhiều sự hưởng ứng của cư dân mạng về sự thật được tìm ra.
Giải thích một cách dễ hiểu, những bước tìm hiểu ban đầu trong mã lập trình của Profoundly, Thảo nhận thấy có những điểm khá bất đồng xét về tính ẩn danh của ứng dụng. Cuối cùng, với những bằng chứng rõ ràng, anh khẳng định tự bản thân mình cũng "hoàn toàn có thể sửa mọi thông số của một tin nhắn: Người gửi, người nhận, avatar, tên, ẩn danh,...".
Ảnh thử nghiệm tính năng của Việt Thảo trong blog.
"Không có một lớp bảo mật nào chống người dùng sửa đổi dữ liệu được gửi lên server. Nghĩa là mình có thể bày ra đủ mọi thứ trò kì quặc từ việc khiến tất cả bạn bè trong friend list nhắn tin bảo mình đẹp trai, hay gửi tin phá hoại tình cảm của crush,...miễn là mình có trong tay scoped id của "đối tượng" (cái này mình đã test và lấy được hết trong friend list)." - trích lời Việt Thảo.
Bước đầu tạm chắc Profoundly không ẩn danh, nhưng Việt Thảo vẫn cẩn thận hơn, tiếp tục chịu khó mày mò thêm xem liệu ứng dụng này còn dám tự tiện đánh cắp dữ liệu của người dùng hay không. May mắn thay, nó "chỉ đơn giản là lưu gần như toàn bộ dữ liệu mà ta gửi lên sau đó khi có yêu cầu thì lại trả về toàn bộ dữ liệu đã lưu," ngoài ra không lợi dụng thông tin cho các mục đích khác.
Thậm chí, bất ngờ nhất là khi Thảo cùng với Mạnh Tuấn - một Admin khác của group - còn "hào phóng" tạo ra một tiện ích (extension) cho trình duyệt Google Chrome, chỉ cần cài đặt vào thì khi chơi Profoundly sẽ auto đọc được hết chính xác ai gửi gì cho mình. Nói cách khác, Thảo đã tận dụng cơ chế không ẩn danh hoàn toàn của Profoundly để làm ra nó.
Ban đầu người gửi có vẻ được ẩn danh (trái) nhưng sau khi cài tiện ích, họ sẽ lộ ra là ai ngay lập tức (phải). Ảnh: Việt Thảo.
Ít nhất thì viễn cảnh đáng sợ của một vài scandal đánh cắp dữ liệu trước đây của Facebook cũng không bị lặp lại. Chỉ tội các bạn đang ngầm có cảm tình với crush, cẩn thận người ấy đọc được bài viết này thì mất toi một công cụ tìm hiểu đối phương hữu dụng rồi đó.
