Nhận hối l.ộ h.àng chục nghìn USD, nhiều nhân viên Meta đã lợi dụng đặc quyền, lén lút mở khóa các tài khoản bị chặn trên Facebook, Instagram.
Điều này đã làm rộ lên thị trường ngách, chuyên thu tiền người dùng để khôi phục tài khoản bị khóa. Ảnh: New York Times.
Meta cho biết trong năm ngoái đã sa thải hơn 20 nhân viên bảo mật sau khi phát hiện ra họ lợi dụng đặc quyền, bán quyền truy cập thông tin người dùng cho hacker.
Một số nhân viên khác đến từ nhà thầu bên thứ ba cũng bị kỷ luật vì tự ý mở khóa cho các tài khoản bị chặn khỏi nền tảng. Họ là những nhân viên an ninh, có quyền truy cập vào công cụ nội bộ của Meta, có khả năng khôi phục bất kỳ tài khoản nào.
Đặc quyền của nhân viên Meta
Có tên là “ Oops”, công cụ này đã xuất hiện từ những ngày đầu Facebook thành lập, giúp người dùng khôi phục tài khoản khi quên mật khẩu, email hoặc bị hacker xâm nhập.
Tuy nhiên, một vài nhân viên đã bị khoản đút lót trị giá hàng nghìn USD từ các tin tặc bên ngoài làm mờ mắt. Họ tự ý đưa quyền truy cập tài khoản người dùng cho các dịch vụ mở khóa bên thứ ba, một nguồn tin nội bộ nói với Wall Street Journal. Những người này sau đó đã bị Meta kỷ luật hoặc đuổi việc.
Nhiều nhân viên Meta lợi dụng đặc quyền, mở khóa tài khoản cho người khác để lấy tiền. Ảnh: Reuters.
Theo Wall Street Journal, đây chính là vấn đề phức tạp mà Meta hiện gặp phải. Mặc dù sở hữu hơn 3 tỷ người dùng, mạng xã hội của tập đoàn không hề có dịch vụ chăm sóc khách hàng trực tuyến.
Do đó, mỗi khi tài khoản gặp vấn đề, người dùng phải sử dụng các cách sửa lỗi truyền thống như đặt lại tài khoản hoặc gọi tổng đài, gửi email đến Meta nhưng kết quả vẫn không mấy hiệu quả. Cuối cùng, họ phải tìm đến các nhân viên Meta hoặc nhân viên bảo mật của các nhà thầu bên thứ 3 để sử dụng công cụ Oops, giúp khôi phục tài khoản.
Theo lý thuyết, Oops chỉ được sử dụng đối với một vài trường hợp đặc biệt như bạn bè, gia đình, đối tác và người của công chúng. Nhưng tần suất sử dụng của nó đã tăng cao kể từ khi Meta tuyển dụng thêm nhiều nhân viên. Năm 2020, công cụ này đã được sử dụng 50.270 lần để khôi phục tài khoản, tăng 22.000 lần so với 3 năm nước, theo một tài liệu nội bộ.
Nhận hối lộ để mở khóa tài khoản
Song, đại diện của Meta khẳng định việc mua, bán tài khoản hoặc trả tiền để lấy lại truy cập là vi phạm điều khoản sử dụng. Tập đoàn đang điều tra các cựu nhân viên còn giữ liên lạc với đồng nghiệp, xem xét liệu họ có lợi dụng quyền hạn để truy cập trái phép tài khoản hay không.
Hồi tháng 7, luật sư của Meta đã kiện Kendel Melbourne, một nhân viên bảo mật bị sa thải vào năm 2021, vì “tiếp tay cho các công ty bên ngoài can thiệp trái phép vào tài khoản Instagram” cả khi làm việc hay đã rời khỏi công ty. Tập đoàn yêu cầu ông phải cung cấp danh sách cụ thể những tài khoản ông đã mở khóa và số tiền nhận được từ từng người.
Là nhân viên của Allied Universal, công ty chuyên cung cấp nhân viên bảo mật cho Meta, Melbourne nắm giữ thông tin đăng nhập của rất nhiều người dùng Facebook. Theo quy định, ông có quyền mở khóa tài khoản bằng công cụ Oops nếu nhận được yêu cầu từ cấp trên. Melbourne khẳng định ông không hề dùng đặc quyền của mình để trục lợi trái phép mà chỉ khôi phục khoảng 20 tài khoản cho bạn bè, gia đình và người quen.
Allied Universal đã chặn quyền truy cập, cảnh cáo nhân viên không được sử dụng công cụ Oops của Meta. Ảnh: AFP.
Reva Mandelowitz, một nhân viên hợp đồng khác của Allied Universal, cũng nghỉ việc hồi tháng 2 sau khi bị phát hiện nhận hối l.ộ h.àng nghìn USD Bitcoin để mở khóa một số tài khoản cho hacker.
Song, cựu nhân viên phủ nhận về điều này, nói rằng cô chỉ khôi phục 20 tài khoản cho bạn bè và gia đình. Từng có người lạ yêu cầu cô mở khóa tài khoản cho họ nhưng cô đã từ chối và sau đó còn bị lăng mạ trên mạng xã hội.
Thị trường mua, bán tài khoản Facebook, Instagram trái phép
Theo Wall Street Journal, để sử dụng Oops, nhân viên Meta cần phải nhập địa chỉ email liên kết với tài khoản Facebook hoặc Instagram cần khôi phục vào một bản báo cáo.
Họ còn phải trả lời một số câu hỏi cho biết sử dụng Oops cho ai, người quen của CEO Mark Zuckerberg, người nổi tiếng, người thân trong gia đình hay cho đối tác của Meta. Bản báo cáo này sau đó sẽ được gửi đến đội hỗ trợ cộng đồng của Meta và khôi phục tài khoản thành công nếu được phê duyệt.
Công cụ Oops chỉ được sử dụng với một số đối tượng đặc biệt. Điều này đã làm rộ lên một thị trường ngách, chuyên thu tiền người dùng nếu muốn lấy lại tài khoản. Nói với Wall Street Journal, một số công ty bên ngoài đã hối lộ nhân viên Meta để làm điều này.
“Gỡ tài khoản Instagram, Facebook mà người dùng mất hàng năm trời xây dựng tức là ‘đạp đổ chén cơm’ của họ”, Nick McCandless, Giám đốc công ty McCandless, nói. Ông cho biết công ty của ông thường thông qua một nhân viên của Meta để lấy lại tài khoản cho một số khách hàng và thu tiền của họ. “Cần phải có người quen bên trong mới có thể làm được”, ông nói.
Brooke Millard, một người mẫu sở hữu 650.000 người theo dõi trên Instagram, đã trả 7.000 USD cho McCandless để khôi phục quyền truy cập tài khoản sau khi cô bị thoát ra một cách khó hiểu vào năm 2021.
Theo Zing