Nhiều người tin rằng việc đặt tài khoản ở chế độ “riêng tư” trên Instagram đồng nghĩa với việc hình ảnh và bài viết cá nhân sẽ được bảo vệ an toàn. Tuy nhiên, một lỗ hổng bảo mật vừa được công bố cho thấy niềm tin này không hoàn toàn đúng. Trong một khoảng thời gian, kẻ xấu có thể xem nội dung riêng tư của một số tài khoản Instagram mà không cần đăng nhập hay được chủ tài khoản cho phép.
Lỗ hổng được phát hiện bởi chuyên gia an ninh mạng Jatin Banga. Theo phân tích kỹ thuật, đây không phải lỗi hiển thị hay lưu trữ tạm thời như nhiều người lầm tưởng mà là lỗi kiểm soát quyền truy cập ở phía máy chủ. Cụ thể, khi gửi một yêu cầu truy cập trang Instagram của tài khoản riêng tư thông qua giao diện web trên điện thoại, máy chủ Instagram đã phản hồi dữ liệu chứa đường dẫn ảnh gốc, chú thích và một số thông tin bài đăng, dù người truy cập không có bất kỳ quyền nào.
Lỗ hổng được phát hiện bởi chuyên gia an ninh mạng Jatin Banga. Theo phân tích kỹ thuật, đây không phải lỗi hiển thị hay lưu trữ tạm thời như nhiều người lầm tưởng mà là lỗi kiểm soát quyền truy cập ở phía máy chủ. Cụ thể, khi gửi một yêu cầu truy cập trang Instagram của tài khoản riêng tư thông qua giao diện web trên điện thoại, máy chủ Instagram đã phản hồi dữ liệu chứa đường dẫn ảnh gốc, chú thích và một số thông tin bài đăng, dù người truy cập không có bất kỳ quyền nào.
Điều đáng lo ngại là lỗ hổng này không ảnh hưởng đồng loạt đến tất cả người dùng. Trong quá trình thử nghiệm, khoảng gần 30% tài khoản riêng tư bị ảnh hưởng, nhưng việc tài khoản nào “dính lỗi” lại khó đoán. Chính sự không đồng đều này khiến nguy cơ càng cao, bởi kẻ tấn công có thể âm thầm theo dõi những mục tiêu cụ thể mà rất khó bị phát hiện trên diện rộng.
Nhà nghiên cứu đã báo cáo sự việc cho Meta từ giữa tháng 10/2025. Chỉ vài ngày sau, lỗ hổng không còn hoạt động, cho thấy hệ thống đã được điều chỉnh. Tuy nhiên, Meta không xác nhận rõ ràng việc vá lỗi, thậm chí cho rằng không thể tái hiện vấn đề và coi đây là hệ quả ngoài ý muốn của các thay đổi hạ tầng khác. Việc thiếu minh bạch này làm dấy lên lo ngại rằng nguyên nhân gốc rễ có thể chưa được phân tích và khắc phục triệt để.
Với người dùng phổ thông, sự việc là lời nhắc nhở rõ ràng về những rủi ro tiềm ẩn trên không gian mạng. Một số điểm cần đặc biệt lưu ý gồm:
- Chế độ “riêng tư” không phải lúc nào cũng đảm bảo an toàn tuyệt đối.
- Không nên đăng tải hình ảnh, thông tin quá nhạy cảm lên mạng xã hội.
- Luôn theo dõi các cảnh báo bảo mật và cập nhật từ nền tảng sử dụng.
Vụ việc cho thấy ngay cả các nền tảng có hàng tỷ người dùng cũng có thể tồn tại những lỗ hổng nghiêm trọng. Quyền riêng tư trên mạng không chỉ phụ thuộc vào cài đặt của người dùng, mà còn phụ thuộc rất lớn vào cách các hệ thống phía sau được thiết kế, vận hành và minh bạch trong việc xử lý sự cố.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview