Meta xác nhận hàng nghìn tài khoản Instagram bị hack do bị lạm dụng chatbot AI

Ý kiến trên Hacker News

• Trong thông báo vi phạm của Meta có câu: “bản thân công cụ vẫn hoạt động bình thường, đúng như dự định, nhưng do lỗi ở một nhánh mã riêng nên đã không kiểm tra đúng việc địa chỉ email do người yêu cầu đặt lại mật khẩu cung cấp có khớp với email của tài khoản Instagram đó hay không”; gọi đây là hoạt động bình thường hay đúng như dự định thì có vẻ không hợp lý

  • Trong tiếng Ý có câu “ca phẫu thuật thành công hoàn hảo nhưng bệnh nhân đã chết”
  • Câu đó đọc lên như kiểu “nó hoạt động đúng như được viết, và chúng tôi từ chối mọi trách nhiệm hay bảo hành đối với thiệt hại phát sinh hay gián tiếp của phần mềm này”
    Tôi vẫn nghĩ để sửa được nhiều thứ ở Mỹ thì cần cập nhật UCC[1] để không còn cho phép miễn trừ trách nhiệm đối với phần mềm dùng trong sản phẩm nữa
    [1] Universal Commercial Code -- https://www.law.cornell.edu/ucc
  • Ý họ là công cụ đã hoạt động đúng và như dự định, nhưng do lỗi nên lại không hoạt động đúng cũng chẳng như dự định
  • Nghe khá giống những lời bào chữa mà Claude hay ChatGPT đưa ra khi bị chỉ ra lỗi hoặc khi được yêu cầu trả lời hỗ trợ khách hàng về sự cố phần mềm
  • Lý lẽ ở đây là AI chỉ là một trang nhập liệu được bọc gói cho có vẻ hợp lý
    Trang nhập liệu nhận tên người dùng và email rồi gửi tới hàm backend thì đúng là hoạt động như dự định; vấn đề nằm ở chỗ hàm backend không xác minh email có khớp với tên người dùng hay không

• “Meta đã thông báo cho ít nhất 20.225 người rằng tài khoản của họ đã bị xâm phạm… các hacker có thể chiếm toàn bộ Instagram và các tài khoản liên kết của nạn nhân, đồng thời truy cập thông tin liên hệ, ngày sinh, thông tin hồ sơ, cũng như bài đăng, DM và hoạt động tài khoản… vụ hack bắt đầu khoảng ngày 17 tháng 4 và kéo dài đến tận tuần này”, quy mô gây sốc thật sự

  • Tôi không thích Meta, nhưng liệu có “gây sốc” hay không thì nên đánh giá theo tỷ lệ người dùng bị ảnh hưởng hơn là theo con số tuyệt đối
    Với một công ty cỡ vừa có 100 nghìn khách hàng thì sẽ là gây sốc, nhưng với một gã khổng lồ internet có 3 tỷ người dùng hoạt động hàng tháng thì dù tệ thật cũng chưa chắc đến mức “gây sốc”
  • Có vẻ Meta công khai cho phép bot traffic làm đủ thứ trên dịch vụ của mình nên mới dễ tránh bị phát hiện như vậy
    Mong là đừng ai nói như thể có cả một đội quân người tràn vào chiếm từng tài khoản một
  • Chỉ mong EU phạt một khoản GDPR sát mức trần 4% doanh thu toàn cầu
    Dù vậy, tôi vẫn nghi ngờ liệu EU có thực sự làm đúng khi đến lúc phải bảo vệ khách hàng hay không

• Tài khoản tôi tạo cho sản phẩm mới đã bị hệ thống tự động vô hiệu hóa vĩnh viễn, và không có cách nào kháng nghị với con người
  Nếu có ai từ Meta/Instagram đọc được thì tôi đã viết ngắn gọn chi tiết trong blog, mong được giúp đỡ
  https://addisonwebb.com/blog/2026-06-05-Can%20Someone%20at%2...

  • Meta yêu cầu tài khoản gốc phải được tạo cho con người, chứ không phải sản phẩm, doanh nghiệp hay thực thể không phải con người
    Vì vậy mới hiện bước xác minh “hãy xác nhận bạn là người”, rồi tài khoản gốc bị khóa vì vi phạm tiêu chuẩn cộng đồng yêu cầu tài khoản gốc phải là con người
    Trang tiêu chuẩn cộng đồng trong liên kết bạn gửi khá dày đặc, nên nếu không đăng các nội dung rõ ràng như người lớn thì rất dễ nghĩ rằng mình chẳng vi phạm gì cả
    Điều khoản bị vi phạm là đoạn “không tạo tài khoản đại diện cho thực thể không phải con người như doanh nghiệp, thú cưng hoặc nhân vật ảo”
    Bạn cần làm theo quy trình thiết lập trang doanh nghiệp từ một tài khoản cá nhân
    Giờ trên mọi nền tảng mạng xã hội, khi tạo trang doanh nghiệp, việc đọc đúng lộ trình chính thức là rất quan trọng; tất cả đều đang chịu áp lực phải ngăn làn sóng trang spam và lừa đảo
  • Đáng tiếc là chuyện này rất phổ biến, trong ngành gần như là kết quả có thể đoán trước khi tạo trang thương hiệu hoặc sản phẩm lần đầu
    Nếu vẫn không gỡ được, tôi khuyên nên liên hệ một agency thương hiệu/quảng cáo, trả khoảng 100 USD để họ nhờ đầu mối Meta bên họ xin gỡ chặn
    Trên thực tế, muốn tạo được các tài khoản kiểu này thì phải quen người có quen người trong Meta
    Mẹo: tốt nhất đừng đăng vấn đề này lên Twitter hay nền tảng khác. Spam tự động sẽ bâu vào rất nhiều
  • Dùng trình duyệt anti-detect cũng có thể là một cách
    Loại đó được tạo ra cho các mục đích như lập tài khoản mới
  • Tôi từng định tạo một tài khoản hoàn toàn riêng cho nhóm meetup và gặp đúng vấn đề tương tự, làm gì cũng không được
  • Phần này thật sự rất tệ
    Mỗi lần tôi cố tạo tài khoản để dùng cho mục đích kinh doanh thì chỉ trong vài phút là bị yêu cầu giấy tờ tùy thân, rồi cuối cùng tài khoản vẫn bị cấm
    Mọi thứ đều phải xử lý thông qua tài khoản cá nhân

• Chuyện này đã được đăng trên Hacker News vài ngày trước (https://news.ycombinator.com/item?id=48359102)
  Đó không phải về khâu xác minh cẩu thả của Meta, mà là phần giải thích về cách thức hack thực tế

• Mong là chuyện này sẽ đẩy nhanh thêm sự suy tàn của Meta
  Thế giới sẽ thích nghi tốt ngay cả khi không có mạng xã hội

  • Thực tế thì chuyện này sẽ ảnh hưởng gì đến Meta? Một số người sẽ bực, còn lại chẳng quan tâm và mọi thứ lại như cũ thôi
  • Tôi thật sự không hiểu nổi việc công ty này vẫn kiếm hơn 1 tỷ USD lợi nhuận ròng mỗi quý
  • Giải pháp thay thế là gì? Trong 22 nghìn người đó, có lẽ khá nhiều là các tài khoản có lượng khán giả lớn mà chỉ nền tảng quy mô lớn mới với tới được
    Đáng tiếc là Meta gần như là nền tảng duy nhất cho phép tiếp cận mọi người trên nhiều nhóm nhân khẩu học khác nhau, và điều quan trọng là những người đang theo dõi 22 nghìn tài khoản đó
    Họ không bị ảnh hưởng trực tiếp bởi sự việc này nên sẽ không rời Meta, và 99% thậm chí còn không biết hoặc không quan tâm chuyện này đã xảy ra

• Cái gọi là “hệ thống khôi phục tài khoản có hỗ trợ AI” à, rốt cuộc Meta đang làm cái quái gì vậy

  • Sao mà cưỡng lại được ly Kool-Aid ngọt ngào ấy chứ
    Dù vậy, đúng là họ không nên làm thế này, và tôi cũng tò mò chuyện này sẽ ảnh hưởng thế nào đến các đợt IPO AI lớn
    Meta cũng là một tay chơi lớn trong lĩnh vực này, nên nếu ngay cả họ còn làm không ra hồn thì…
  • Khôi phục tài khoản gần như luôn là loại ticket áp đảo nhất ở bất kỳ dịch vụ nào
    Vì người ta quên hoặc làm mất thông tin đăng nhập, bị hack, hoặc bị mạo danh, mà đó còn mới chỉ tính các yêu cầu hợp pháp
    Cộng thêm vào đó là các yêu cầu bất hợp pháp, từ đám script kiddie hoạt động hằng ngày, bọn tống tiền đòi tiền chuộc, những kẻ muốn đánh cắp các handle “có giá trị”, cho tới các tác nhân cấp quốc gia muốn truy cập DM của những người nhắn tin với các tài khoản chống chính phủ
    Vì thế sẽ kéo theo ba chuyện. Nếu để con người xem các ticket này thì cực kỳ tốn kém, xử lý hay không xử lý yêu cầu đều có thể gây thiệt hại PR rất lớn, và nhóm người dùng/khách hàng thì trải dài từ những người thông minh và giàu có nhất thế giới cho tới những du khách có khả năng phán đoán còn kém cả gấu[1] hoặc những người thậm chí không viết nổi tử tế
    Tệ hơn nữa là nhiều dịch vụ trực tuyến hoàn toàn không có cách nào gắn với giấy tờ tùy thân do chính phủ cấp, cũng có thể không có cả phương án thay thế như SIM điện thoại, tham nhũng có thể chen vào ở mọi cấp độ, và đặc biệt với các mục tiêu “ngon ăn”, giá trị quy đổi ra tiền có thể lên tới hàng triệu đô la
    Chỉ riêng Instagram đã có 3 tỷ người dùng trên toàn cầu, nên chi phí cho hỗ trợ người dùng chắc chắn phải khổng lồ, lại còn phải đối phó với khoảng 7.000 ngôn ngữ đang được sử dụng tích cực trên thế giới[2], và cả những người có quyền lực cỡ Tổng thống Mỹ hoặc giàu cỡ Elon Musk cũng đều là mục tiêu bị tấn công
    Rõ ràng toàn bộ ý tưởng này đã thiếu quản trị rủi ro một cách khủng khiếp, nhưng cũng không nên giả vờ như ngay từ đầu đây là một vấn đề nhỏ nhặt
    Đó cũng là lý do họ thúc đẩy AI, vì nếu làm đúng thì nó có thể giảm tải đáng kể công việc của bộ phận hỗ trợ tuyến đầu với chi phí thấp hơn rất nhiều
    [1] https://velvetshark.com/til/til-smartest-bears-dumbest-touri...
    [2] https://www.sapiens.org/language/world-languages-counting-me...

• Nên sửa tiêu đề thành “Meta xác nhận hàng nghìn tài khoản Instagram bị hack vì chatbot AI không an toàn”

• Không hiểu sao khi làm thứ này, việc “người dùng có thể yêu cầu gửi sang email khác hay không” lại không phải đúng nghĩa là bài kiểm tra đầu tiên
  Chẳng lẽ quy mô lớn quá nên khỏi test gì luôn sao?

  • Bản chất của phát minh này là giúp con người thoát khỏi gánh nặng phải tự động não
    Có thể có ngoại lệ, nhưng phần lớn mọi người muốn dùng AI với tâm thế rằng họ có thể lười biếng
  • Nếu biện hộ thì chắc là họ đã dặn LLM đừng mắc lỗi rồi
  • Vì ngành phần mềm đang nhầm lẫn giữa sự đơn giản của trải nghiệm người dùng và sự đơn giản của trải nghiệm phát triển
    Rất có thể trong quá trình phát triển, họ còn chẳng nghĩ đến trải nghiệm người dùng, chứ đừng nói đến trải nghiệm của nhân viên hỗ trợ
    Họ chỉ chăm chăm vào trải nghiệm phát triển của chính mình, bảo LLM tạo chatbot, nó chạy được, rồi tốc độ ấy được ghi chép, báo cáo lên trên, và dùng để lôi kéo đầu tư từ cổ đông
    Nếu có suy nghĩ thấu đáo từ trước thì nó đã đi ngược lại câu chuyện rằng AI sẽ trở thành kỹ sư hoặc giúp tăng năng suất lên 100 lần

• Chỉ cần nhìn vào cái “Q&A chatbot” tệ hại đến lố bịch dưới một số bài đăng trên Facebook, cùng hệ thống gần như không phân biệt nổi đâu là bình luận không phù hợp và đâu là bình luận bình thường, là đủ thấy Meta tụt hậu đến mức nào trong AI