Một sự cố bảo mật quy mô lớn vừa được giới nghiên cứu phát hiện trên FTF Live — ứng dụng video chat ẩn danh có mặt trên Google Play. Theo TechRadar dẫn lại điều tra của Cybernews, một bảng điều khiển Kibana bị cấu hình sai đã khiến tối đa 3,47 triệu hồ sơ định danh và 22 triệu bản ghi phiên trò chuyện có khả năng bị truy cập từ bên ngoài. Đáng lo ngại hơn, đây là dịch vụ vốn cam kết "ẩn danh" với người dùng.
Quy mô rò rỉ: 3,47 triệu hồ sơ định danh, 22 triệu phiên trò chuyện
Theo Cybernews, lỗ hổng xuất phát từ một bảng điều khiển Kibana để ở trạng thái công khai, qua đó cho phép truy cập đến kho dữ liệu Elasticsearch của FTF Live. Các nhà nghiên cứu ước tính phạm vi phơi bày bao gồm:
- Khoảng 3,47 triệu hồ sơ chứa tên người dùng, địa chỉ email hoặc các định danh tương đương. Trong đó, theo tiêu đề bài viết của TechRadar, có khoảng 3 triệu hồ sơ chứa đồng thời họ tên và email.
- 22 triệu bản ghi phiên trò chuyện video.
- Thông tin thiết bị, giới tính, dữ liệu thanh toán.
- Siêu dữ liệu định vị: địa chỉ IP, quốc gia, ngôn ngữ.
Điểm tích cực duy nhất là nội dung video trực tiếp không bị phơi bày. Tuy nhiên, khi các trường định danh, vị trí và thông tin thanh toán được liên kết với nhau, khả năng theo dõi, nhận diện hoặc giám sát một cá nhân là rất rõ ràng — điều này đặc biệt nghiêm trọng với một nền tảng quảng bá tính ẩn danh.
Lỗi kép: Kibana và Dozzle cùng không được bảo vệ
Không chỉ Kibana, các nhà nghiên cứu còn phát hiện một phiên bản Dozzle — công cụ xem log dạng trình duyệt — cũng không được đặt mật khẩu. Cybernews mô tả đây là "lớp phơi bày thứ cấp" nhưng mức độ rủi ro lại không hề thứ cấp:
- Toàn cảnh hoạt động backend có thể quan sát theo thời gian thực.
- Mật khẩu dưới dạng plaintext, token phiên và các yêu cầu API nội bộ đều có thể đọc được.
Một nghiên cứu viên của Cybernews nhận định:
"Việc đồng thời tồn tại các phiên bản Kibana và Dozzle ở trạng thái công khai tạo nên một rủi ro bảo mật nghiêm trọng."
Với một dịch vụ lấy tính ẩn danh làm giá trị cốt lõi, việc log hệ thống mở toang cho người ngoài là vấn đề kép — cả về thiết kế lẫn vận hành.
Ba pháp nhân, không một phản hồi: cơ cấu vận hành mờ ám
TechRadar cho biết Cybernews đã cố gắng liên hệ đơn vị vận hành nhưng chưa nhận được phản hồi. Đáng lưu ý, cơ cấu pháp nhân đứng sau FTF Live khá phức tạp:
| Vai trò | Tên pháp nhân |
|---|---|
| Đơn vị phát hành ứng dụng Android (đã gỡ bỏ) | Burhan LTD |
| Đơn vị vận hành theo chính sách bảo mật | Cooy Ads Ltd (trụ sở tại Síp) |
| Quản lý dữ liệu, hỗ trợ khách hàng, thương hiệu | Pixover |
Sự chồng chéo của ba pháp nhân, kết hợp với việc chưa xác định được khoảng thời gian dữ liệu bị phơi bày, càng làm tăng quan ngại về tính minh bạch của dịch vụ.
Vì sao rò rỉ trên nền tảng "ẩn danh" lại đặc biệt nguy hiểm
FTF Live là dịch vụ ghép video ngẫu nhiên với người lạ, không hiếm trường hợp được dùng cho các cuộc trò chuyện riêng tư hoặc nhạy cảm. Khi định danh và siêu dữ liệu hành vi bị liên kết, hậu quả tiềm tàng có thể là:
- Chiếm đoạt tài khoản.
- Lừa đảo có chủ đích (targeted scam).
- Theo dõi, quấy rối từ bên thứ ba có động cơ.
- Ảnh hưởng tới các nhóm người dùng dễ tổn thương như cộng đồng LGBTQ+, người vị thành niên hoặc người tham gia các cuộc trao đổi nhạy cảm.
Bản chất vấn đề được Cybernews tóm tắt khá rõ: những cuộc trò chuyện tưởng là "ẩn danh và dùng một lần" thực ra để lại một dấu vết dữ liệu hoàn toàn có thể truy ngược.
Trình tự công bố và câu hỏi pháp lý đặt ra
Theo Cybernews, mốc thời gian của vụ việc như sau:
- 05/04/2025: Ứng dụng Android được phát hành trên Google Play.
- 12/12/2025: Các nhà nghiên cứu phát hiện trạng thái công khai.
- 01/01/2026: Cybernews gửi báo cáo tới các CERT liên quan.
- Khoảng 10 ngày trước thời điểm đăng tin, ứng dụng đã bị gỡ khỏi Google Play sau khi đạt khoảng 5.000 lượt tải.
Dữ liệu bị phơi bày được lưu trên Elasticsearch, với các bảng điều khiển Kibana phân loại theo nhân khẩu học, loại thiết bị, vị trí địa lý và trạng thái thanh toán. TechRadar lưu ý rằng việc một dịch vụ quảng bá tính ẩn danh nhưng lại tiến hành theo dõi quy mô rộng có thể trở thành mối quan tâm của các cơ quan quản lý theo khuôn khổ GDPR (EU) và CCPA (California).
Không phải sự cố Kibana đầu tiên trong năm 2026
Cybernews chỉ ra rằng đây không phải vụ việc đơn lẻ. Tháng 1/2026, trang nội dung người lớn nghiệp dư Frivol.com (trụ sở Tây Ban Nha, phục vụ chủ yếu người dùng nói tiếng Đức) cũng để lộ khoảng 479.000 địa chỉ email qua một phiên bản Kibana công khai. Một số tài khoản còn được đăng ký bằng email công ty, qua đó có thể truy ngược nơi làm việc của người dùng. Đáng chú ý, phía Frivol đã phủ nhận sự cố và cho rằng dữ liệu bị phơi bày là "không có giá trị".
Đáng nói, Elastic — nhà phát triển Kibana — đã liên tục phát hành các bản vá bảo mật trong năm 2026 (ESA-2026-21, ESA-2026-34, ESA-2026-38), cho thấy rủi ro liên quan tới các cấu hình mặc định vẫn rất hiện hữu.
Ý nghĩa với người dùng tại Việt Nam
FTF Live không phổ biến tại Việt Nam và ứng dụng đã bị gỡ khỏi Google Play, nên ảnh hưởng trực tiếp tới người dùng trong nước có thể giới hạn. Tuy vậy, vụ việc là lời nhắc đáng giá cho cộng đồng người dùng các nền tảng video chat ngẫu nhiên — vốn vẫn được quảng bá rộng rãi qua các kênh mạng xã hội tại Việt Nam:
- Nếu từng dùng FTF Live, hãy thay đổi mật khẩu các tài khoản khác dùng chung email và bật xác thực hai lớp.
- Cảnh giác với các email hoặc tin nhắn lừa đảo có chủ đích, đặc biệt khi đối phương dường như biết rõ thông tin cá nhân của bạn.
- Khi sử dụng dịch vụ tương tự, ưu tiên các nền tảng có chính sách bảo mật rõ ràng và pháp nhân vận hành minh bạch.
Hiện đơn vị vận hành FTF Live chưa đưa ra tuyên bố chính thức nào, đồng nghĩa với việc thời gian phơi bày và phạm vi ảnh hưởng cuối cùng vẫn còn là dấu hỏi.
Nguồn
- TechRadar — Anonymous video chat app leaks data on millions of users — more than 22 million records exposed, including 3 million containing names and email addresses
- Cybernews — Researchers uncover random video chat leak exposing millions of intimate user sessions
- Cybernews — Adult site Frivol.com data leak reveals users registered using work emails
