Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
Sau gần 18 năm gắn bó, trải qua đủ mọi thăng trầm cùng kỷ nguyên mạng xã hội, cuối cùng mình đã bị đá ra khỏi Facebook một cách bất đắc dĩ. Lý do không phải vì mình vi phạm tiêu chuẩn cộng đồng, cũng chẳng phải vì mình muốn “detox mạng xã hội”. Lý do đơn giản thôi: Meta không biết cách LEFT JOIN các bảng dữ liệu của họ khi sáp nhập WhatsApp vào hệ sinh thái.
Là một người làm công nghệ, mình viết bài này không chỉ để thông báo một lời chia tay, mà chỉ muốn cảnh báo về cái giá mà chúng ta phải trả khi giao phó toàn bộ “cuộc sống số” (hay danh tính số) của mình cho các Big Tech.
1. Vòng lặp luẩn quẩn của một hệ thống chắp vá
Câu chuyện bắt đầu bằng một lý do nghe rất “nhân văn” nhưng kết quả lại cực kỳ nực cười: Tài khoản của mình bị tạm khóa (và có lẽ sẽ là vĩnh viễn) vì hệ thống phát hiện tài khoản bị tấn công. Để mở khóa, Meta yêu cầu mình xác thực lại nhân dạng. Và đây là lúc sự thảm hại về mặt kỹ thuật của họ lộ diện.
Bất kể là đăng nhập bằng phương thức nào: nhập mật khẩu trực tiếp, nhận OTP qua Email, thì cái đích cuối cùng mà hệ thống dẫn đến luôn là: Bắt buộc phải xác thực bằng OTP gửi đến số điện thoại.
Tài khoản của mình hiện tại sử dụng số điện thoại Việt Nam, và đã double-check kỹ lưỡng và hệ thống của Meta thực sự có thể gửi mã OTP qua ứng dụng WhatsApp. Nhưng bi kịch ở chỗ, cái microservice chịu trách nhiệm cho việc Account Recovery (Khôi phục tài khoản) của họ có vẻ như đang chạy trên một database cũ chưa từng được cập nhật. Kết quả? Nó từ chối phăng số điện thoại hiện tại và liên tục đòi gửi OTP về một số điện thoại cũ mà mình không còn sở hữu.
Rõ ràng, khi Meta cố gắng nhồi nhét WhatsApp vào chung một rổ với Facebook và Instagram, họ đã thất bại trong việc đảm bảo tính toàn vẹn dữ liệu (Data Integrity) giữa các dịch vụ. Cú LEFT JOIN giữa bảng user hiện tại và bảng user recovery của họ đã để lại những khoảng trống đi vào lòng đất. Họ không tìm thấy dữ liệu đồng bộ của mình trong hệ thống khôi phục, và giải pháp nhanh gọn nhất của một thuật toán vô tri là giam tài khoản của mình vào một vòng lặp vô tận.
2. Đỉnh cao của sự nực cười: “Chúng tôi không nhận ra thiết bị này”
Sự bất lực của hệ thống Meta còn được đẩy lên đỉnh điểm bằng một tình huống mang hài hước Hệ thống backend liên tục chặn lại với lý do “Không nhận ra thiết bị đăng nhập gần nhất của bạn”.
Thế nhưng, chính cái thông báo “không nhận ra thiết bị” đó lại được gửi dưới dạng Push Notification đến ngay ứng dụng Facebook trên chính chiếc điện thoại mà mình đang cầm trên tay, nơi mình vẫn đang duy trì trạng thái đăng nhập (session) nhưng tài khoản thì đã bị khóa.
Client và Server của Meta đang công kích lẫn nhau. Server thì bảo không biết đây là ai, còn Client thì vẫn nhận push notification đều đều từ chính Server đó. Một sự bất nhất trong kiến trúc hệ thống đến mức khó tin đối với một Big Tech hàng đầu thế giới.
Sự cố khóa tài khoản này thực chất chỉ là giọt nước tràn ly. Suốt một năm trở lại đây, mình đã phải cố gắng sống chung với tình trạng bất ổn bảo mật mà nguyên nhân hoàn toàn đến từ phía Meta.
Sau đợt rò rỉ dữ liệu mật khẩu của Instagram (giai đoạn 2022-2023), data của mình đã bị leak trên darkweb. Kể từ đó, tài khoản của mình trở thành mục tiêu thường xuyên của các cuộc tấn công recovery exploit (khai thác lỗ hổng khôi phục tài khoản). Cứ vài tuần, mình lại nhận được những dòng thông báo quen thuộc: “Có hoạt động đáng ngờ” hay “Ai đó đang cố gắng đăng nhập tài khoản của bạn”.
Nhiều lúc tự hỏi:
- Có phải lỗi của mình khi từng liên kết tài khoản với một số điện thoại nước ngoài trong suốt 4 năm đi học ở New Zealand không? Không.
- Có phải lỗi của mình khi Instagram làm lộ lọt dữ liệu mật khẩu của người dùng không? Càng không.
Với tư cách là một chuyên gia IT, mình tin rằng đã làm tất cả những gì có thể dưới góc độ người dùng: bật MFA, quản lý thiết bị nghiêm ngặt, đổi mật khẩu định kỳ… Mình đã làm tốt mọi thứ, trừ việc không thể nhảy vào source code của Meta để dạy họ cách làm sạch dữ liệu và viết query cho đúng.
3. Giành lại Chủ quyền số (Digital Sovereignty)
Sự cố này, suy cho cùng, lại là một cái tát tỉnh táo đánh thẳng vào tư duy “xây nhà trên đất mượn”. Chúng ta ký vào những bản điều khoản dịch vụ dài dằng dặc, cống hiến dữ liệu, thời gian, và các mối quan hệ cho Big Tech để rồi một ngày đẹp trời, một thuật toán ngớ ngẩn có thể xóa sổ sự tồn tại của chúng ta chỉ trong một nốt nhạc mà không có bất kỳ quyền khiếu nại thực chất nào.
Thực ra, hành trình “di cư” khỏi các nền tảng tập trung của mình đã bắt đầu từ lâu. Hơn một năm trước, mình đã chính thức từ bỏ Google Photos và chuyển sang giải pháp self-hosting Immich bằng phần cứng, tự setup server tại nhà. Thành quả là mình thực sự sở hữu từng byte dữ liệu, từng bức ảnh của bản thân và gia đình. Không một AI nào có quyền quét hình ảnh của mình, và cũng không một bộ quy tắc lỏng lẻo nào có thể tước đoạt chúng.
Facebook chỉ là quân cờ domino tiếp theo phải đổ. Dù lần này, mình ở thế “bị động một cách chủ động”.
4. Cái giá của tự do và lời khuyên cho số đông
Nói một cách sòng phẳng, chủ quyền dữ liệu (Data Sovereignty) nghe thì rất thời thượng và tự do, nhưng nó không phải là lựa chọn đúng cho 99,9999% người dùng đại chúng.
Ngay cả với một kỹ sư full-stack như mình, việc self-hosting vẫn là một bài toán gây đau đầu dai dẳng. Về phần cứng, đó là nỗi lo về rủi ro hỏng hóc thiết bị, mất điện, mất internet, hay chi phí vận hành. Về phần mềm, đó là những đêm mất ngủ cấu hình network, lo bảo mật server, chống DDoS, và thức thời gian rảnh để cập nhật bản vá Docker. Nếu một người làm kỹ thuật còn thấy mệt mỏi, thì việc yêu cầu một người dùng phổ thông tự quản lý dữ liệu không khác gì một lời đánh đố.
Việc chọn con đường độc lập này vì mình chấp nhận sự đau đầu của kỹ thuật để đổi lấy sự bình yên trước các Big Tech. Nhưng đối với bạn, những người không làm trong ngành công nghệ, lời khuyên của mình là: Hãy đa dạng hóa nền tảng (Diversify platforms).
Đừng bao giờ bỏ tất cả trứng vào một giỏ. Tuyệt đối tránh sự lệ thuộc độc quyền vào bất kỳ một nền tảng nào, dù là Meta, Google hay Apple. Hãy luôn có phương án dự phòng cho các mối quan hệ, danh bạ công việc và tài sản số của mình.
Về phần mình, việc mất tài khoản Facebook 18 năm tuy có chút tiếc nuối vì những kỷ niệm và các mối quan hệ cũ sẽ mất nhiều thời gian để kết nối lại, nhưng thật may mắn là minhf không dùng Facebook nhiều cho công việc. Đây không phải là một đòn đánh chí mạng. Mình tạo một tài khoản clone vãng lai chỉ để thông báo cho bạn bè biết tài khoản cũ đã “khai tử”.
Các cập nhật còn lại từ nay có lẽ sẽ chỉ được thông báo trên blog này, nơi mình cũng thật sự sở hữu data của mình.
