Tình trạng các ứng dụng thu thập dữ liệu người dùng đã không còn xa lạ, nhưng hậu quả của việc này có thể trở thành một cơn ác mộng. Mới đây, một công ty môi giới dữ liệu khổng lồ, Gravy Analytics, được cho là đã bị tấn công mạng, và các tin tặc đe dọa công khai toàn bộ dữ liệu thu thập được. Vụ rò rỉ này tiềm ẩn nguy cơ nghiêm trọng, bao gồm danh sách khách hàng, thông tin ngành công nghiệp và đặc biệt là dữ liệu vị trí lịch sử thu thập từ hàng triệu điện thoại thông minh, đe dọa quyền riêng tư của rất nhiều người dùng, trong đó có thể có cả độc giả của congnghe360.net tại Việt Nam.
Theo báo cáo từ 404Media, nhóm tin tặc đã tuyên bố rằng “dữ liệu cá nhân của hàng triệu người dùng đã bị ảnh hưởng” và cho Gravy Analytics 24 giờ để phản hồi trước khi bắt đầu phát tán dữ liệu. Một thông tin đáng chú ý là Venntel, công ty con của Gravy Analytics, trước đây từng bán dữ liệu cho chính phủ Hoa Kỳ, và dữ liệu này đã được sử dụng trong các chiến dịch nhập cư tại biên giới Mỹ.
Hàng Ngàn Ứng Dụng Đã Thu Thập Dữ Liệu Vị Trí Chuyển Đến Gravy Analytics
Có lẽ bạn đang dùng ít nhất một trong số các ứng dụng này
Microsoft Outlook trên thiết bị Surface Duo, một trong các ứng dụng bị cáo buộc thu thập dữ liệu vị trí người dùng.
Như Wired đã công bố, có hàng ngàn ứng dụng trên cả Android và iOS đã thu thập loại dữ liệu này. Wired thậm chí đã công bố một danh sách chi tiết, và một số ứng dụng nổi bật bao gồm:
- Candy Crush
- Tinder
- Grindr
- Microsoft Outlook
- My Period Calendar & Tracker
- MyFitnessPal
- MyAnimeList
- Goat Simulator
- Bloons TD Battles
Hiện tại, vẫn chưa rõ liệu tất cả dữ liệu có được Gravy tự thu thập hay công ty đã mua lại từ các nhà thu thập dữ liệu khác trong ngành. Mặc dù thời điểm chính xác dữ liệu được thu thập không rõ ràng, nhưng “Call of Duty Mobile: Season 5” cũng nằm trong danh sách, và Season 5 này bắt đầu vào tháng 5 năm 2024.
Dữ liệu dường như được thu thập thông qua phương thức đấu thầu thời gian thực (real-time bidding). Những người trong ngành có thể đặt giá thầu thời gian thực cho quảng cáo có thể xem các thiết bị và địa chỉ IP, và các nhà phát hành ứng dụng không nhất thiết phải biết về các công ty đang đặt quảng cáo trong ứng dụng của họ.
Zach Edwards, chuyên gia phân tích mối đe dọa cấp cao tại công ty an ninh mạng Silent Push, đã chia sẻ với 404 Media: “Việc một công ty môi giới dữ liệu vị trí như Gravy Analytics bị hack là kịch bản tồi tệ nhất mà tất cả những người ủng hộ quyền riêng tư đã lo sợ và cảnh báo. Các tác hại tiềm ẩn đối với cá nhân là rất lớn, và nếu tất cả dữ liệu vị trí số lượng lớn của người Mỹ bị bán trên các thị trường ngầm, điều này sẽ tạo ra vô số rủi ro phi định danh và lo ngại theo dõi cho các cá nhân và tổ chức có rủi ro cao. Đây có thể là vụ rò rỉ lớn đầu tiên của một nhà cung cấp dữ liệu vị trí số lượng lớn, nhưng sẽ không phải là cuối cùng.”
Edwards cũng cho biết thêm: “Trong nhiều năm, dữ liệu này đã được bán cho các lợi ích của doanh nghiệp và chính phủ, nhưng nó chưa bao giờ được phổ biến rộng rãi cho tất cả các đối tượng đe dọa nhắm mục tiêu vào người dùng phương Tây. Loại dữ liệu này đã được sử dụng để theo dõi các chuyến thăm đến các phòng khám phá thai, các địa điểm chính phủ nhạy cảm, và các địa điểm có thể xác định các đặc điểm được bảo vệ nhạy cảm của con người như xu hướng tính dục của họ.”
Một số dữ liệu này dường như không được thu thập từ dữ liệu vị trí chính xác mà thay vào đó là từ dữ liệu vị trí thô thu được từ địa chỉ IP. Tuy nhiên, các ứng dụng yêu cầu quyền truy cập vị trí chính xác có thể đã bị lạm dụng các quyền này. Krzysztof Franaszek, người sáng lập Adalytics, một công ty pháp y kỹ thuật số, nói với 404 Media rằng một số tác nhân người dùng (user agents) – xác định cách thiết bị kết nối với dịch vụ – tham chiếu “afma-sdk”, bộ công cụ Google Mobile Ads SDK.
Nhiều công ty bao gồm Tinder và Grindr đã phủ nhận bất kỳ mối quan hệ nào với Gravy Analytics, cho rằng họ không có bằng chứng nào cho thấy dữ liệu được thu thập thông qua ứng dụng của họ.
Kết Luận: Tăng Cường Bảo Vệ Quyền Riêng Tư Trong Kỷ Nguyên Số
Vụ rò rỉ dữ liệu vị trí tiềm tàng từ Gravy Analytics một lần nữa gióng lên hồi chuông cảnh báo về mức độ dễ bị tổn thương của thông tin cá nhân trong môi trường kỹ thuật số. Hàng triệu người dùng, bao gồm cả những người sử dụng các ứng dụng phổ biến tại Việt Nam, có thể đang đối mặt với nguy cơ bị lộ thông tin nhạy cảm. Điều này nhấn mạnh tầm quan trọng của việc người dùng cần cẩn trọng hơn trong việc cấp quyền cho các ứng dụng và các nhà phát triển cần minh bạch hơn trong chính sách thu thập dữ liệu. congnghe360.net khuyến nghị bạn đọc thường xuyên kiểm tra các quyền riêng tư trên điện thoại của mình và cân nhắc kỹ trước khi cài đặt các ứng dụng mới.
Bạn nghĩ sao về vấn đề bảo mật dữ liệu cá nhân trong kỷ nguyên số? Hãy chia sẻ ý kiến của bạn trong phần bình luận bên dưới!