Chúng ta đều nhận thức rằng các ứng dụng di động thu thập dữ liệu cá nhân, nhưng các công ty đã làm gì với những thông tin đó? Một số bán dữ liệu, một số sử dụng cho quảng cáo nhắm mục tiêu, một số khác dùng để kết nối người dùng gần đó, và vô số cách sử dụng khác. Trong một kịch bản tồi tệ nhất, một công ty thu thập dữ liệu từ hàng ngàn ứng dụng, Gravy Analytics, đã bị tấn công mạng, với các hacker đe dọa sẽ công khai toàn bộ dữ liệu. Thông tin này bao gồm danh sách khách hàng, dữ liệu về ngành công nghiệp và lịch sử vị trí được thu thập từ điện thoại thông minh, đặt ra mối lo ngại sâu sắc về rò rỉ dữ liệu vị trí và quyền riêng tư dữ liệu của hàng triệu người dùng Việt Nam.
Theo báo cáo của 404Media, nhóm hacker tuyên bố rằng “dữ liệu cá nhân của hàng triệu người dùng bị ảnh hưởng”, đồng thời đưa ra tối hậu thư 24 giờ để Gravy Analytics phản hồi, nếu không họ sẽ bắt đầu công bố dữ liệu. Venntel, một công ty con của Gravy Analytics, trước đây đã từng bán dữ liệu cho chính phủ Hoa Kỳ, được sử dụng trong các chiến dịch nhập cư tại biên giới Mỹ.
Hàng Ngàn Ứng Dụng Đã Thu Thập Dữ Liệu Vị Trí, Sau Đó Chuyển Đến Gravy Analytics
Khả năng cao bạn đang dùng ít nhất một trong số này
Ứng dụng Microsoft Outlook trên điện thoại màn hình kép, một trong những ứng dụng bị cáo buộc thu thập dữ liệu vị trí người dùng.
Như Wired đã công bố, có hàng ngàn ứng dụng đã thu thập dữ liệu này. Wired đã công bố một danh sách chi tiết các ứng dụng trên Android và iOS có liên quan đến việc thu thập dữ liệu, trong đó có một số cái tên đáng chú ý như:
- Candy Crush
- Tinder
- Grindr
- Microsoft Outlook
- My Period Calendar & Tracker
- MyFitnessPal
- MyAnimeList
- Goat Simulator
- Bloons TD Battles
Hiện tại, vẫn chưa rõ liệu Gravy Analytics tự mình thu thập tất cả dữ liệu này, hay công ty đã mua một phần từ các nhà cung cấp dữ liệu khác trong ngành. Mặc dù thời điểm chính xác dữ liệu được thu thập không rõ ràng, nhưng tựa game Call of Duty Mobile: Season 5 có trong danh sách, và Season 5 đã bắt đầu vào tháng 5 năm 2024.
Dữ liệu này dường như được thu thập thông qua cơ chế đặt giá thầu thời gian thực (real-time bidding) cho quảng cáo. Những người trong ngành có thể đặt giá thầu thời gian thực cho quảng cáo có thể xem các thiết bị và địa chỉ IP, và các nhà phát hành ứng dụng có thể không nhất thiết phải biết về các công ty đang đặt quảng cáo trong ứng dụng của họ.
Zach Edwards, nhà phân tích mối đe dọa cấp cao tại công ty an ninh mạng Silent Push, chia sẻ với 404 Media: “Việc một nhà môi giới dữ liệu vị trí như Gravy Analytics bị hack là kịch bản ác mộng mà tất cả các nhà hoạt động bảo vệ quyền riêng tư đã lo sợ và cảnh báo. Các tác hại tiềm ẩn đối với cá nhân là rất lớn, và nếu tất cả dữ liệu vị trí hàng loạt của người dùng Mỹ bị bán trên các thị trường chợ đen, điều này sẽ tạo ra vô số rủi ro về nhận diện danh tính (deanonymization) và các mối lo ngại về theo dõi đối với các cá nhân và tổ chức có nguy cơ cao. Đây có thể là vụ rò rỉ lớn đầu tiên của một nhà cung cấp dữ liệu vị trí số lượng lớn, nhưng sẽ không phải là vụ cuối cùng.”
Edwards cũng nói với 404 Media rằng “Trong nhiều năm, dữ liệu này đã được bán cho các lợi ích của công ty và chính phủ nhưng chưa bao giờ được phổ biến rộng rãi cho tất cả các tác nhân đe dọa nhắm mục tiêu vào người dùng phương Tây. Loại dữ liệu này đã được sử dụng để theo dõi các chuyến thăm đến các phòng khám phá thai, các địa điểm nhạy cảm của chính phủ và các địa điểm có thể xác định các đặc điểm nhạy cảm được bảo vệ của con người như xu hướng tính dục của họ.”
Một số dữ liệu này dường như không được thu thập từ dữ liệu vị trí chính xác mà thay vào đó là từ dữ liệu vị trí thô thu được qua địa chỉ IP. Tuy nhiên, các ứng dụng yêu cầu quyền vị trí chính xác có thể đã bị lạm dụng quyền đó. Krzysztof Franaszek, người sáng lập Adalytics, một công ty pháp y kỹ thuật số, nói với 404 Media rằng một số tác nhân người dùng (user agents) (để xác định cách thiết bị kết nối với dịch vụ) tham chiếu “afma-sdk”, tức Google Mobile Ads SDK.
Nhiều công ty bao gồm Tinder và Grindr đã phủ nhận bất kỳ mối quan hệ nào với Gravy Analytics, tuyên bố rằng họ không có bằng chứng nào cho thấy dữ liệu đã được thu thập thông qua ứng dụng của họ.
Kết Luận: Nâng Cao Cảnh Giác Bảo Vệ Quyền Riêng Tư Dữ Liệu
Vụ rò rỉ dữ liệu vị trí quy mô lớn từ Gravy Analytics là một lời cảnh tỉnh nghiêm trọng về mức độ dễ bị tổn thương của thông tin cá nhân trong kỷ nguyên số. Việc hàng ngàn ứng dụng phổ biến có thể là cầu nối để dữ liệu nhạy cảm của chúng ta rơi vào tay các nhà môi giới dữ liệu và sau đó bị đe dọa công khai bởi hacker, đặt ra những rủi ro khôn lường về an ninh và quyền riêng tư. Từ việc theo dõi các hoạt động cá nhân đến nguy cơ bị nhận diện danh tính, hậu quả có thể rất nghiêm trọng. Người dùng cần chủ động hơn trong việc quản lý quyền riêng tư trên các ứng dụng di động, đặc biệt là quyền truy cập vị trí, và luôn cảnh giác về những thông tin mình chia sẻ.
Bạn nghĩ sao về vụ việc này và những tác động của nó đối với người dùng? Hãy để lại bình luận bên dưới để cùng congnghehot.net thảo luận nhé!