Trong kỷ nguyên số, việc các ứng dụng thu thập dữ liệu cá nhân của chúng ta đã trở thành một điều hiển nhiên. Tuy nhiên, điều đáng lo ngại là các công ty sử dụng dữ liệu đó vào mục đích gì. Một số bán chúng, một số dùng để quảng cáo nhắm mục tiêu, số khác giúp bạn kết nối với người dùng lân cận, và vô số cách sử dụng khác. Trong một kịch bản tồi tệ nhất vừa xảy ra, một công ty chuyên thu thập dữ liệu từ hàng ngàn ứng dụng đã bị tấn công mạng, với tin tặc đe dọa công khai toàn bộ dữ liệu này. Hồ sơ dữ liệu bị đánh cắp bao gồm danh sách khách hàng, thông tin về ngành công nghiệp, và đặc biệt là dữ liệu lịch sử vị trí được thu thập từ điện thoại thông minh. Vụ rò rỉ dữ liệu vị trí quy mô lớn này đang gióng lên hồi chuông cảnh báo về quyền riêng tư và bảo mật thông tin cá nhân của hàng triệu người dùng.
Theo báo cáo từ 404Media, nhóm tin tặc đã tuyên bố rằng “dữ liệu cá nhân của hàng triệu người dùng bị ảnh hưởng”, và đưa ra tối hậu thư 24 giờ cho Gravy Analytics phải phản hồi, nếu không chúng sẽ bắt đầu công bố dữ liệu. Venntel, một công ty con của Gravy Analytics, trước đây từng bán dữ liệu cho chính phủ Hoa Kỳ, được sử dụng trong các hoạt động nhập cư tại biên giới Mỹ, cho thấy mức độ nhạy cảm và tầm quan trọng của những thông tin này.
Hàng Ngàn Ứng Dụng Đã Thu Thập Dữ Liệu Vị Trí Chuyển Đến Gravy Analytics
Rất Có Thể, Thiết Bị Của Bạn Đang Chứa Ít Nhất Một Ứng Dụng Này
Điện thoại gập màn hình đôi hiển thị ứng dụng Microsoft Outlook, một trong hàng ngàn ứng dụng bị nghi rò rỉ dữ liệu vị trí người dùng cho Gravy Analytics.
Như Wired đã công bố, có hàng ngàn ứng dụng trên cả Android và iOS đã thu thập dữ liệu này. Wired thậm chí còn đưa ra một danh sách chi tiết hàng ngàn ứng dụng đã góp phần vào nguồn dữ liệu này, trong đó có một số cái tên đáng chú ý mà người dùng Việt Nam có thể quen thuộc:
- Candy Crush
- Tinder
- Grindr
- Microsoft Outlook
- My Period Calendar & Tracker
- MyFitnessPal
- MyAnimeList
- Goat Simulator
- Bloons TD Battles
Hiện tại, vẫn chưa rõ liệu toàn bộ dữ liệu này có phải do Gravy tự thu thập hay công ty này đã mua lại một phần từ các nhà thu thập dữ liệu khác trên thị trường. Mặc dù thời điểm chính xác dữ liệu được thu thập chưa được làm rõ, nhưng sự xuất hiện của game Call of Duty Mobile: Season 5 (mùa 5 bắt đầu vào tháng 5 năm 2024) trong danh sách cho thấy việc thu thập dữ liệu vẫn diễn ra gần đây.
Dữ liệu này dường như được thu thập thông qua cơ chế đấu thầu thời gian thực (real-time bidding) trong quảng cáo. Những người trong ngành có thể đặt giá thầu thời gian thực cho quảng cáo có thể xem các thiết bị và địa chỉ IP, và các nhà phát hành ứng dụng không nhất thiết phải biết về các công ty đang đặt quảng cáo trong ứng dụng của họ. Điều này tạo ra một lỗ hổng đáng kể trong bảo mật dữ liệu người dùng.
Zach Edwards, nhà phân tích mối đe dọa cấp cao tại công ty an ninh mạng Silent Push, chia sẻ với 404 Media: “Việc một nhà môi giới dữ liệu vị trí như Gravy Analytics bị hack là kịch bản kinh hoàng mà tất cả các nhà bảo vệ quyền riêng tư đã lo sợ và cảnh báo. Những tổn hại tiềm tàng đối với cá nhân là rất lớn, và nếu tất cả dữ liệu vị trí hàng loạt của người Mỹ bị bán trên các thị trường ngầm, điều này sẽ tạo ra vô số rủi ro giải ẩn danh và lo ngại theo dõi cho các cá nhân và tổ chức có nguy cơ cao. Đây có thể là vụ vi phạm lớn đầu tiên của một nhà cung cấp dữ liệu vị trí hàng loạt, nhưng sẽ không phải là cuối cùng.”
Edwards cũng nói thêm với 404 Media: “Trong nhiều năm, dữ liệu này đã được bán cho các lợi ích của doanh nghiệp và chính phủ nhưng chưa bao giờ được phổ biến rộng rãi cho tất cả các tác nhân đe dọa nhắm mục tiêu vào người dùng phương Tây. Loại dữ liệu này đã được sử dụng để theo dõi các chuyến thăm phòng khám phá thai, các địa điểm chính phủ nhạy cảm và các địa điểm có thể xác định các đặc điểm được bảo vệ nhạy cảm của mọi người như xu hướng tình dục của họ.”
Một số dữ liệu này dường như không được thu thập từ dữ liệu vị trí chính xác mà thay vào đó là từ dữ liệu vị trí thô (coarse location data) thu được qua địa chỉ IP. Tuy nhiên, các ứng dụng yêu cầu quyền vị trí chính xác có thể đã bị lạm dụng quyền đó. Krzysztof Franaszek, người sáng lập Adalytics – một công ty pháp y kỹ thuật số, đã nói với 404 Media rằng một số tác nhân người dùng (user agents) – yếu tố giúp xác định cách thiết bị kết nối với dịch vụ – có tham chiếu đến “afma-sdk”, bộ công cụ phát triển phần mềm Google Mobile Ads SDK. Điều này chỉ ra rằng quá trình thu thập dữ liệu có thể liên quan đến các quảng cáo được phân phối bởi Google.
Đáng chú ý, nhiều công ty ứng dụng lớn, bao gồm Tinder và Grindr, đã phủ nhận mọi mối quan hệ với Gravy Analytics. Họ khẳng định rằng không có bằng chứng nào cho thấy dữ liệu đã được thu thập thông qua các ứng dụng của họ, làm tăng thêm sự phức tạp và mơ hồ về nguồn gốc và quy trình thu thập thông tin này.
Kết Luận: Bài Học Đắt Giá Về Quyền Riêng Tư Dữ Liệu
Vụ việc Gravy Analytics bị hack và nguy cơ rò rỉ dữ liệu vị trí cá nhân của hàng triệu người dùng đã phơi bày một cách rõ ràng những rủi ro tiềm ẩn trong thế giới kỹ thuật số. Nó nhấn mạnh tầm quan trọng của việc hiểu rõ các ứng dụng thu thập loại dữ liệu nào từ chúng ta và cách các nhà môi giới dữ liệu sử dụng thông tin đó. Đối với người dùng, đây là lời nhắc nhở mạnh mẽ về việc cần cẩn trọng hơn khi cấp quyền cho các ứng dụng và thường xuyên kiểm tra cài đặt quyền riêng tư trên thiết bị của mình. Hãy luôn cập nhật thông tin về các vụ tấn công mạng và bảo mật dữ liệu để bảo vệ quyền riêng tư cá nhân của bạn một cách tốt nhất.