Chúng ta đều biết rằng các ứng dụng trên điện thoại thông minh đang thu thập dữ liệu cá nhân của người dùng, nhưng các công ty làm gì với lượng dữ liệu khổng lồ đó? Một số bán chúng, một số sử dụng cho quảng cáo mục tiêu, một số khác dùng để giúp bạn kết nối với những người dùng ở gần, và vô số cách sử dụng khác. Trong một kịch bản tồi tệ nhất, một công ty thu thập dữ liệu từ hàng ngàn ứng dụng, Gravy Analytics, đã bị tấn công mạng. Những kẻ tấn công đang đe dọa công khai toàn bộ dữ liệu này, bao gồm danh sách khách hàng, thông tin về ngành, và đặc biệt là thông tin vị trí lịch sử được thu thập từ điện thoại thông minh. Đây là một cảnh báo nghiêm trọng về bảo mật dữ liệu di động và quyền riêng tư ứng dụng mà người dùng Việt Nam cần hết sức lưu tâm.
Theo báo cáo từ 404Media, nhóm tin tặc tuyên bố rằng “dữ liệu cá nhân của hàng triệu người dùng bị ảnh hưởng”, đồng thời đưa ra tối hậu thư 24 giờ để Gravy Analytics phản hồi, nếu không chúng sẽ bắt đầu công khai dữ liệu. Venntel, một công ty con của Gravy Analytics, trước đây từng bán dữ liệu cho chính phủ Hoa Kỳ, và dữ liệu này đã được sử dụng trong các chiến dịch nhập cư ở biên giới Mỹ.
Hàng Ngàn Ứng Dụng Di Động Thu Thập Dữ Liệu Vị Trí Gửi Về Gravy Analytics
Bạn có thể đã cài đặt ít nhất một trong số các ứng dụng này
Như Wired đã công bố, có hàng ngàn ứng dụng trên cả Android và iOS đã thu thập dữ liệu này. Wired thậm chí đã công bố một danh sách chi tiết các ứng dụng, và một số cái tên đáng chú ý bao gồm:
- Candy Crush
- Tinder
- Grindr
- Microsoft Outlook
- My Period Calendar & Tracker
- MyFitnessPal
- MyAnimeList
- Goat Simulator
- Bloons TD Battles
Hiện tại, vẫn chưa rõ liệu tất cả dữ liệu này có được Gravy Analytics tự thu thập trực tiếp hay công ty này đã mua lại một phần từ các nhà cung cấp dữ liệu khác. Mặc dù thời điểm chính xác dữ liệu được thu thập không được tiết lộ, việc Call of Duty Mobile: Season 5 (mùa 5 bắt đầu vào tháng 5 năm 2024) có trong danh sách cho thấy dữ liệu có thể khá gần đây.
Ứng dụng Microsoft Outlook hoạt động trên điện thoại màn hình kép Surface Duo 2, một trong số hàng ngàn ứng dụng thu thập dữ liệu vị trí
Bản thân dữ liệu dường như được thu thập thông qua đấu thầu thời gian thực (Real-Time Bidding – RTB). Những người trong ngành có khả năng đặt giá thầu thời gian thực cho quảng cáo có thể nhìn thấy các thiết bị và địa chỉ IP, và các nhà phát triển ứng dụng không nhất thiết phải biết các công ty nào đang đặt quảng cáo trong ứng dụng của họ.
Hệ lụy nghiêm trọng và ý kiến chuyên gia về nguy cơ bảo mật dữ liệu
Zach Edwards, chuyên gia phân tích mối đe dọa cấp cao tại công ty an ninh mạng Silent Push, chia sẻ với 404 Media: “Việc một nhà môi giới dữ liệu vị trí như Gravy Analytics bị tấn công là kịch bản ác mộng mà tất cả các nhà hoạt động quyền riêng tư đã lo sợ và cảnh báo. Những tổn hại tiềm tàng đối với cá nhân là rất đáng sợ, và nếu toàn bộ dữ liệu vị trí hàng loạt của người Mỹ bị rao bán trên các thị trường ngầm, điều này sẽ tạo ra vô số rủi ro giải ẩn danh và mối lo ngại theo dõi cho các cá nhân và tổ chức có nguy cơ cao. Đây có thể là vụ rò rỉ lớn đầu tiên của nhà cung cấp dữ liệu vị trí, nhưng chắc chắn sẽ không phải là cuối cùng.”
Edwards cũng nói thêm với 404 Media: “Trong nhiều năm, dữ liệu này đã được bán cho các lợi ích của doanh nghiệp và chính phủ nhưng chưa bao giờ được phổ biến rộng rãi cho tất cả các tác nhân đe dọa nhắm vào người dùng phương Tây. Loại dữ liệu này đã được sử dụng để theo dõi các chuyến thăm đến các phòng khám phá thai, các địa điểm nhạy cảm của chính phủ, và các địa điểm có thể xác định các phẩm chất được bảo vệ nhạy cảm của con người như xu hướng tình dục của họ.”
Một số dữ liệu bị rò rỉ này dường như không được thu thập từ dữ liệu vị trí chính xác mà thay vào đó là từ dữ liệu vị trí thô được lấy từ địa chỉ IP. Tuy nhiên, các ứng dụng yêu cầu quyền vị trí chính xác có thể đã bị lạm dụng quyền đó. Krzysztof Franaszek, người sáng lập Adalytics, một công ty pháp y kỹ thuật số, nói với 404 Media rằng một số user agents (dùng để xác định cách thiết bị kết nối với dịch vụ) tham chiếu “afma-sdk”, bộ công cụ Google Mobile Ads SDK.
Nhiều công ty, bao gồm Tinder và Grindr, đã phủ nhận mọi mối quan hệ với Gravy Analytics, khẳng định rằng họ không có bằng chứng nào cho thấy dữ liệu đã được thu thập thông qua các ứng dụng của họ.
Vụ tấn công Gravy Analytics một lần nữa gióng lên hồi chuông cảnh tỉnh về sự mong manh của dữ liệu cá nhân và thông tin vị trí trong thời đại số. Đây là một lời nhắc nhở mạnh mẽ về tầm quan trọng của việc kiểm soát quyền riêng tư ứng dụng và cẩn trọng hơn trong việc cấp quyền cho các ứng dụng di động. Người dùng cần thường xuyên kiểm tra các quyền mà ứng dụng yêu cầu, đặc biệt là quyền truy cập vị trí, và cân nhắc kỹ lưỡng trước khi chấp thuận. Hãy luôn chủ động cập nhật các tin tức và lời khuyên về bảo mật dữ liệu để tự bảo vệ mình khỏi những nguy cơ tiềm ẩn. Để không bỏ lỡ những thông tin công nghệ quan trọng, hãy thường xuyên ghé thăm caphecongnghe.com.