Chúng ta đều biết rằng các ứng dụng trên điện thoại thu thập dữ liệu cá nhân, nhưng các công ty sử dụng dữ liệu đó như thế nào? Một số bán dữ liệu, một số dùng cho quảng cáo nhắm mục tiêu, số khác để kết nối người dùng gần đó, và vô số cách sử dụng khác. Trong một kịch bản tồi tệ, một công ty thu thập dữ liệu từ hàng ngàn ứng dụng đã bị hacker tấn công, với lời đe dọa công khai tất cả dữ liệu. Sự kiện rò rỉ dữ liệu vị trí này bao gồm danh sách khách hàng, thông tin ngành và lịch sử vị trí được thu thập từ smartphone. Đây là một mối lo ngại nghiêm trọng về quyền riêng tư và bảo mật thông tin người dùng.
Hacker Đe Dọa Công Khai Dữ Liệu Của Gravy Analytics
Theo báo cáo của 404Media, các hacker tuyên bố “dữ liệu cá nhân của hàng triệu người dùng bị ảnh hưởng”, đồng thời đưa ra tối hậu thư 24 giờ để Gravy Analytics phản hồi nếu không sẽ bắt đầu công bố dữ liệu. Venntel, một công ty con của Gravy Analytics, trước đây đã từng bán dữ liệu cho chính phủ Hoa Kỳ và được sử dụng trong các chiến dịch nhập cư tại biên giới Mỹ.
Hàng Ngàn Ứng Dụng Di Động Thu Thập Dữ Liệu Vị Trí Đến Gravy Analytics
Các Ứng Dụng Phổ Biến Nào Bị Ảnh Hưởng?
Theo công bố của Wired, có hàng ngàn ứng dụng đã thu thập dữ liệu này. Wired đã công bố một danh sách hàng ngàn ứng dụng trên cả Android và iOS được cho là đã thu thập dữ liệu này. Một số cái tên đáng chú ý bao gồm:
- Candy Crush
- Tinder
- Grindr
- Microsoft Outlook
- My Period Calendar & Tracker
- MyFitnessPal
- MyAnimeList
- Goat Simulator
- Bloons TD Battles
Ứng dụng Outlook trên điện thoại màn hình kép, một trong các app bị nghi ngờ thu thập dữ liệu vị trí
Hiện tại, vẫn chưa rõ liệu tất cả dữ liệu được Gravy tự thu thập, hay công ty đã mua lại một phần từ các nhà thu thập dữ liệu khác. Mặc dù thời điểm thu thập dữ liệu không rõ ràng, nhưng việc Call of Duty Mobile: Season 5 có mặt trong danh sách cho thấy dữ liệu có thể được thu thập từ tháng 5 năm 2024.
Cơ Chế Thu Thập Dữ Liệu Vị Trí
Dữ liệu dường như được thu thập thông qua đấu thầu thời gian thực (real-time bidding). Những người trong ngành có thể đặt giá thầu thời gian thực cho quảng cáo có thể xem các thiết bị và địa chỉ IP, và các nhà phát hành ứng dụng có thể không nhất thiết biết về các công ty đang đặt quảng cáo trong ứng dụng của họ.
Một số dữ liệu này không được thu thập từ dữ liệu vị trí chính xác mà thay vào đó là từ dữ liệu vị trí thô (coarse location data) thu được từ địa chỉ IP. Tuy nhiên, các ứng dụng yêu cầu quyền truy cập vị trí chính xác có thể đã bị lợi dụng. Krzysztof Franaszek, người sáng lập Adalytics, một công ty pháp y kỹ thuật số, nói với 404 Media rằng một số tác nhân người dùng (user agents) tham chiếu đến “afma-sdk”, tức là Google Mobile Ads SDK.
Nhiều công ty bao gồm Tinder và Grindr đã phủ nhận mọi mối quan hệ với Gravy Analytics, khẳng định họ không có bằng chứng nào cho thấy dữ liệu được thu thập thông qua ứng dụng của họ.
Hậu Quả Khôn Lường Từ Vụ Rò Rỉ
Zach Edwards, nhà phân tích mối đe dọa cấp cao tại công ty an ninh mạng Silent Push, chia sẻ với 404 Media: “Việc một nhà môi giới dữ liệu vị trí như Gravy Analytics bị hack là kịch bản ác mộng mà tất cả những người ủng hộ quyền riêng tư đã lo sợ và cảnh báo. Những tổn hại tiềm tàng cho các cá nhân là đáng sợ, và nếu tất cả dữ liệu vị trí của người Mỹ bị bán trên thị trường chợ đen, điều này sẽ tạo ra vô số rủi ro giải ẩn danh (deanonymization) và các mối lo ngại về theo dõi (tracking) đối với các cá nhân và tổ chức có nguy cơ cao. Đây có thể là vụ rò rỉ lớn đầu tiên của một nhà cung cấp dữ liệu vị trí hàng loạt, nhưng sẽ không phải là cuối cùng.”
Edwards cũng nói với 404 Media: “Trong nhiều năm, dữ liệu này đã được bán cho các lợi ích doanh nghiệp và chính phủ nhưng chưa bao giờ được cung cấp rộng rãi cho tất cả các tác nhân đe dọa (threat actors) nhắm mục tiêu vào người dùng phương Tây. Loại dữ liệu này đã được sử dụng để theo dõi các chuyến thăm đến phòng khám phá thai, các địa điểm nhạy cảm của chính phủ và các địa điểm có thể xác định đặc điểm được bảo vệ (protected qualities) nhạy cảm của người dân như xu hướng tình dục của họ.”
Kết Luận
Vụ việc Gravy Analytics bị hack và nguy cơ rò rỉ dữ liệu vị trí khổng lồ một lần nữa gióng lên hồi chuông cảnh báo về quyền riêng tư và bảo mật thông tin cá nhân trong thời đại kỹ thuật số. Người dùng cần nâng cao cảnh giác, xem xét kỹ các quyền mà ứng dụng yêu cầu và hiểu rõ cách dữ liệu của họ có thể bị thu thập và sử dụng. Hãy luôn cập nhật tin tức và bảo vệ thông tin của mình. Theo dõi blogcongnghe.net để không bỏ lỡ những thông tin bảo mật và công nghệ quan trọng nhất!