Trong bối cảnh các ứng dụng ngày càng thâm nhập sâu vào cuộc sống số, việc thu thập dữ liệu cá nhân đã trở thành một phần không thể tránh khỏi. Dữ liệu này được các công ty sử dụng cho nhiều mục đích khác nhau, từ quảng cáo nhắm mục tiêu đến kết nối người dùng. Tuy nhiên, một kịch bản đáng sợ đang hiện hữu: một vụ hack lớn vào Gravy Analytics, một công ty chuyên thu thập dữ liệu từ hàng nghìn ứng dụng, đang đe dọa công khai lịch sử dữ liệu vị trí của hàng triệu người dùng, cùng với danh sách khách hàng và thông tin ngành nghề. Sự việc này làm dấy lên hồi chuông cảnh báo mạnh mẽ về quyền riêng tư và bảo mật thông tin cá nhân trên không gian mạng tại Việt Nam và toàn cầu.
Như 404Media đưa tin, nhóm hacker tuyên bố “dữ liệu cá nhân của hàng triệu người dùng đã bị ảnh hưởng” và cho Gravy Analytics 24 giờ để phản hồi trước khi bắt đầu rò rỉ thông tin. Đáng chú ý, Venntel, một công ty con của Gravy Analytics, trước đây đã từng bán dữ liệu cho chính phủ Hoa Kỳ, được sử dụng trong các hoạt động nhập cư tại biên giới Mỹ, khiến vụ việc càng trở nên nghiêm trọng.
Hàng Ngàn Ứng Dụng Thu Thập Dữ Liệu Vị Trí Đã Dẫn Đến Gravy Analytics
Bạn Có Thể Đang Dùng Một Trong Số Chúng
Theo thông tin được Wired công bố, có đến hàng nghìn ứng dụng trên cả Android và iOS đã thu thập loại dữ liệu này. Wired đã công bố một danh sách các ứng dụng này, trong đó có nhiều cái tên quen thuộc với người dùng Việt Nam:
- Candy Crush
- Tinder
- Grindr
- Microsoft Outlook
- My Period Calendar & Tracker
- MyFitnessPal
- MyAnimeList
- Goat Simulator
- Bloons TD Battles
Ứng dụng Microsoft Outlook trên điện thoại màn hình kép, minh họa cho việc thu thập dữ liệu vị trí trong vụ hack Gravy Analytics
Hiện tại, chưa rõ liệu tất cả dữ liệu có được Gravy tự thu thập hay công ty này đã mua lại từ các nhà cung cấp dữ liệu khác. Dù thời điểm thu thập dữ liệu không được xác định rõ ràng, sự xuất hiện của Call of Duty Mobile: Season 5 (bắt đầu vào tháng 5 năm 2024) trong danh sách cho thấy dữ liệu có thể được thu thập gần đây.
Cơ Chế Thu Thập Dữ Liệu: Đấu Giá Thời Gian Thực và Những Kẽ Hở Quyền Riêng Tư
Dữ liệu dường như đã được thu thập thông qua cơ chế đấu giá thời gian thực (real-time bidding) trong quảng cáo. Những đơn vị tham gia đấu giá quảng cáo có thể tiếp cận thông tin về thiết bị và địa chỉ IP, trong khi các nhà phát hành ứng dụng có thể không hề hay biết về các công ty đang đặt quảng cáo trong ứng dụng của họ.
Zach Edwards, nhà phân tích mối đe dọa cấp cao tại công ty an ninh mạng Silent Push, chia sẻ với 404Media: “Việc một nhà môi giới dữ liệu vị trí như Gravy Analytics bị hack là kịch bản ác mộng mà tất cả các nhà hoạt động vì quyền riêng tư đã lo sợ và cảnh báo. Những tổn hại tiềm tàng đối với cá nhân là rất đáng sợ, và nếu tất cả dữ liệu vị trí số lượng lớn của người Mỹ bị bán trên thị trường chợ đen, điều này sẽ tạo ra vô số rủi ro giải mã danh tính và mối lo ngại theo dõi cho các cá nhân và tổ chức có rủi ro cao.” Ông cũng nhấn mạnh: “Trong nhiều năm, dữ liệu này đã được bán cho các lợi ích của doanh nghiệp và chính phủ, nhưng nó chưa bao giờ được cung cấp rộng rãi cho tất cả các tác nhân đe dọa nhắm mục tiêu vào người dùng phương Tây. Loại dữ liệu này đã được sử dụng để theo dõi các chuyến thăm đến các phòng khám phá thai, các địa điểm nhạy cảm của chính phủ và các địa điểm có thể tiết lộ các thuộc tính nhạy cảm được bảo vệ của con người như xu hướng tính dục của họ.”
Một phần dữ liệu này dường như không được thu thập từ dữ liệu vị trí chính xác, mà thay vào đó là từ dữ liệu vị trí thô thu được từ địa chỉ IP. Tuy nhiên, các ứng dụng yêu cầu quyền truy cập vị trí chính xác có thể đã bị lạm dụng quyền đó. Krzysztof Franaszek, người sáng lập Adalytics, một công ty pháp y kỹ thuật số, nói với 404Media rằng một số tác nhân người dùng (user agents) (xác định cách thiết bị kết nối với dịch vụ) tham chiếu đến “afma-sdk”, tức là Bộ công cụ phát triển phần mềm quảng cáo di động của Google (Google Mobile Ads SDK).
Một số công ty ứng dụng như Tinder và Grindr đã phủ nhận việc có bất kỳ mối quan hệ nào với Gravy Analytics, khẳng định rằng họ không có bằng chứng dữ liệu được thu thập thông qua ứng dụng của mình.
Kết Luận
Vụ rò rỉ dữ liệu vị trí từ Gravy Analytics là một lời nhắc nhở rõ ràng về những rủi ro tiềm ẩn khi chúng ta chia sẻ thông tin cá nhân với các ứng dụng di động. Nó không chỉ đe dọa quyền riêng tư của hàng triệu người dùng mà còn phơi bày những lỗ hổng trong hệ thống thu thập và sử dụng dữ liệu của các công ty. Để bảo vệ bản thân, người dùng Việt Nam cần nâng cao nhận thức về các quyền riêng tư trên smartphone, kiểm tra kỹ các quyền truy cập mà ứng dụng yêu cầu và thường xuyên cập nhật thông tin về các mối đe dọa bảo mật. Hãy chia sẻ bài viết này để cộng đồng cùng nâng cao cảnh giác và bảo vệ dữ liệu cá nhân của mình!
