Zoom và Facebook

Ứng dụng họp trực tuyến Zoom Cloud Meetings phiên bản cho iOS mới đây đã bị các nhà chuyên môn phát hiện tự động chuyển dữ liệu người dùng một cách trái phép sang cho Facebook. Những dữ liệu đó đã được chuyên gia về quyền riêng tư Pat Walshe của trang thông tin Vice chỉ ra là gồm những thông tin về loại kiểu thiết bị đầu cuối sử dụng họp trực tuyến, về múi giờ, về địa phương/địa điểm, mạng Internet, vị trí...

Điều đáng nói là, việc Zoom chuyển dữ liệu cho Facebook song người dùng không được cảnh báo hay thông báo gì. Chỉ cho đến khi vụ việc này bị vỡ lỡ, Zoom mới xác nhận và xin lỗi người dùng. Đồng thời, Zoom giải thích rằng, do ứng dụng này sử dụng bộ công cụ phát triển phần mềm (SDK) của Facebook để triển khai tính năng “Đăng nhập bằng Facebook” trên Zoom đã gây ra tình trạng SDK thu thập nhiều thông tin của người dùng một cách “không cần thiết” và từ đó chuyển dữ liệu sang cho Facebook.

Câu hỏi đặt ra là, tại sao việc Zoom chuyển dữ liệu người dùng sang cho Facebook lại gây ra lo lắng cho các tổ chức chuyên về bảo mật và người dùng đến vậy? Dễ hiểu thôi, vụ Facebook để cho Cambridge Analytica lấy dữ liệu của 87 triệu người dùng mạng xã hội số 1 hành tinh này cho việc phân tích và phục vụ quảng cáo chính trị chính là nguyên nhân lớn nhất. Chính vì vụ Cambridge Analytica mà CEO của Facebook là Mark Zuckerberg đã phải hơn một lần điều trần trước các ủy ban tại Quốc hội Mỹ. Và vào tháng 9.2019, Facebook đã phải nộp khoản phạt kỷ lục 5 tỉ USD vì vụ vi phạm này.

Vụ Cambridge Analytica đã khiến cho giá cổ phiếu của Facebook bị “thổi bay” hàng trăm tỉ đồng tại thời điểm vụ việc bị vỡ lỡ vào tháng 3.2018. Nhưng điều này cũng không làm người dùng nhớ và bị ám ảnh hơn là cái vết đen trong việc bảo vệ quyền riêng tư của người dùng Facebook. Chính vì thế, khi hay tin Zoom chuyển dữ liệu của người dùng cho Facebook, người dùng không thể không khỏi lo lắng bởi không biết rằng, những dữ liệu đó sẽ tiếp tục được Facobook sử dụng cho mục đích gì, và hệ lụy của việc này sẽ ra sao...

Zoom chưa to như “ông lớn” Facebook song tính chất của hành vi chuyển dữ liệu người dùng một cách trái phép cho Facebook không có nghĩa là ít nghiêm trọng. Zoom hiện đạt hơn 10 triệu lượt tải. Song gần đây, khi nhu cầu làm việc tại nhà (work from home) và từ xa tăng cao, ứng dụng này đã nhanh chóng vươn lên ở vị trí top đầu được tải về trên hai kho ứng dụng AppStore và Google Play. Tại Việt Nam, Zoom hiện cũng được khá nhiều doanh nghiệp, trường học và cá nhân sử dụng cho việc họp hành, giảng dạy trực tuyến. Chính vì thế, một khi sự cam kết về bảo vệ quyền riêng tư, dữ liệu của người dùng không được thực hiện nghiêm mà ngược lại còn chuyển dữ liệu người dùng cho bên thứ ba, thì ẩn họa về bảo mật từ việc sử dụng ứng dụng này sẽ còn tiếp tục gây ra lo lắng cho cộng đồng người dùng.

Hạn chế bị thu thập dữ liệu cá nhân bằng cách nào?

Người dùng bình thường khi sử dụng các ứng dụng di động ít ai quan tâm sâu đến “Quyền của ứng dụng” mà chỉ quan tâm nhiều đến việc tải về, cách sử dụng, các tính năng phục vụ cho nhu cầu công việc hay học tập... mà thôi. Tuy nhiên, trong trường hợp của Zoom khi nhìn vào mục “Quyền của ứng dụng”, người dùng không khỏi giật mình. Zoom yêu cầu quyền truy cập vào rất nhiều thứ trong thiết bị và dữ liệu của người dùng, từ lịch (thêm hoặc sửa đổi lịch các sự kiện và gửi email cho khách mà chủ sở hữu không hề biết, đọc chi tiết lịch sự kiện), máy ảnh, danh bạ (trong đó có việc tìm các tài khoản trên thiết bị), vị trí, micro (âm thanh), cuộc gọi, bộ nhớ (sửa đổi hoặc xóa nội dung của bộ lưu trữ USB, đọc nội dung của bộ lưu trữ USB), sử dụng phần cứng vân tay, nhận dữ liệu từ Internet...

Theo chuyên gia bảo mật Đào Minh Tuấn - Trưởng phòng Công nghệ bảo mật của Công ty An ninh mạng VSEC, thường  trong trường hợp ứng dụng yêu cầu quyền truy cập song người dùng có thể điều chỉnh việc cho phép hay vô hiệu trong mục “Cài đặt”. Nhưng trong nhiều trường hợp, nếu người dùng không chấp nhận các quyền truy cập mặc định của phía ứng dụng sẽ không được cấp phép sử dụng ứng dụng. Chính vì thế, người dùng nhiều khi đành phải chấp nhận “giao trứng cho ác”.

Trong khi đó, ông Võ Đỗ Thắng - Giám đốc Trung tâm An ninh mạng Athena - nói rằng, các “ông lớn” Internet luôn thèm thuồng có được dữ liệu về người dùng. Nhưng trong nhiều trường hợp, những “ông lớn” không trực tiếp ra tay vì e ngại về tiếng tăm, hình ảnh bị ảnh hưởng mà thông qua các công ty con hay bên trung gian để tránh bị lộ. Và việc để chứng minh mối liên hệ của các “ông lớn” với những bên trung gian này cũng cần có thời gian điều tra làm rõ chứ không hề đơn giản. Ông Thắng cũng cho biết, khi người dùng đã tải và cài đặt các ứng dụng họp trực tuyến, những dữ liệu có thể bị thu thập gồm âm thanh, hình ảnh, file tài liệu, vị trí, nhà cung cấp mạng Internet...

“Về mặt công nghệ, việc thu thập này không hề khó. Thậm chí, họ không thu thập ngay lúc người dùng tải ứng dụng về và cài đặt lần đầu mà sẽ thu thập qua những phiên bản nâng cấp ứng dụng. Vấn đề quan trọng là tính cam kết của phía ứng dụng về việc bảo vệ dữ liệu và quyền riêng tư với người dùng có đủ mạnh mẽ và được thực hiện nghiêm hay không” - ông Thắng cho hay.

Chuyên gia bảo mật Đào Minh Tuấn cho rằng, trong trường hợp buộc phải sử dụng các ứng dụng họp trực tuyến, người dùng cần cân nhắc nên hay không đối với các cuộc họp rất quan trọng trong đó có những file tài liệu nhạy cảm được chia sẻ. Theo chuyên gia này, một số cách giúp hạn chế bớt rủi ro bị thu thập và rò rỉ dữ liệu như sử dụng thiết bị thứ hai (không phải là thiết bị được sử dụng thường xuyên và có chứa nhiều dữ liệu cá nhân, công việc quan trọng), điều chỉnh lại ở mục “Cài đặt” về quyền truy cập của ứng dụng ở mức cho phép nhằm hạn chế tới mức thấp nhất dữ liệu bị thu thập, tìm kiếm các ứng dụng đòi hỏi về quyền truy cập ít nhất vào dữ liệu cá nhân...

Tuy nhiên, ông Tuấn cũng khuyến cáo rằng, cách tốt nhất là người dùng tìm đến các ứng dụng của những nhà cung cấp uy tín, có những cam kết bảo mật nghiêm túc và ít để xảy ra các sự cố rò rỉ dữ liệu người dùng nhằm phòng tránh từ xa các nguy cơ. Đến khi sử dụng thực tế, người dùng nhất thiết phải kiểm tra kĩ càng ứng dụng trong mục “Cài đặt”, đặt biệt là đối với việc cho phép các quyền truy cập của ứng dụng.