Hàng ngàn ứng dụng quen thuộc bị lạm dụng để theo dõi dữ liệu vị trí người dùng

Điều đáng lo ngại hơn, việc này diễn ra thông qua hệ sinh thái quảng cáo mà người dùng và thậm chí cả các nhà phát triển ứng dụng đều không hay biết.

Thông tin này được tìm thấy trong các tập tin bị hack thuộc về Gravy Analytics, một công ty dữ liệu vị trí có liên hệ mật thiết với Venntel, đối tác chuyên cung cấp dữ liệu cho các cơ quan thực thi pháp luật tại Mỹ. Theo điều tra được hợp tác bởi Wired và 404 Media, vụ vi phạm này đã phơi bày cách Gravy Analytics thu thập dữ liệu từ các nguồn không minh bạch.

Bức tranh trở nên u ám hơn khi danh sách các ứng dụng bị ảnh hưởng bao gồm cả những tên tuổi quen thuộc như Candy Crush, Tinder, Grindr và các ứng dụng nhạy cảm như theo dõi thai kỳ hay cầu nguyện tôn giáo.

Các chuyên gia bảo mật đã gọi đây là một cơn ác mộng cho quyền riêng tư, khi dữ liệu vị trí của người dùng bị lộ qua hệ thống đấu thầu quảng cáo thời gian thực (RTB). Hệ thống này không chỉ cho phép đặt quảng cáo mà còn tạo điều kiện để các nhà môi giới dữ liệu trích xuất thông tin nhạy cảm.

Nhiều ứng dụng phổ biến bị lạm dụng để theo dõi dữ liệu vị trí người dùng.

Zach Edwards, nhà phân tích tại Silent Push, nhấn mạnh rằng đây là lần đầu tiên công chúng có bằng chứng cụ thể về việc một công ty môi giới dữ liệu lớn đang thu thập dữ liệu từ RTB, thay vì thông qua mã nhúng trong ứng dụng.

Vụ rò rỉ này không chỉ phơi bày cách thức dữ liệu được thu thập mà còn làm sáng tỏ quy mô khổng lồ của vấn đề: hàng chục triệu tọa độ từ người dùng ở Mỹ, Nga, và châu Âu đã bị thu thập và lưu trữ.

Điều đáng chú ý là Gravy Analytics giữ vai trò trung tâm trong hệ sinh thái này, tổng hợp dữ liệu từ nhiều nguồn và bán cho các tổ chức thương mại hoặc cơ quan chính phủ.

Các khách hàng của công ty con Venntel bao gồm những cơ quan lớn như ICE, CBP, IRS, FBI và DEA. Điều này làm dấy lên lo ngại rằng dữ liệu vị trí có thể được sử dụng cho những mục đích mà người dùng không bao giờ đồng ý, chẳng hạn như theo dõi người đến các phòng khám sức khỏe nhạy cảm.

Nhiều ứng dụng phổ biến nằm trong danh sách rò rỉ.

Trong khi một số ứng dụng như Flightradar24 và Tinder phủ nhận liên quan đến Gravy Analytics, nhiều công ty khác vẫn giữ im lặng. Thực tế là các ứng dụng này có thể không biết dữ liệu người dùng bị khai thác, khiến họ không có khả năng ngăn chặn những vi phạm quyền riêng tư nghiêm trọng.

Krzysztof Franaszek, chuyên gia từ Adalytics, đã phân tích dữ liệu bị rò rỉ và phát hiện một phần dữ liệu có nguồn gốc từ các hoạt động RTB liên quan đến quảng cáo. Thậm chí, các nền tảng quảng cáo lớn như Google cũng bị đặt nghi vấn khi cho phép các công ty bên ngoài truy cập dữ liệu vị trí người dùng.

Các cơ quan quản lý như FTC đã bắt đầu vào cuộc. Gần đây, FTC đã cấm Mobilewalla, một công ty dữ liệu vị trí khác, thu thập dữ liệu từ đấu thầu quảng cáo, và ra lệnh cho Gravy Analytics xóa dữ liệu vị trí liên quan đến các lĩnh vực nhạy cảm.

Vụ việc không chỉ làm dấy lên câu hỏi lớn về quyền riêng tư mà còn nhấn mạnh trách nhiệm của các công ty công nghệ trong việc bảo vệ người dùng khỏi những vi phạm tương tự. Trong thế giới kỹ thuật số ngày nay, người dùng cần nâng cao nhận thức và cẩn trọng hơn bao giờ hết.

Tiểu Minh