Một phân tích mới về dịch vụ mạng riêng ảo (Virtual Private Network) Protect VPN của Facebook cho thấy gã khổng lồ mạng xã hội có thể đang sử dụng công cụ bảo mật giả định để thu thập thêm dữ liệu người dùng.
Nhà nghiên cứu bảo mật Will Strafach đã đào sâu những dòng mã phía sau ứng dụng Protect VPN viết riêng cho iPhone và phát hiện thấy dịch vụ này sẽ gửi một lượng dữ liệu đáng kể trở lại máy chủ của Facebook, giúp hãng có cái nhìn sâu sắc hơn về cách người dùng đang sử dụng ứng dụng.
Protect VPN do Onavo phát triển, sau đó được Facebook mua lại vào năm 2013, sử dụng một tiện ích mở rộng tên là “Packet Tunnel Provider” (tạm dịch: nhà cung cấp đường hầm gói dữ liệu), hoạt động hiệu quả mỗi khi VPN được kết nối. Theo định kỳ, tiện ích này sẽ gửi thông tin nhất định về người dùng tới Facebook. Các thông tin bao gồm:
- Khi nào màn hình thiết bị của người dùng được bật và tắt;
- Tổng dữ liệu Wi-Fi sử dụng hàng ngày;
- Tổng dữ liệu di động hàng ngày;
- Cập nhật định kỳ cho biết VPN đã được kết nối bao lâu.
Ngoài ra, ứng dụng này cũng thu thập thông tin về thiết bị mà nó đang chạy để cung cấp cho Facebook, bao gồm tên nhà mạng, mã mạng, mã quốc gia di động, vị trí, ngôn ngữ và phiên bản hệ điều hành được cài đặt sẵn.
Nhưng có lẽ điều đáng lo ngại nhất, như Strafach xác định, đó là Protect VPN trên thực tế còn thu thập thông tin ngay cả khi bản thân ứng dụng bị tắt.
Vị chuyên gia cũng lưu ý trong nghiên cứu của mình rằng ban đầu rất khó để xác định Protect VPN có đang thu thập và truyền dữ liệu hay không, vì những gì tải lên dường như xảy ra bên trong cơ chế đường hầm (packet tunnel) của VPN, tức dữ liệu gửi đến Facebook đã được mã hóa.
Mặc dù dữ liệu gửi đến Facebook dường như không thuộc loại đặc biệt xâm phạm, nhưng việc thu thập dữ liệu người dùng đã vi phạm nguyên tắc hoạt động của VPN – vốn được thiết kế để trở thành công cụ bảo mật giúp đảm bảo an toàn trong việc gửi và nhận thông tin.
Những nghi ngại không vô cớ
Khi VPN hoạt động đúng cách, nó sẽ thiết lập một kết nối được mã hóa giữa thiết bị người dùng với máy chủ từ xa. Mọi thông tin, từ các hoạt động trên web cho đến thông tin người dùng và mật khẩu, đều được gửi an toàn qua kết nối.
Bằng lọc thông tin qua máy chủ từ xa, lá chắn VPN có thể bảo vệ dữ liệu khỏi sự soi mói của bất cứ ai trên không gian mạng công cộng, bao gồm cả những nhà cung cấp dịch vụ internet. Bởi thông tin đã được mã hóa cho nên người khác – bên thứ ba giữa thiết bị người dùng và máy chủ – khó có thể đọc được.
Trên Kho ứng dụng iOS, Onavo đã có những mô tả khá rõ ràng về Protect VPN và mục đích của nó: “Chúng tôi [tức Onavo] mong muốn cải thiện chất lượng dịch vụ thông qua việc thu thập dữ liệu di động người dùng, để phục vụ phân tích hoạt động trên web, sử dụng ứng dụng và dữ liệu. Là một phần của Facebook, chúng tôi cũng sẽ sử dụng các thông tin này giúp cải thiện sản phẩm và dịch vụ của Facebook, qua đánh giá của người giúp, từ đó giúp xây dựng những trải nghiệm tốt hơn.”
Quyết định tích hợp Protect VPN vào nền tảng ban đầu của Facebook đã gây nhiều nghi ngại từ người dùng mong muốn bảo vệ sự riêng tư, về mục đích thật sự của Facebook là gì. Tạp chí Wired – chuyên về đời sống và công nghệ – đã cảnh báo người dùng không nên tin ứng dụng này, viện dẫn tiền sử thu thập dữ liệu của Facebook thông qua các sản phẩm do Onavo phát triển.
Hồi tháng Tám, Wall Street Journal cũng có báo cáo rằng Facebook đã sử dụng dữ liệu từ Onavo để theo dõi mức độ phổ biến của các startup mới thành lập và đối thủ cạnh tranh tiềm năng, để tiến hành ra quyết định mua lại.