Ẩn hoạ từ TikTok bài 2: Tự động thu thập dữ liệu người dùng

Liên tiếp bị xử phạt, cảnh báo vì tự động thu thập dữ liệu người dùng

TikTok đã nổi lên như một hiện tượng và được sử dụng rộng rãi. Các video TikTok thường có tốc độ lan truyền nhanh và thu hút nhiều lượt xem trên internet.

Kể từ khi ra mắt cho đến nay, ứng dụng này đã thu hút hơn hàng tỷ người dùng trên hơn 150 quốc gia trên thế giới. Tốc độ tăng trưởng đáng gờm của TikTok khiến không ít "ông lớn" mạng xã hội khác phải e dè.

Mấy năm trở lại đây, TikTok phát triển cực thịnh và trở thành mảnh đất màu mỡ để người dùng khai thác, phát triển nội dung. Độ phủ sóng của TikTok là không thể chối cãi, đặc biệt là tầm ảnh hưởng sâu rộng của nó đến giới trẻ và thanh thiếu niên. Tuy nhiên, TikTok cũng phải đối mặt với các cảnh báo, chỉ trích nặng nề, thậm chí bị cấm sử dụng vì nguy cơ làm lộ thông tin cá nhân.

Cụ thể, TikTok có xu hướng cho phép các trình theo dõi của bên thứ ba thu thập dữ liệu người dùng, từ sự tương tác với các bài đăng, cho đến thời gian đăng bài, vị trí thực hay thậm chí là cả thông tin cá nhân.

Thời điểm đầu khi mới ra mắt, một loạt các lỗ hổng bảo mật trong ứng dụng TikTok đã khiến thông tin cá nhân của người dùng bị lộ và tạo cơ hội cho tội phạm mạng có thể sử dụng, lợi dụng các nội dung trên tài khoản người dùng.

Các lỗ hổng chủ yếu tập trung ở hệ thống nhắn tin SMS và tên miền phụ được TikTok sử dụng trong quá trình người dùng tải xuống và đăng ký ứng dụng.

Cụ thể, kẻ tấn công có thể dễ dàng gửi tin nhắn SMS giả mạo có chứa liên kết độc hại cho người dùng. Nếu người dùng TikTok nhấp vào, kẻ tấn công có thể truy cập vào tài khoản của người dùng đồng thời sử dụng nội dung của người dùng đó cho những mục đích trái phép khác…

Lỗ hổng trên subdomain khiến TikTok dễ gặp phải các cuộc tấn công cross site scripting (XSS). Đây là một hình thức tấn công phổ biến trong đó tội phạm mạng "bơm" các đoạn mã độc vào các trang web uy tín.

Sự cố bảo mật đã được CheckPoint thông báo cho chủ sở hữu trang web, ByteDance vào tháng 11 năm 2019 và các lỗ hổng hiện đã được vá. Người dùng được khuyến khích kiểm tra xem họ có đang chạy phiên bản mới nhất của ứng dụng trên thiết bị của họ không.

Mặc dù sau đó, TikTok đã cam kết về việc bảo mật dữ liệu người dùng nhưng chỉ sau đó 1 năm (năm 2020), TikTok lại nằm trong danh sách 53 ứng dụng phổ biến khác sau khi cho chạy thử nghiệm trên hệ điều hành iOS 14.

Nền tảng này đã bị phát hiện tự động thu thập dữ liệu người dùng gồm từ hình ảnh, tài liệu bao gồm các văn bản và có thể cả những thông tin liên quan tới mật khẩu… từ bộ nhớ đệm tạm thời (clipboard) trên điện thoại. TikTok sau đó đã phải xóa tính năng này trong một bản cập nhật ứng dụng mới trên AppStore, đồng thời cho biết tính năng này không được kích hoạt trên thiết bị chạy hệ điều hành Android.

Trước việc TikTok thu thập dữ liệu cá nhân của người dùng để phục vụ cho những mục đích riêng, một số quốc gia đã mở cuộc điều tra, xử phạt do lo ngại tính an toàn và độ bảo mật và nguy cơ mạng xã hội TikTok có thể gây ra ảnh hưởng tới trẻ em.

Năm 2019, ByteDance (công ty mẹ của TikTok) đã phải chịu mức phạt 5,7 triệu USD tại Mỹ vì thu thập thông tin của trẻ em dưới 13 tuổi mà không có sự đồng ý của cha mẹ.

Năm 2020, TikTok bị Hàn Quốc phạt 186 triệu Won (gần 155.000 USD) vì thu thập dữ liệu từ trẻ vị thành niên mà không có sự cho phép của người giám hộ hợp pháp của họ.

Trong năm 2022, TikTok cũng phải đối mặt với vụ kiện tại Anh với cáo buộc thu thập bất hợp pháp dữ liệu cá nhân của hàng triệu trẻ em ở châu Âu.

Vấn đề rò rỉ thông tin người dùng không chỉ xảy ra một số quốc gia trên thế giới mà cũng xuất hiện tại Việt Nam. Thời gian gần đây, cơ quan chức năng liên tiếp nhận được trình báo của người dân về việc bị lừa đảo chiếm đoạt tài sản, bằng hình thức "tìm con cấp cứu". Thủ đoạn của những đối tượng này là giả mạo giáo viên, nhân viên trường học, bác sĩ, nhân viên y tế bệnh viện hoặc cán bộ cơ quan chức năng... gọi điện thông báo rằng con cháu, người thân... bị tai nạn trong tình trạng nguy kịch, cần phẫu thuật gấp. Sau đó, người lừa đảo lợi dụng tâm lý hoang mang, lo lắng của nạn nhân, yêu cầu gia đình chuyển khoản tạm ứng viện phí.

Tại buổi tọa đàm: "Lỗ hổng thông tin và giải pháp đảm bảo an ninh trong trường học", Đại úy Huỳnh Đỗ Tấn Thịnh, Phó Bí thư Đoàn Thanh niên Phòng CSHS (Công an TP HCM) cho rằng, đây là hình thức lừa đảo có sự chuẩn bị, hình thức cũng giống kiểu mạo danh công an, cơ quan Nhà nước để chiếm đoạt tài sản.

Theo Đại úy Huỳnh Đỗ Tấn Thịnh, những vụ lừa đảo qua điện thoại bắt nguồn từ những lỗ hổng thông tin, 20% là do doanh nghiệp, 80% là do cá nhân các nạn nhân tự để lộ thông tin của mình. Ông Thịnh lấy ví dụ, giới trẻ ngày nay thích dùng TikTok. Ứng dụng này có phần liên kết danh bạ để kết nối với người quen. Đây chính là một lỗ hổng để kẻ gian lợi dụng truy cập danh bạ, biết số điện thoại, danh tính của gia đình, người thân.

Đồng quan điểm với Đại úy Huỳnh Đỗ Tấn Thịnh, ông Võ Đỗ Thắng, Giám đốc Trung tâm An ninh mạng Athena cho rằng, khi sử dụng các nền tảng ứng dụng, trẻ có thể bị xâm nhập thông tin. Bên cạnh đó, phụ huynh cũng có thể bị rõ rỉ dữ liệu cá nha khi con sử dụng thiết bị điện tử của mình để truy cập, sử dụng các trang mạng, ứng dụng.

TikTok giống như một công cụ do thám

Việc lộ thông tin người dùng trên nền tảng TikTok không cần bàn cãi, tuy nhiên cách thức mà các thông tin bị lộ và người dùng có thể gặp phải những nguy hại gì là điều nhiều người chưa thực sự hiểu rõ để đề phòng và cảnh giác hơn.

Trao đổi với PV Báo Đại Đoàn Kết, chuyên gia bảo mật Ngô Minh Hiếu cho biết, các nghiên cứu quốc tế đã chỉ ra rõ, TikTok hiện tại đang thu thập dữ liệu rất nhiều từ hành vi người dùng đến các dữ liệu cá nhân. Người sử dụng Tiktok xem nội dung nào, Tiktok cũng sẽ đưa ra các nội dung khuyến khích như vậy.

Thu thập hết toàn bộ dữ liệu tìm kiếm, lịch sử truy cập cho tới những kí tự người dùng nhập trên bàn phím, nội dung tin nhắn, nội dung coppy và dữ liệu được lưu trữ trên khay nhớ tạm, thậm chí cả những dữ liệu sinh trắc học như Face ID, giọng nói, dữ liệu nhạy cảm như vị trí địa lí người dùng,… Đó là lí do tại sao người dùng chỉ cần nói hay search thông tin trên mạng là TikTok tự động hiển thị các nội dung đó bởi khả năng thu thập cũng như đồng bộ hoá dữ liệu của TikTok hoạt động rất tốt.

Công ty phát triển TikTok bên Trung Quốc lại thiên hướng phát triển các video có nội dung văn hoá, còn tại các nước khác, nội dung này được “thả lỏng”, hầu hết thiên về việc nhồi nhét các thông tin tiêu cực, drama, nội dung gây sốc,…

Việc thu thập dữ liệu này đều không rõ ràng, hầu hết các dữ liệu thu thập không có trong điều khoản. Do đó, việc sử dụng các dữ liệu này thế nào cũng đặt ra nhiều nghi vấn và hệ luỵ. Trong đó, chúng có thể thực hiện với nhiều mục đích cả về quảng cáo thương mại lẫn mục đích phân tích hành vi con người của một quốc gia, lũng loạn kinh tế,…

Chuyên gia bảo mật Ngô Minh Hiếu cho biết thêm, không ít trang báo uy tín nước ngoài đánh giá, TikTok giống như một công cụ do thám, chuyên đi lấy cắp thông tin dữ liệu mà thế giới đang lên tiếng.

Các nghiên cứu cũng chỉ ra rằng, TikTok từng là mục tiêu của các cuộc tấn công mạng, với việc tin tặc truy cập thông tin nhạy cảm của người dùng như mật khẩu và số điện thoại. TikTok cũng đã bị chỉ trích vì các hoạt động kiểm duyệt của nó, với một số người dùng báo cáo rằng ứng dụng này cho phép lan truyền ngôn từ kích động thù địch, thông tin sai lệch và nội dung cực đoan...

Hơn nữa, nhiều nhà nghiên cứu bảo mật đã tìm thấy các lỗ hổng bảo mật trong ứng dụng Tiktok. Ví dụ như tin tặc sử dụng tin nhắn SMS để có quyền truy cập trái phép vào tài khoản, cho đến các vấn đề xung quanh việc sử dụng HTTP và HTTPS khi phân phối video.

Theo chuyên gia Ngô Minh Hiếu, thu thập hành vi sử dụng và thông tin cá nhân giúp TikTok đánh thẳng nội dung quảng cáo vào đúng hành vi đó. Ngoài ra thông tin về dữ liệu thiết bị, dấu hiệu sử dụng trên thiết bị được gửi thẳng về máy chủ của TikTok, trong khi mấu chốt là máy chủ không có tại Việt Nam. Thông tin này được TikTok và đối tác sử dụng ngoài mục đích quảng cáo còn có nguy cơ đề xuất các thông tin xấu độc.

Đáng nói là, những thông tin cá nhân được TikTok thu thập “bí mật” mà người dùng không thể phát hiện ra. Việc theo dõi của bên thứ ba vẫn xảy ra ngay cả khi người dùng không chọn cho phép theo dõi trong cài đặt của từng ứng dụng. Điều này tiềm ẩn nhiều nguy cơ rò rỉ dữ liệu cá nhân, chiếm đoạt tài sản trên không gian mạng, thậm chí là an ninh mạng và các vấn đề an toàn cho trẻ em,...