Mối quan hệ đối nghịch giữa quyền riêng tư của người dùng và doanh số bán quảng cáo của công ty tiếp tục trở thành tiêu đề khi Facebook và các công ty khác bị quy về việc sử dụng dữ liệu cá nhân của họ.
Nhưng đây không phải là xu hướng gần đây, vì các công ty đã liên tục xâm phạm dữ liệu cá nhân trong những năm qua để thúc đẩy tăng trưởng và doanh thu. Dưới đây là một số trường hợp đáng chú ý khi việc thu thập dữ liệu khiến thông tin cá nhân của bạn gặp rủi ro.
1. LocalBlox hiển thị 48 triệu tài khoản trên mạng xã hội
LocalBlox là một công cụ tổng hợp dữ liệu truyền thông xã hội gần đây đã gây chú ý vì tất cả những lý do sai trái. Điều này xảy ra sau khi công ty an ninh mạng UpGuard phát hiện ra rằng LocalBlox đã để lộ dữ liệu của 48 triệu tài khoản.
"Nhóm UpGuard Cyber Risk hiện có thể xác nhận rằng một kho lưu trữ đám mây chứa thông tin thuộc LocalBlox, một dịch vụ tìm kiếm dữ liệu cá nhân và doanh nghiệp, đã được truy cập công khai, để lộ 48 triệu bản ghi thông tin cá nhân chi tiết về hàng chục triệu cá nhân, được thu thập và được lấy từ nhiều nguồn ", UpGuard nêu trong một báo cáo.
Nhưng dữ liệu bị rò rỉ không chỉ bao gồm các chi tiết trên mạng xã hội. Nó bao gồm nhiều thông tin cá nhân hơn. Dữ liệu tiếp xúc bao gồm tên thật, địa chỉ thực, sinh nhật và hơn thế nữa. Ngoài ra, dữ liệu người dùng cũng bao gồm thông tin chi tiết từ nhiều mạng khác nhau như LinkedIn, Facebook và Twitter.
Như UpGuard đã chỉ ra, bọn tội phạm sử dụng dữ liệu này cho vô số trò gian lận, từ những nỗ lực và tấn công lừa đảo được thiết kế riêng cho xã hội, thao túng xã hội và đánh cắp danh tính.
2. Dữ liệu về 198 triệu cử tri Hoa Kỳ được tiếp xúc
Vào năm 2017, một công ty dữ liệu do Ủy ban Quốc gia Đảng Cộng hòa (RNC) thuê đã xâm phạm dữ liệu của gần như tất cả 200 triệu cử tri đã đăng ký của Hoa Kỳ.
Công ty Deep Root Analytics đã cung cấp hồ sơ về các cử tri Mỹ dựa trên thông tin cá nhân của họ. Để thu thập dữ liệu này, nó đã làm việc với hai công ty khác:Targetpoint Consulting và DataTrust.
Điều này dẫn đến một bộ sưu tập thông tin mở rộng. Thông tin rò rỉ bao gồm tên, địa chỉ và số điện thoại. Dữ liệu cũng có các mô hình dự đoán dân tộc và tôn giáo của một người.
Việc rò rỉ đã dẫn đến một vụ kiện tập thể chống lại Deep Root Analytics. Rốt cuộc, công ty đã để lộ hơn 1,1 terabyte dữ liệu trên máy chủ đám mây không an toàn của họ.
3. Spammer rò rỉ dữ liệu từ 1,4 tỷ người dùng
Mặc dù các công ty tổng hợp dữ liệu là hợp pháp, nhưng không phải tất cả các công ty thu thập dữ liệu đều hoạt động trong giới hạn của luật pháp. Đây là trường hợp của City River Media (CRM), một hoạt động gửi thư rác bất hợp pháp khổng lồ đã vô tình làm rò rỉ dữ liệu của hơn một tỷ người dùng.
Vụ rò rỉ đã xâm nhập 1,4 tỷ tài khoản email kết hợp với tên thật, địa chỉ IP của người dùng và đôi khi là địa chỉ thực.
Làm sao chuyện này lại xảy ra? Theo các nhà điều tra từ Trung tâm Nghiên cứu Bảo mật MacKeeper, CSOOnline và Spamhaus; sao lưu Rsync được định cấu hình không đúng khiến dữ liệu dễ bị tấn công.
Điều tốt duy nhất xảy ra ở đây là CRM, vốn được coi là một công ty tiếp thị hợp pháp, đã bị phơi bày như một hoạt động gửi thư rác, gửi hơn một tỷ email tự động mỗi ngày. Chris Vickery của MacKeeper có thể truy cập nhật ký Hipchat của CRM, hồ sơ đăng ký miền, chi tiết kế toán, lập kế hoạch cơ sở hạ tầng, ghi chú sản xuất, tập lệnh và các đơn vị liên kết kinh doanh. Sau đó, anh ta giao những chi tiết này cho nhà chức trách.
Tuy nhiên, các công ty mới như thế này xuất hiện hàng ngày, vì vậy bạn nên thực hiện các biện pháp phòng ngừa để bảo vệ địa chỉ email của mình khỏi những kẻ gửi thư rác.
4. Grindr chia sẻ tình trạng HIV của người dùng
Không phải tất cả dữ liệu cá nhân bị rò rỉ đều là kết quả của lỗi bảo mật hoặc cấu hình sai. Như chúng ta đã thấy với Facebook và Cambridge Analytica, đôi khi các dịch vụ và ứng dụng thu thập dữ liệu từ người dùng xã hội và sau đó cung cấp cho bên thứ ba.
Việc Aleksandr Kogan chuyển giao dữ liệu cho Cambridge Analytica đã vi phạm các điều khoản dịch vụ của Facebook. Nhưng khối lượng dữ liệu thu thập tuyệt đối được thu thập trong giới hạn của các chính sách và API của Facebook vào thời điểm đó.
Tương tự, khi người dùng phát hiện ra rằng các bên thứ ba có quyền truy cập vào tình trạng nhiễm HIV của người dùng Grindr, họ cũng phát hiện ra rằng đây là hoạt động kinh doanh bình thường đối với mạng lưới hẹn hò LGBT. Dữ liệu cũng bao gồm vị trí GPS, ID điện thoại và địa chỉ email của người dùng.
Người dùng coi đây là một sự vi phạm nghiêm trọng quyền riêng tư của họ. Công ty đã chia sẻ thông tin y tế đặc biệt nhạy cảm và thường là bí mật với hai công ty khác:Apptimize và Localytics.
Grindr đảm bảo với người dùng rằng họ không bán hoặc làm rò rỉ dữ liệu. Thay vào đó, họ chia sẻ dữ liệu để giúp tối ưu hóa ứng dụng. Bất chấp điều đó, công ty sau đó đã thông báo rằng họ sẽ không chia sẻ tình trạng nhiễm HIV của người dùng với các bên thứ ba nữa.
Các chuyên gia bảo mật chỉ ra rằng việc chia sẻ những thông tin nhạy cảm như vậy với bên thứ ba sẽ làm tăng khả năng bị rò rỉ hoặc vi phạm. May mắn thay, có các công cụ trực tuyến có sẵn để giúp bạn kiểm tra xem các tài khoản trực tuyến của mình có bị tấn công hoặc bị xâm phạm hay không.
5. Hồ sơ bị rò rỉ Vượt quá Dân số của Quốc gia
Vụ rò rỉ dữ liệu lớn nhất Nam Phi bao trùm đến mức số lượng hồ sơ cá nhân bị rò rỉ vượt quá toàn bộ dân số của đất nước. Vụ rò rỉ không chỉ bao gồm thông tin cá nhân của đa số người dân trong nước, mà còn cả những người đã chết. Dữ liệu thậm chí còn bao gồm số nhận dạng (ID) của hơn 12 triệu trẻ vị thành niên.
Tổng cộng, dữ liệu đã tiết lộ 60 triệu số ID duy nhất, cùng với thông tin cá nhân như chi tiết liên lạc, họ tên và hơn thế nữa. Vụ rò rỉ đặc biệt nghiêm trọng vì số ID của công dân Nam Phi có thể được sử dụng để thu thập thông tin cá nhân về họ như sinh nhật, giới tính và tuổi. Tội phạm thường sử dụng những con số này để đánh cắp danh tính hoặc lừa đảo.
Vậy làm thế nào mà dữ liệu này cuối cùng lại bị lộ? Một bản sao lưu cơ sở dữ liệu có tên masterdeeds.sql đã được tìm thấy trên một máy chủ công khai, không an toàn. Chuyên gia an ninh mạng và người sáng lập HaveIBeenPwned.com Troy Hunt đã tiết lộ về dữ liệu đã được tiết lộ trong ít nhất bảy tháng.
Một công ty tên là Dracore đã tổng hợp dữ liệu và tạo ra cơ sở dữ liệu. Nhưng một trong những khách hàng của họ, Jigsaw Holdings, đã để lộ dữ liệu bằng một máy chủ không an toàn.
6. Tập tin của Công ty Dữ liệu Được chia sẻ trên Twitter
Modern Business Solutions, một công ty quản lý dữ liệu có trụ sở tại Hoa Kỳ, đã nhận thấy mình đã đi ngược lại mặt trái của dư luận vào năm 2016. Tính bảo mật lỏng lẻo của nó đã dẫn đến việc 58 triệu hồ sơ người tiêu dùng bị lộ.
Một hacker đã có thể truy cập và chia sẻ thông tin của hàng triệu người nhờ vào cơ sở dữ liệu MongoDB không an toàn. Tin tặc đã tải xuống cơ sở dữ liệu, tải nó lên một trang web công cộng và sau đó chia sẻ các liên kết trên Twitter. Cơ sở dữ liệu MongoDB bị định cấu hình sai là một trong nhiều cách mà tin tặc đánh cắp thông tin từ những người không nghi ngờ.
Trong trường hợp này, dữ liệu bị lộ bao gồm tên, ngày tháng năm sinh, địa chỉ email và bưu điện, chức danh công việc, số điện thoại, dữ liệu phương tiện và địa chỉ IP.
7. Hàng triệu danh tính bị đánh cắp từ các nhà môi giới dữ liệu
Các mối quan tâm về quyền riêng tư do các công ty thu thập dữ liệu đặt ra đã tồn tại trong một thời gian. Thậm chí vào năm 2013, nguy cơ thu thập dữ liệu đã xuất hiện khi người ta phát hiện ra rằng tin tặc đã truy cập vào máy chủ của một số công ty môi giới dữ liệu lớn. Quyền truy cập này cho phép họ lấy cắp thông tin của hàng triệu người Mỹ.
Tin tặc đã truy cập phần lớn dữ liệu này thông qua các máy chủ được định cấu hình sai, lỗi bảo mật và cơ sở dữ liệu không an toàn và tải nó lên một trang có tên SSNDOB. Bản thân SSNDOB cũng là một công ty tổng hợp dữ liệu đã bán thông tin bị đánh cắp.
Dữ liệu bị đánh cắp bao gồm số an sinh xã hội, hồ sơ tín dụng, kiểm tra lý lịch, sinh nhật, địa chỉ và các dữ liệu cá nhân khác. Khi thanh thiếu niên hacktivist vi phạm SSNDOB, họ phát hiện ra rằng hồ sơ đã mở rộng đến mức nào. Ngay cả địa chỉ và thông tin cá nhân của những người nổi tiếng như Kanye West, Jay Z, Beyonce; cũng như những nhân vật nổi tiếng như Đệ nhất phu nhân Michelle Obama khi đó đã được tiếp cận.
Mạng botnet của SSNDOB đã truy cập vào máy chủ của các nhà môi giới dữ liệu lớn như LexisNexis Inc, Dun &Bradstreet và Kroll Background America Inc. FBI cuối cùng đã mở một cuộc điều tra về vấn đề này.
8. Alteryx rò rỉ dữ liệu về 123 triệu hộ gia đình ở Hoa Kỳ
Vào năm 2017, UpGuard phát hiện ra rằng công ty phân tích dữ liệu Alteryx đã làm lộ dữ liệu của 123 triệu hộ gia đình Mỹ thông qua một kho dữ liệu không an toàn.
Thông tin có thể truy cập công khai đặc biệt nhạy cảm, vì một trong những đối tác của Alteryx là cơ quan báo cáo tín dụng tiêu dùng Experian. Kho lưu trữ bao gồm địa chỉ nhà, chi tiết liên hệ, chi tiết thế chấp, lịch sử tài chính và lịch sử mua hàng. Bất kỳ ai có tài khoản Amazon Web Services đều có thể truy cập thông tin này.
UpGuard mô tả dữ liệu này là "một cái nhìn thoáng qua về cuộc sống của người tiêu dùng Mỹ". May mắn thay, dữ liệu không còn được truy cập công khai nữa, nhưng cũng như hầu hết các lần rò rỉ này, không rõ có bao nhiêu người tình cờ xem và tải xuống thông tin nhạy cảm.
Vụ rò rỉ cũng nhắc nhở người tiêu dùng về mức độ mà các công ty thu thập dữ liệu cá nhân. Ngay cả việc duyệt web đơn giản cũng dẫn đến việc các trang web thu thập thông tin cá nhân về bạn.
9. Một câu hỏi khác của Facebook kết quả trong dữ liệu người dùng bị rò rỉ
Người dùng Facebook vẫn đang quay cuồng với vụ bê bối Cambridge Analytica. Nhưng có vẻ như Cambridge Analytica không đơn độc trong việc sử dụng các câu đố của Facebook để thu thập dữ liệu.
Theo New Scientist, các nhà nghiên cứu tại Đại học Cambridge đã tạo ra một bài kiểm tra có tên là myPersonality. Bài kiểm tra thu thập dữ liệu về những người tham gia, được các nhà nghiên cứu tải lên cơ sở dữ liệu trực tuyến. Hàng trăm nhà nghiên cứu từ các tổ chức khác có thể truy cập dữ liệu này cho các mục đích nghiên cứu.
Tuy nhiên, các biện pháp bảo mật không đủ làm lộ dữ liệu này trong bốn năm. Mặc dù chỉ một thông tin đăng nhập cộng tác viên đã đăng ký mới có thể truy cập vào dữ liệu, nhưng một bộ thông tin xác thực đang hoạt động bị lộ đã xâm phạm bất kỳ tính bảo mật nào.
"Trong bốn năm qua, tên người dùng và mật khẩu hoạt động đã có sẵn trực tuyến có thể được tìm thấy từ một tìm kiếm trên web. Bất kỳ ai muốn truy cập vào tập dữ liệu đều có thể tìm thấy khóa để tải xuống trong vòng chưa đầy một phút," Mới Nhà khoa học cho biết.
Dữ liệu bao gồm thông tin cá nhân của khoảng 3 triệu người dùng Facebook và kết quả của họ từ các bài kiểm tra tâm lý.
10. Cơ sở dữ liệu cho thấy 33 triệu nhân viên
Năm 2017, công chúng phát hiện ra rằng một cơ sở dữ liệu của Dun &Bradstreet về các nhân viên của chính phủ và công ty Hoa Kỳ đã bị rò rỉ. Điều này làm lộ ra hơn 33 triệu hồ sơ, bao gồm các chi tiết như tên, vị trí công việc và chức năng, mức lương, chi tiết liên hệ và địa chỉ email.
Nếu Dun &Bradstreet nghe có vẻ quen thuộc, đó là vì cơ sở dữ liệu của họ đã được đưa vào bộ sưu tập của SSNDOB (đã đề cập trước đó). Công ty tổng hợp dữ liệu nhân viên và bán hồ sơ cho các nhà tiếp thị, đã từ chối trách nhiệm về vụ rò rỉ. Họ đã tạo cơ sở dữ liệu, nhưng nguồn có khả năng bị rò rỉ là một trong hàng nghìn khách hàng của họ.
Troy Hunt phát hiện ra vụ rò rỉ sau khi một nguồn tin gửi cho anh ta cơ sở dữ liệu. Hunt lưu ý rằng hồ sơ của nhân viên Bộ Quốc phòng tạo nên phần lớn dữ liệu. Điều này khiến họ gặp rủi ro đặc biệt vì các chức danh công việc như nhà phân tích tình báo, kỹ sư hóa học, binh sĩ và trung sĩ trung đội đã được xác định trong dữ liệu --- khiến nó hữu ích cho các cơ quan nước ngoài, những người có thể muốn xâm nhập hoặc tấn công các vai trò cụ thể của chính phủ.
"Chúng tôi đã mất quyền kiểm soát dữ liệu cá nhân của mình và như [Tim] Berners-Lee đã nói chỉ vài ngày trước, chúng tôi thường không có bất kỳ cách nào để trả lại cho các công ty những dữ liệu mà chúng tôi không muốn chia sẻ", Hunt nói trong báo cáo của anh ấy về vụ rò rỉ Dun &Bradstreet.
Hầu hết những người bị ảnh hưởng bởi vụ rò rỉ có thể sẽ không biết rằng các công ty đã thu thập dữ liệu của họ và bán nó trong các danh sách được tổng hợp cẩn thận.
Các công ty biết về bạn nhiều hơn bạn nghĩ
Trong nhiều sự cố như vậy, bạn không thể đổ lỗi cho các nạn nhân của vụ rò rỉ dữ liệu vì thông tin của họ đã đến được miền công cộng. Thay vào đó, các công ty thu thập dữ liệu này từ nhiều dịch vụ và hồ sơ. Người tiêu dùng thường không biết rằng các công ty đã chia sẻ dữ liệu này với bên thứ ba.
Đó là lý do tại sao điều quan trọng là phải kiểm tra các chính sách bảo mật của các dịch vụ bạn sử dụng. Bạn cũng nên cập nhật mọi vi phạm và rò rỉ có thể ảnh hưởng đến bạn.
Sau tất cả, các công ty biết nhiều hơn về bạn mà bạn mong đợi. Nhưng bạn có thể đóng một vai trò tích cực hơn trong việc bảo vệ dữ liệu của mình. Hãy nhớ xem hướng dẫn của chúng tôi về cách bảo vệ quyền riêng tư của bạn khi trực tuyến.