BrowserGate: Cáo buộc LinkedIn "do thám" người dùng xung đột với kết quả nghiên cứu bảo mật

Gần đây, cộng đồng mạng đang xôn xao trước các cáo buộc cho rằng LinkedIn, nền tảng thuộc sở hữu của Microsoft, đang bí mật quét máy tính của người dùng để thu thập thông tin. Vụ việc, được đặt tên là "BrowserGate", đã thu hút sự chú ý lớn khi một nhóm tự xưng là Fairlinked tuyên bố Microsoft đang tiến hành "một trong những hoạt động gián điệp doanh nghiệp lớn nhất trong lịch sử hiện đại".

Tuy nhiên, những cáo buộc này đang vấp phải sự phản bác mạnh mẽ từ các nhà nghiên cứu bảo mật, cho rằng thực tế có thể không đáng sợ như những gì được mô tả.

BrowserGate LinkedIn Explained

BrowserGate cáo buộc điều gì?

Theo nhóm BrowserGate, LinkedIn đã đánh lừa các cơ quan quản lý của EU. Sau khi bị chỉ định là "người gác cổng" (gatekeeper) theo Đạo luật Thị trường Kỹ thuật số (DMA) và bị yêu cầu mở nền tảng cho các công cụ bên thứ ba, LinkedIn allegedly đã đáp trả bằng cách mở rộng giám sát các công cụ này.

Cụ thể, nhóm này cho biết LinkedIn sử dụng JavaScript để âm thầm quét khoảng 6.000 tiện ích mở rộng (extension) trên trình duyệt mỗi khi người dùng truy cập vào trang web. Kết quả quét được mã hóa và gửi về máy chủ của LinkedIn. BrowserGate lập luận rằng việc hiện diện của nhiều tiện ích này có thể tiết lộ quan điểm chính trị, niềm tin tôn giáo, tình trạng khuyết tật, xu hướng tính dục và thậm chí là bí mật thương mại của người dùng.

Phản hồi từ LinkedIn

Không bất ngờ khi LinkedIn đã bác bỏ quan điểm này. Một đại diện của LinkedInHelp đăng trên Hacker News khẳng định: "Chúng tôi sử dụng dữ liệu này để xác định các tiện ích mở rộng nào vi phạm điều khoản dịch vụ, từ đó thông báo và cải thiện các biện pháp phòng thủ kỹ thuật của chúng tôi. Chúng tôi không sử dụng dữ liệu này để suy luận thông tin nhạy cảm về thành viên."

LinkedIn cho rằng mục đích chính là để hiểu lý do tại sao một tài khoản thành viên có thể đang lấy lượng dữ liệu lớn của các thành viên khác, điều ảnh hưởng đến sự ổn định của trang web ở quy mô lớn.

Góc nhìn từ chuyên gia bảo mật

Để làm rõ vấn đề, Tyler Reguly, Giám đốc Phát triển An ninh tại Fortra, đã tiến hành phân tích sâu quy trình này. Ông mô tả hành động của LinkedIn là "dò tìm tài nguyên" (resource probing) để xác định xem trong số hơn 6.000 tiện ích mở rộng nào đang được cài đặt trên trình duyệt của người dùng.

"Có, LinkedIn đang dò tìm rất nhiều tiện ích mở rộng, nhưng không có việc quét máy tính của bạn và không có mã độc, chỉ là một kỹ thuật JavaScript đơn giản để xác định xem tiện ích có ở đó hay không," ông Reguly nhận định.

Ông đã thử nghiệm quy trình này trên 10% danh sách các tiện ích mở rộng mà LinkedIn nhắm tới. Kết quả khá đáng báo động: "Một tiện ích từ chối đóng tab và tự mở lại mỗi lần tôi đóng nó. Những tiện ích khác thay đổi màn hình chính của tôi, trang about:blank, và thêm dấu trang. Một tiện ích khác còn liên tục phát video 'Never Gonna Give You Up' (Rickroll) mỗi khi tôi mở trình duyệt."

Theo ông Reguly, nhiều tiện ích này có chức năng thu thập dữ liệu (scraping) và không được biết đến nhiều. Ông tin rằng chỉ có khoảng 2.000 trong số 6.000 tiện ích có thể được phát hiện thực sự, và nếu LinkedIn có ý định nhận dạng (fingerprinting) người dùng, họ sẽ có những phương pháp hiệu quả hơn nhiều.

"Tôi không thấy bất cứ điều gì chỉ ra ý đồ độc hại ở đây. Nó đang khám phá một số thông tin, đúng vậy, nhưng tôi không nghĩ nó vượt qua ngưỡng của sự độc hại – tôi nghĩ đó là một góc nhìn được thổi phồng quá mức về những gì đang diễn ra," ông kết luận.

Vấn đề pháp lý và quyền riêng tư

Mặc dù ý đồ thực sự có thể không phải là gián điệp, nhưng hành động của LinkedIn vẫn vấp phải các vấn đề về tính minh bạch và pháp lý. Ilia Kolochenko, một luật sư chuyên về an ninh mạng và bảo vệ dữ liệu, nhận định: "Tính hợp pháp của việc nhận dạng như vậy phụ thuộc vào thực tế và thẩm quyền. Nếu được sử dụng mà không có thông báo và vì lợi ích thương mại, ở một số quốc gia, nó thậm chí có thể cấu thành tội phạm hình sự."

Theo quy định của GDPR và hầu hết các luật quyền riêng tư khác, việc thu thập dữ liệu mà không có sự đồng ý tự nguyện và được thông báo của người dùng có thể là sự vi phạm nghiêm trọng.

Kết luận

Dù các chuyên gia bảo mật như Reguly coi những cáo buộc về "gián điệp" là một "vấn đề được thổi phồng" (nothingburger), nhưng LinkedIn vẫn cần minh bạch hơn với người dùng về việc thu thập dữ liệu này.

"Điểm trừ duy nhất tôi thấy là LinkedIn không thông báo cho bạn rằng bạn đã cài đặt các tiện ích mở rộng có vấn đề tiềm ẩn này," Reguly nói. Ông thậm chí cho rằng các quản trị viên hệ thống nên coi đây là một cơ hội để biết danh sách các ID tiện ích mở rộng cần chặn trong tổ chức của mình.

Trong bối cảnh quyền riêng tư dữ liệu ngày càng được quan tâm tại Việt Nam và trên thế giới, sự kiện này là một lời nhắc nhở về sự cân bằng giữa các biện pháp bảo mật của nền tảng và quyền riêng tư của người dùng cuối.