Đã đến lúc cấm mua bán dữ liệu định vị chính xác

Một bản báo cáo sâu gần đây từ Citizen Lab về hệ thống giám sát quảng cáo (adtech) của Mỹ, cụ thể là công cụ Webloc, đã làm nổi bật những rủi ro an ninh quốc gia và quyền riêng tư từ việc dữ liệu định vị có thể tiếp cận dễ dàng một cách lan tràn. Điều này một lần nữa nhấn mạnh rằng Mỹ cần thắt chặt quy định đối với việc thu thập và bán dữ liệu định vị.

Tom Uren

Mối đe dọa từ dữ liệu định vị thương mại

Báo cáo tài liệu hóa khả năng của Webloc, người dùng sản phẩm này và mối quan hệ của nó với các sản phẩm tình báo thương mại khác. Được phát triển bởi Cobweb Technologies và hiện nay được bán bởi công ty Mỹ Penlink sau thương vụ sáp nhập năm 2023, Webloc được quảng cáo là có khả năng truy cập hồ sơ từ "lên tới 500 triệu thiết bị di động trên toàn cầu". Các hồ sơ này chứa định danh thiết bị, tọa độ vị trí và dữ liệu hồ sơ từ các ứng dụng di động và quảng cáo kỹ thuật số.

Tài liệu đề xuất kỹ thuật bị rò rỉ mô tả chi tiết cách Webloc có thể được sử dụng để theo dõi các thiết bị riêng lẻ và khám phá mục tiêu. Ví dụ, một người đàn ông tại Abu Dhabi đã bị theo dõi tới 12 lần một ngày thông qua GPS hoặc vị trí gần các điểm truy cập Wi-Fi. Một ví dụ khác xác định chính xác hai thiết bị từng nằm ở các khu vực cụ thể của cả Romania và Italy vào các thời điểm nhất định.

Citizen Lab cũng ghi nhận một số khách hàng hiện tại và trước đây của Webloc thuộc chính phủ liên bang và tiểu bang Mỹ, bao gồm Bộ An ninh Nội địa (DHS), các đơn vị trong quân đội Mỹ, và Cảnh sát Cục vụ Công việc Ấn Độ. Ở cấp tiểu bang, các sở cảnh sát và cơ quan thực thi pháp luật ở California, Texas, New York và Arizona cũng đã từng là khách hàng.

Đáng lo ngại là sự tích hợp của Webloc với công cụ chính của Penlink tên là Tangles — một nền tảng điều tra web và mạng xã hội. Trong một số trường hợp, có khả năng liên kết định danh thiết bị di động về lý thuyết là ẩn danh với tài khoản mạng xã hội mà không cần lệnh khám xét. Mặc dù Tangles phân tích dữ liệu công khai, nhưng sự kết hợp này tạo ra những lo ngại lớn về quyền tự do dân sự.

Cần hành động pháp lý mạnh tay

Mỗi trường hợp sử dụng được mô tả đều là một khả năng điều tra quý giá, nhưng chúng không nên tự do sẵn có cho bất kỳ tổ chức nào quyết định mua công cụ này. Những khả năng xâm nhập này cần có các quy trình ủy quyền và giám sát mạnh mẽ. Từ góc độ trong nước, các luật pháp đặt ra hàng rào bảo vệ xung quanh việc các cơ quan chức năng sử dụng công cụ này là cần thiết để bảo vệ quyền tự do dân sự của người Mỹ.

Tuy nhiên, còn có mối quan ngại về an ninh quốc gia. Nếu dữ liệu có thể được sử dụng bởi các cơ quan thực thi pháp luật Mỹ, thì dữ liệu chính xác đó cũng có thể được sử dụng bởi các cơ quan tình báo nước ngoài để nhắm vào các lợi ích của Mỹ. Sự ngây thơ khi nghĩ rằng các đối thủ có năng lực sẽ không mua được dữ liệu này và xây dựng nền tảng tình báo của riêng họ là không thể chấp nhận được. Mỹ không chỉ cần dập tắt việc sử dụng dữ liệu này trong nước, mà cần siết chặt việc tạo ra và bán dữ liệu định vị.

Một tin vui là tuần này, bang Virginia đã ban hành lệnh cấm bán dữ liệu định vị chính xác của khách hàng. Trong bối cảnh các luật quyền riêng tư liên bang được đề xuất chưa được thông qua trong những năm gần đây, đây được coi là một biện pháp thực tế để bắt đầu giải quyết vấn đề.

AI: "Đội ngũ hacker" hỗ trợ tội phạm

Trong diễn biến an ninh mạng khác, một báo cáo chi tiết từ công ty bảo mật Gambit đã mô tả chính xác cách các tác nhân đe dọa có thể tận dụng các mô hình AI để nâng cao kỹ năng và tăng tốc các hoạt động tội phạm.

Báo cáo chỉ ra việc một hacker đơn lẻ đã sử dụng hai nền tảng AI thương mại để đột nhập vào chín tổ chức chính phủ Mexico. Trong vòng vài tuần, cá nhân này đã đánh cắp hàng trăm triệu hồ sơ công dân và xây dựng một dịch vụ làm giả giấy chứng nhận thuế. Chiến dịch này do con người chỉ đạo, nhưng Claude Code đã tạo và thực thi khoảng 75% các lệnh thực thi mã từ xa. Khi mạng lưới bị xâm nhập, API của OpenAI GPT-4.1 đã được sử dụng để lên kế hoạch cho các hoạt động khai thác sau khi xâm nhập.

Bài học rút ra không phải là AI cho phép các cuộc tấn công hacker làm những điều mới mẻ chưa từng có, mà là AI cho phép một cá nhân hoạt động với tốc độ nhanh hơn nhiều so với trước đây. Các mô hình AI hiện nay đang tỏ ra rất hữu ích trong việc tăng tốc các hoạt động của hacker, điều này có nghĩa là một tội phạm mạng đơn lẻ đã có thể hoạt động với tốc độ của một nhóm nhỏ.

Các tin tức công nghệ và an ninh mạng nổi bật khác

• Mỹ làm gián đoạn botnet tình báo quân sự Nga: Bộ Tư pháp Mỹ đã công bố việc tháo dỡ botnet chạy trên router SOHO do GRU (Tình báo quân sự Nga) điều hành. GRU đã xâm nhập các router TP-Link và chiếm đoạt các truy vấn DNS để mạo nhận các dịch vụ hợp pháp.
• FBI và chính quyền Indonesia tháo dỡ mạng lừa đảo: FBI đã thông báo việc tháo dỡ hoạt động lừa đảo tập trung quanh bộ công cụ lừa đảo W3LL. Đây là sự hợp tác đầu tiên giữa FBI và Cảnh sát Quốc gia Indonesia để bắt giữ nghi phạm phát triển bộ công cụ này.
• Chrome hỗ trợ Device Bound Session Credentials (DBSC): Google thông báo phiên bản Windows của Chrome 146 hỗ trợ loại cookie mới này. DBSC ngăn chặn việc đánh cắp phiên bằng cách liên kết mật mã token xác thực với một thiết bị cụ thể, giúp cookie trở nên vô dụng nếu bị đánh cắp bởi phần mềm độc hại.
• Pháp chuyển sang Linux: Chính phủ Pháp đang thực hiện các bước đầu tiên để loại bỏ Windows và chuyển sang Linux, giảm sự phụ thuộc vào công nghệ Mỹ. Cục Điều phối Chuyển đổi số Liên Bộ (DINUM) sẽ là đơn vị đầu tiên thực hiện việc chuyển đổi này.