Điện thoại của lính Mỹ vô tình lộ vị trí cho đối thủ nước ngoài qua dữ liệu quảng cáo

Điện thoại của lính Mỹ vô tình lộ vị trí cho đối thủ nước ngoài qua dữ liệu quảng cáo

Việc xác định vị trí của các binh lính trên chiến trường có thể dễ dàng chỉ bằng cách mua dữ liệu từ một doanh nghiệp hợp pháp. Lầu Năm Góc vừa thừa nhận rằng các đối thủ nước ngoài của Mỹ đã khai thác dữ liệu định vị thương mại gắn liền với quân đội Mỹ, sử dụng chúng để nhắm mục tiêu hoặc giám sát nhân viên Mỹ tại Trung Đông.

Mặc dù sự việc nghiêm trọng này đã xảy ra, nhưng các quan chức được bầu cho rằng Bộ Quốc phòng (DoD) chưa hành động đủ nhanh để bảo vệ thông tin này.

Thượng nghị sĩ yêu cầu thắt chặt kiểm soát an ninh

Vào thứ Năm, Thượng nghị sĩ Ron Wyden (D-OR), Dân biểu Pat Harrigan (R-NC) và hơn một chục thành viên Quốc hội khác đã gửi thư cho Giám đốc Thông tin của Bộ Quốc phòng Kirsten Davies, yêu cầu thay đổi tư thế bảo mật smartphone giữa các quân chủng Mỹ.

Trong thư có chứa những gì các nhà lập pháp mô tả là sự xác nhận công khai đầu tiên cho thấy dữ liệu vị trí thương mại đã được sử dụng để nhắm mục tiêu hoặc giám sát quân nhân Mỹ trong các khu vực chiến sự tích cực. Thông tin này đã được chia sẻ với văn phòng của Thượng nghị sĩ Wyden vào tháng 4.

Theo nhóm của Wyden, lý do chậm trễ trong việc công bố thông tin là do "các ký hiệu hạn chế công bố", nhưng ông đã kiên quyết phản đối, dẫn đến bức thư được gửi đi vào thứ Năm cùng với các phản hồi từ Bộ Quốc phòng xác nhận thông tin mua từ các nhà môi giới dữ liệu thương mại đã bị kẻ thù lợi dụng.

"Bộ Chỉ huy Trung ương Hoa Kỳ (USCENTCOM) đã nhận được nhiều báo cáo đe dọa liên quan đến việc đối thủ khai thác dữ liệu vị trí thương mại để nhắm mục tiêu hoặc giám sát nhân viên Mỹ tại khu vực tác chiến," - phản hồi của Bộ Quốc phòng vào tháng 4 cho thấy.

Lỗ hổng từ hồ sơ quảng cáo trên smartphone

Về việc chính xác các nhà môi giới dữ liệu đã lấy được thông tin gì để đối thủ định vị được quân đội và sự di chuyển của họ, câu trả lời nằm ở cùng một nguồn mà bất kỳ ai mua dữ liệu từ nhà môi giới thương mại đều có thể tiếp cận: Hồ sơ quảng cáo trên smartphone.

Theo các phản hồi của Bộ Quốc phòng được đính kèm trong bức thư của Wyden, không chỉ nhân viên quân sự Mỹ được phép sử dụng thiết bị cá nhân trong khu vực hoạt động, mà thậm chí không có chính sách nào yêu cầu lính phải tắt khả năng định vị (geolocation) trên thiết bị khi họ đang ở trong vùng chiến sự.

"Hướng dẫn rủi ro định vị của USCENTCOM yêu cầu nhân viên tắt chức năng định vị khi không cần thiết; xem xét định kỳ các cài đặt quyền riêng tư của thiết bị và ứng dụng; và hạn chế chia sẻ công khai thông tin," - Bộ Quốc phòng cho biết vào tháng trước. Tuy nhiên, họ cũng thừa nhận rằng hướng dẫn này không phải lúc nào cũng tắt hoàn toàn định vị trên smartphone.

Ngoài các thiết bị cá nhân, chính những chiếc smartphone do Bộ Quốc phòng cấp phát cũng không tắt hồ sơ quảng cáo.

"Cài đặt Quảng cáo Cá nhân hóa bị tắt bởi chính sách nhóm trên Máy chủ Quản lý Thiết bị Di động (MDM)," - Bộ Quốc phòng cho biết nhóm của Wyden biết. "Tuy nhiên, Thông tin Nhắm mục tiêu Quảng cáo không bị tắt và có thể được người dùng chỉnh sửa."

Đây không phải là một câu trả lời thẳng thắn. Khi được hỏi, nhóm của Wyden đồng ý với đánh giá rằng giải pháp MDM của Lầu Năm Góc chỉ ngăn việc hiển thị quảng cáo cá nhân cho người dùng, nhưng không ngăn việc truyền tải ID quảng cáo của thiết bị hoặc các dữ liệu liên quan khác.

Sự chuyển dịch sang BYOD và rủi ro an ninh

Bộ Quốc phòng lưu ý trong phản hồi rằng họ đang trong quá trình chuyển sang giải pháp MDM mới cho phép tắt hoàn toàn dịch vụ định vị trên các thiết bị do chính phủ cấp và nhắm hoàn thành vào đầu tháng 5. Tuy nhiên, chưa rõ quá trình này đã kết thúc chưa.

Hiệu quả của việc chuyển đổi MDM này cũng là một dấu hỏi lớn, bởi Bộ Quốc phòng dường như đang loại bỏ dần các thiết bị do chính phủ cấp phát để chuyển sang chính sách BYOD (Bring Your Own Device - Mang thiết bị của riêng bạn) rộng rãi hơn ở ít nhất một quân chủng.

Theo một thông cáo báo chí của Lục quân Mỹ từ đầu tháng này, quân chủng này nhắm đến việc thu hồi các điện thoại công việc do Lục quân quản lý vào cuối tháng này, vì "phương thức kết nối chính thống và được ưu tiên là chương trình Mang Thiết bị Của Riêng Bạn, hay BYOD".

USCENTCOM được cho là đã thắt chặt các kiểm soát định vị trong khu vực hoạt động của mình, nhưng không có chỉ dấu nào cho thấy người lính, thủy thủ, không quân và thủy quân lục chiến trung bình có tuân thủ điều này hay không.

Một vấn đề đã tồn tại hơn một thập kỷ

Sự thất bại trong việc ngăn chặn việc lộ dữ liệu vị trí nhạy cảm của các tài sản quân sự có thể được tha thứ nếu đây là một vấn đề mới, nhưng theo bức thư của Wyden, thực tế không phải vậy: Lầu Năm Góc có thể đã biết về vấn đề này suốt một thập kỷ.

Theo bức thư, các nhà thầu chính phủ đã từng thuyết trình về sự dễ dàng trong việc theo dõi smartphone thuộc sở hữu của các thành viên quân đội từ tận năm 2016.

"Các quan chức Bộ Quốc phòng không coi mối đe dọa phản gián và bảo vệ lực lượng này là một vấn đề cấp bách," bức thư khẳng định, thêm rằng Lầu Năm Góc "đã biết về mối đe dọa này hơn một thập kỷ, nhưng vẫn thất bại trong việc thực hiện các bước có ý nghĩa để bảo vệ những người lính của chúng ta."

Không thiếu các ví dụ về việc quản lý dữ liệu vị trí lỏng lẻo làm tổn hại đến các hoạt động quân sự. Dữ liệu được thu thập từ ứng dụng theo dõi tập luyện Strava từng được sử dụng để xác định lộ trình chạy bộ của nhân viên quân sự Mỹ trong căn cứ - và thậm chí làm lộ vị trí của Tổng thống Pháp Emmanuel Macron nhờ các thực hành bảo mật lỏng lẻo của vệ sĩ. Mạng xã hội cũng từng bị cảnh báo là một thảm họa an ninh hoạt động (OPSEC) đang chờ đợi xảy ra.

Mặc dù có tất cả các ví dụ và các cuộc họp báo từ một thập kỷ qua, vấn đề vẫn tiếp diễn ngay đến các hoạt động gần đây tại Iran.

"Việc các đối thủ nước ngoài vẫn có thể mua dữ liệu vị trí được thu thập từ điện thoại của nhân viên Mỹ phục vụ tại các điểm nóng quân sự là kết quả trực tiếp từ sự thất bại của lãnh đạo Bộ Quốc phòng trong việc ưu tiên mối đe dọa này và triển khai các biện pháp phòng thủ mạng hợp lý," - bức thư cáo buộc.