Lộ dữ liệu vị trí quân sự: Pentagon đã được cảnh báo từ lâu nhưng vẫn bất lực trước kẻ thù

Trong gần một thập kỷ, Lầu Năm Góc đã liên tục nhận được cảnh báo từ các nhà thầu, chuyên gia phân tích và cơ quan tình báo của chính mình rằng bất kỳ ai có thẻ tín dụng cũng có thể mua được bản đồ cho biết nơi lính Mỹ ngủ, làm việc và cất giữ vũ khí hạt nhân. Giờ đây, hậu quả của sự chủ quan này đang hiện rõ trong một khu vực chiến tranh.

Một bức thư mới được công bố cho thấy những cảnh báo đó đã bị bỏ qua: Bộ Chỉ huy Trung ương của Mỹ (Centcom) hiện xác nhận họ đã nhận được "nhiều báo cáo đe dọa liên quan đến việc kẻ thù khai thác dữ liệu vị trí thương mại để nhắm mục tiêu hoặc giám sát nhân viên Mỹ tại nhà hát tác chiến". Đây là lần đầu tiên chính thức thừa nhận rằng nền kinh tế môi giới dữ liệu đang bị sử dụng để săn lùng lực lượng Mỹ tại Trung Đông.

Việc nhắm mục tiêu này được Reuters đưa tin đầu tiên sau khi có được bức thư của Centcom. Tuy nhiên, sự xác nhận này chỉ là phần nổi của tảng băng chìm, với lịch sử cảnh báo kéo dài và nghiêm trọng hơn nhiều so với một tài liệu đơn lẻ cho thấy.

Một trong những cảnh báo sớm nhất xuất hiện vào năm 2016. Tại cơ sở Bộ Chỉ huy Tác chiến Đặc biệt chung ở Fort Bragg, một chuyên gia công nghệ chính phủ khi thuyết trình cho các sĩ quan cấp cao đã chứng minh cách dữ liệu vị trí thương mại — được mua, không phải bị hack — có thể theo dõi điện thoại từ Fort Bragg và Căn cứ Không quân MacDill ở Florida, nơi đóng quân của các đơn vị tinh nhuệ nhất nước Mỹ, xuyên qua Thổ Nhĩ Kỳ và vào miền Bắc Syria, nơi họ tập trung tại một căn cứ tiền phương bí mật. Dữ liệu tương tự cũng có sẵn cho bất kỳ nhà quảng cáo hay cơ quan tình báo nước ngoài nào.

Paradoxically, ngay cả khi Lầu Năm Góc được cảnh báo rằng thị trường dữ liệu vị trí đang đặt chính nhân viên của mình vào nguy hiểm, một số bộ phận của cơ quan này lại háo hức trở thành khách hàng của nó. Năm 2021, Cơ quan Tình báo Quốc phòng (DIA) đã tiết lộ với Quốc hội rằng họ sử dụng dữ liệu vị trí điện thoại được mua thương mại — bao gồm cả của người Mỹ — mà không cần lệnh, với lập luận rằng không yêu cầu lệnh nào.

Năm 2023, quân đội Mỹ đã trả tiền để làm rõ mối đe dọa này. Các nhà nghiên cứu tại Đại học Duke — làm việc dưới khoản tài trợ của Học viện Quân sự West Point — đã tìm cách mua dữ liệu về nhân viên phục vụ quân sự giống như cách một kẻ thù nước ngoài có thể làm. Họ thu thập dữ liệu từ hàng trăm trang web của môi giới dữ liệu và tìm thấy hàng nghìn danh sách quảng cáo dữ liệu về nhân viên quân sự, bao gồm các bộ dữ liệu có tiêu đề "Danh sách gửi thư cho Gia đình Quân đội" và "Gia đình Quân đội Cốt lõi".

Các nhà nghiên cứu bắt đầu mua dữ liệu. Chỉ với giá 12 xu cho một bản ghi, với hầu như không có sự kiểm tra lý lịch, họ đã mua được tên, địa chỉ nhà, tình trạng sức khỏe và chi tiết tài chính của quân nhân tại ngũ. Đóng vai là người mua hoạt động thông qua tên miền có trụ sở tại Singapore, họ cũng thu được cùng loại dữ liệu được "hàng rào địa lý" (geofenced) tại Fort Bragg, Quantico và các cơ sở khác. Một môi giới thậm chí đề nghị bỏ qua kiểm tra danh tính nếu họ thanh toán qua chuyển khoản.

Một cuộc điều tra trước đó của WIRED cũng đã cho thấy sự phơi nhiễm này trông như thế nào trong thực tế: Vào cuối năm 2024, các phóng viên đã lấy được "mẫu miễn phí" dữ liệu vị trí từ một môi giới tại Florida — 3,6 tỷ tọa độ liên quan đến khoảng 11 triệu điện thoại tại Đức trong hai tháng.

Bên trong đó là chuyển động hàng ngày của nhân viên quân sự và tình báo Mỹ đóng quân tại nước này: 12.313 thiết bị đã đi qua ít nhất 11 cơ sở của Mỹ, từ trụ sở lục quân châu Âu tại Wiesbaden đến các trường học nơi con em của quân nhân theo học. Các phóng viên đã truy vết thiết bị bên trong Căn cứ Không quân Büchel, nơi người tin rằng vũ khí hạt nhân của Mỹ được cất giữ trong các hầm ngầm cứng, và theo dõi những thiết bị khác di chuyển qua một khóa học xe bọc thép tại Grafenwöhr — một trong những căn cứ mà hai nghi phạm phá hoại đã bị bắt vì do thám vài tháng trước đó.

Các cảnh báo cũng đến từ chính cánh tay nghiên cứu của Lục quân. Trong một báo cáo kỹ thuật tháng 5 năm 2025, Viện Mạng lưới Lục quân tại West Point nhận thấy rằng hơn một fifth trong số các tên miền web được truy cập nhiều nhất trên mạng không mật của quân đội tại Mỹ là trình theo dõi thương mại — và rằng các bản sửa lỗi yêu cầu "nguồn vốn hoặc tài nguyên tối thiểu". Trong số các khuyến nghị của họ: Hạn chế cài đặt trình duyệt Chrome của Google trên máy trạm làm việc của Lục quân, lưu ý rằng đây là trình duyệt chính lớn duy nhất từ chối chặn cookie của bên thứ ba được sử dụng để theo dõi người dùng trên web.

Bức thư, được WIRED thu thập độc lập và có chữ ký của 14 thành viên của cả hai đảng, đã phác thảo chi tiết vụ việc chống lại Lầu Năm Góc. Bộ này, họ viết, đã biết về mối đe dọa hơn một thập kỷ qua và "thất bại trong việc áp dụng các biện pháp phòng thủ mạng hợp lý" được khuyến nghị bởi các chuyên gia của chính phủ. Thư gây áp lực lên giám đốc thông tin của bộ, Kirsten Davies, để thực hiện những việc đã được đề xuất từ nhiều năm nay: Tắt ID quảng cáo trên điện thoại quân sự, gỡ bỏ Chrome khỏi thiết bị chính phủ thay thế bằng các trình duyệt tập trung vào quyền riêng tư, và đăng ký quân nhân vào hệ thống từ chối tự động của môi giới dữ liệu tiểu bang.

Chi tiết gây phẫn nộ nhất là vấn đề thời gian: Centcom đã xác nhận rằng họ chỉ mới triển khai khả năng tắt chia sẻ vị trí trên điện thoại thông minh của chính phủ vào tháng này — khoảng 10 năm sau khi có cảnh báo đầu tiên.

Đầu tháng này, Lục quân đã yêu cầu binh lính bắt đầu sử dụng điện thoại cá nhân của họ cho công việc chính phủ — chính những điện thoại phát sóng ID quảng cáo và cung cấp vị trí cho các môi giới dữ liệu nằm ở trung tâm của mối đe dọa này. Lục quân nói rằng quyền truy cập của họ dừng lại ở một ứng dụng làm việc tách biệt, để lại tin nhắn, ảnh và duyệt web của người lính ở chế độ riêng tư. Nhưng các môi giới dữ liệu không gặp phải những bức tường như vậy, như các nhà nghiên cứu của chính họ đã chỉ ra.

Sean Vitka, giám đốc điều hành của Demand Progress, một nhóm quyền riêng tư đã vận động Quốc hội kiềm chế thương mại dữ liệu, cho biết WIRED rằng Hạ viện đã thông qua luật pháp quan trọng hai năm trước sẽ cấm chính phủ trợ cấp cho ngành này, chỉ để một số ít nhà lập pháp ủng hộ giám sát ở cả hai đảng chặn nó — và lãnh đạo Thượng viện từ chối đưa ra bỏ phiếu.

"Mặc dù có những tuyên bố thiếu thiện chí của các nhà hoạch định chính sách liên tục sử dụng quyền lực của họ để làm suy yếu quyền riêng tư, nhưng giám sát không vốn dĩ là tốt cho an ninh," Vitka nói. "Và công chúng giờ đây có thể thấy bằng chứng đáng lo ngại chứng minh rằng quyền riêng tư không chỉ là một quyền con người cốt lõi mà còn quan trọng để giữ an toàn cho mọi người."