Oura thừa nhận nhận yêu cầu dữ liệu từ chính phủ nhưng từ chối công bố con số

Oura thừa nhận nhận yêu cầu dữ liệu từ chính phủ nhưng từ chối công bố con số

Năm ngoái, nhà sản xuất thiết bị đeo sức khỏe Oura đã vướng phải một làn sóng chỉ trích dữ dội trên mạng xã hội sau khi ký kết hợp đồng với Bộ Quốc phòng Mỹ (Department of Defense) và công ty công nghệ Palantir. Nhiều khách hàng lo sợ rằng dữ liệu cá nhân nhạy cảm của họ sẽ rơi vào tay chính quyền tiền nhiệm của ông Trump. Vụ bê bối lan rộng đến mức ngay cả bạn đời của tác giả — một người dùng nhẫn Oura — cũng phải chú ý đến vấn đề này.

Nhẫn Oura là thiết bị đeo ngón tay theo dõi sức khỏe, được trang bị pin và khả năng ghi录 các chỉ số như nhịp tim, mẫu ngủ, chu kỳ kinh nguyệt, cùng hàng chục điểm dữ liệu khác, bao gồm cả vị trí địa lý. Oura lưu trữ một lượng lớn thông tin nhạy cảm về người dùng trên máy chủ của mình.

Là một nhà báo chuyên về an ninh mạng và quyền riêng tư, cũng như là người có bạn đời sử dụng thiết bị này, tác giả đã đặt câu hỏi: Tất cả dữ liệu đó đi đâu và được truyền tải như thế nào? Có thể bạn nghĩ chi tiết này không quan trọng, nhưng cách các công ty thiết lập sản phẩm và máy chủ của họ sẽ tạo ra sự khác biệt lớn trong việc liệu chính phủ (hay hacker) có thể truy cập dữ liệu người dùng hay không.

Đây là cơ hội để đi sâu vào cách hoạt động của nhẫn Oura, cách chúng truyền và lưu trữ dữ liệu, cũng như quyền truy cập của ai đối với thông tin này. Tác giả đã viết một bài phân tích chi tiết giải thích lý do tại sao các lựa chọn thiết kế bảo mật của Oura lại cho phép chính phủ "đánh hơi" vào kho dữ liệu người dùng khổng lồ của họ.

Lỗ hổng trong thiết kế bảo mật

Oura không phải là trường hợp duy nhất, và nhiều (nếu không muốn nói là phần lớn) công ty thiết kế hệ thống để cho phép nhân viên của họ truy cập dữ liệu người dùng, có thể là để khắc phục sự cố kỹ thuật hoặc đơn giản vì đó là thiết lập rẻ tiền và dễ dàng nhất cho một startup đang kẹt vốn. Tuy nhiên, Oura hiện là một trong những nhà sản xuất thiết bị đeo sức khỏe lớn nhất, với định giá hơn 11 tỷ USD trước khi lên sàn chứng khoán. Công ty có trách nhiệm hơn bao giờ hết phải đảm bảo dữ liệu người dùng không bị truy cập trái phép. Oura không còn có thể viện lý do thiếu tài chính để làm điều đó.

Trong bài viết trước, tác giả đã tiết lộ rằng dữ liệu của Oura không được mã hóa đầu cuối (end-to-end encrypted). Điều này có nghĩa là dữ liệu sức khỏe của người dùng Oura có thể được giải mã tại một số điểm nhất định khi di chuyển từ chiếc nhẫn, qua ứng dụng điện thoại, qua internet và khi hạ cánh xuống máy chủ của Oura. Công ty đã xác nhận rằng họ lưu trữ dữ liệu người dùng theo cách cho phép một số nhân viên có quyền truy cập. Điều này cũng có nghĩa là những người khác cũng có thể làm được, chẳng hạn như một công tố viên có lệnh của tòa án, một hacker có khóa bị đánh cắp, hoặc một nhân viên bất mãn muốn gây rối.

Trong ba kịch bản trên, chúng ta biết ít nhất một kịch bản đã xảy ra.

Yêu cầu từ chính phủ và sự thiếu minh bạch

Khi liên hệ để xin bình luận trước khi đăng bài viết trước đó, một phát ngôn viên của Oura cho biết công ty "nhận được các yêu cầu thưa thớt từ chính phủ". Oura tuyên bố họ xem xét từng yêu cầu về "tính hợp pháp, phạm vi và tính cần thiết", và sẽ phản đối "nơi các yêu cầu không hợp lệ, quá rộng hoặc không nhất quán với cam kết bảo vệ quyền riêng tư của thành viên".

Tuy nhiên, Oura từ chối nói rõ họ nhận được bao nhiêu yêu cầu, tần suất họ giao nộp dữ liệu người dùng, hay các loại dữ liệu nào bị yêu cầu. Đến thời điểm bài viết trước, Oura đã bán hơn 5,5 triệu chiếc nhẫn, cho thấy quy mô khách hàng khổng lồ của công ty.

Tác giả đã hỏi Oura vào thời điểm đó liệu công ty có sẵn sàng công bố tần suất nhận các yêu cầu này thông qua một báo cáo minh bạch (transparency report) hay không. Một làn sóng các công ty công nghệ đã bắt đầu công bố tổng số lượng yêu cầu dữ liệu từ chính phủ mà họ nhận được theo định kỳ sáu tháng một lần. Điều chủ yếu là để phản bác các cáo buộc rằng họ đang bí mật giao nộp khối dữ liệu người dùng khổng lồ cho chính phủ khi được yêu cầu, xuất phát từ vụ bê bối giám sát của NSA vào năm 2013.

Ban đầu, câu trả lời của Oura mang lại chút hy vọng. Một phát ngôn viên cho biết tuy Oura không công bố báo cáo minh bạch, nhưng công ty đang "chủ động đánh giá cách chia sẻ dữ liệu tổng hợp để duy trì bảo mật và không gây rủi ro cho thành viên".

Tám tháng đã trôi qua, thưa quý độc giả. Gần đây, tác giả đã liên hệ lại với Oura để xem họ có phát hành báo cáo minh bạch hay không, và sau nhiều email theo dõi, Oura — vốn từng phản hồi nhanh chóng — chưa trả lời bất kỳ thắc mắc nào hay cam kết công bố các con số. Tác giả vẫn hy vọng Oura sẽ xem xét lại và công bố số lượng yêu cầu họ nhận được giống như các công ty công nghệ khác.

Nếu không thấy các con số, sẽ không thể biết Oura từ chối yêu cầu dữ liệu của chính phủ bao nhiêu lần, nếu có. Với tư cách là người dẫn đầu thị trường thiết bị đeo sức khỏe, Oura nên chia sẻ tần suất chính phủ yêu cầu truy cập thông tin người dùng nếu họ muốn giành lấy hoặc giữ lại niềm tin của khách hàng.