Một trường học dùng webcam chụp trộm 56.000 ảnh học sinh, một công ty có phần mềm theo dõi cài trên gần 150 triệu điện thoại. Đó là 2 trong số những vụ scandal lớn về thông tin cá nhân từ năm 2005 trở lại đây.
Các vụ lộ thông tin lớn thương liên quan đến những công nghệ rất gần gũi với đại đa số người dùng, như tìm kiếm, mạng xã hội, email, thư thoại, điện thoại di động, webcam, hệ thống định vị vệ tinh GPS. Điểm chung của các vụ bê bối này là các công ty chủ quản thu thập thông tin người dùng mà không thông báo công khai rồi chia sẻ cho bên thứ 3 một cách bất cẩn hoặc chỉ đơn giản là hớ hênh trong quản lí.
Dữ liệu cá nhân trực tuyến là vấn đề nhức nhối trong những năm gần đây và tiếp tục là thách thức lớn nhất của Internet trong nhiều năm tới. Hãy cùng điểm lại các các vụ scandal tai tiếng trong lĩnh vực này.
1. Gián điệp trên CD của Sony
Mùa thu năm 2005, công ty Sony BMG gây ra một vụ bê bối lớn liên quan đến sự riêng tư của người dùng khi sử dụng một chương trình chống sao chép lậu XCP trên các đĩa nhạc mà hãng bán ra. Khi các đĩa CD này được phát bởi một máy tính dùng hệ điều hành Windows, nó sẽ lập tức cài một phần mềm rootkit lên máy tính đó và chuyển thông tin địa chỉ IP ngược về cho Sony. Chương trình bị chỉ trích là phần mềm gián điệp này cũng tạo ra các lỗ hổng an ninh bảo mật trên máy tính và làm tăng thêm khả năng bị lây nhiễm virus và các loại “sâu” nguy hại khác trên máy người dùng. Sony bị lên án rất nặng nề. Hãng phải thu hồi các đĩa CD này đồng thời phát hành công cụ gỡ bỏ phần mềm rootkit cho khách hàng. Công ty cũng phải ra tòa giải quyết vụ này ở Texas, New York và California. Ủy ban Thương mại Liên bang Mỹ đã tuyên phạt Sony phải bồi thường 150 USD cho mỗi người dùng có máy tính bị hư hại bởi phần mềm rootkit nói trên.
2. Giả gái tìm "tình" trên Craigslist
Vào tháng 2 năm 2006, nhà phát triển web Jason Fortuny ở Seattle giả làm một phụ nữ cần thỏa mãn "chuyện ấy" trên trang rao vặt trực tuyến Craigslist để xem thử phản ứng của cộng đồng như thế nào trong vòng một ngày. Fortuny đã nhận được 178 phản hồi có kèm ảnh, địa chỉ e-mail và số điện thoại của những người trả lời các thông tin mà mẩu quảng cáo của anh ta yêu cầu. Sau đó Fortuny cho đăng tải toàn bộ các phản hồi này lên trang web Encyclopedia Dramatica. Vụ tai tiếng này thu hút được sự quan tâm đặc biệt của giới truyền thông, trong đó có AP và MSNBC. Sau đó Fortuny bị một cá nhân ẩn danh khởi kiện tại Illinois. Tháng 5/2009, Fortuny thắng kiện và được bồi thường 75.000 USD.
3. Rò rỉ kết quả tìm kiếm trên AOL Search
Tháng 8 năm 2006, AOL công bố một tài liệu có chứa 20 triệu từ khóa tìm kiếm được 650.000 người dùng sử dụng trong khoảng thời gian 3 tháng. Tài liệu này lẽ ra phải ở dạng vô danh và chỉ phục vụ cho công tác nghiên cứu. Song có quá nhiều thông tin cá nhân của người dùng trong các kết quả tìm kiếm khiến cho việc xác định “ai-tìm-gì” khá dễ dàng. Sau đó AOL thừa nhận đây là một sự nhầm lẫn và gỡ tài liệu đó xuống khỏi website sau đó 3 ngày. Nhưng chừng ấy đã đủ để các dữ liệu này được sao chép và phát tán tràn lan trên Internet. Giám đốc phụ trách công nghệ (CTO) của AOL đã phải từ chức. Tháng 9 cùng năm, AOL phải đối mặt với một số vụ kiện đòi bồi thường 5.000 USD cho mỗi người dùng trong danh sách bị rò rỉ này.
4. Google Street View phát tán hình ảnh đời tư
Google đã thêm tính năng quan sát đường phố (Street View) vào dịch vụ bản đồ Google Maps của hãng vào tháng 5/2007 và ngay lập tức gây ra một trận chiến tranh cãi về quyền riêng tư, các án phạt bồi thường và đối mặt với các cuộc kiểm tra chưa từng có tiền lệ trong quá khứ. Google Street View cung cấp các hình ảnh góc rộng được các webcam gắn trên xe của Google thu thập tự động. Nó đã gây ra những lo ngại về quyền riêng tư khi đưa ra các hình ảnh mang nặng tính đời tư thuộc nhiều phương diện khác nhau trong cuộc sống.
5. Phơi bày thông tin 10.000 tài khoản Hotmail
Một trong những vụ tai tiếng nhất trong bảo mật thông tin người dùng có dính dáng tới lỗi rò rỉ của dịch vụ e-mail miễn phí Hotmail của Microsoft. Microsoft cho biết họ đã phát hiện thông tin cá nhân chi tiết của 10.000 tài khoản thư điện tử Hotmail bị phát tán trên trang www.pastebin.com, các tài khoản này bị lộ chủ yếu do mắc bẫy các âm mưu lừa đảo trên mạng (phishing). Sau đó Microsoft khuyến cáo các chủ nhân e-mail có đuôi @hotmail.com, @msn.com và @live.com nên thường xuyên đổi mật khẩu truy cập sau mỗi 90 ngày sử dụng.
6. Dùng webcam chụp trộm 56.000 ảnh học sinh
Một trường trung học cấp quận ở Pennsylvania đã phải trả giá vì vi phạm quyền riêng tư đối với học sinh khi bí mật sử dụng một chương trình điều khiển webcam tích hợp trên vài ngàn máy tính xách tay Apple phát cho học sinh. Trường này thừa nhận có thu thập được hơn 56.000 bức ảnh và các ảnh chụp màn hình khác nhau từ phần mềm điều khiển webcam này. Các bức ảnh được âm thầm thu nhận mà học sinh không hề biết, bao gồm cả những bức ảnh trong phòng ngủ và các giai đoạn thay đồ khác nhau. Vào tháng 4 năm 2010, học sinh năm thứ hai Blake Robbins đã quyết định khởi kiện trường Lower Merion School District về việc xâm phạm các quyền riêng tư. Tháng 10/2010, trường này đã chấp nhận trả 610.000 USD để dàn xếp vụ kiện.
7. Ứng dụng Facebook "bán đứng" dữ liệu người dùng
Mạng xã hội này luôn bị “săm soi” về các vấn đề liên quan tới bảo mật thông tin người dùng từ nhiều năm qua. Vụ việc nghiêm trọng nhất liên quan xảy ra vào tháng 10/2010 khi Facebook thừa nhận các ứng dụng nằm trong nhóm 10 ứng dụng được sử dụng nhiều nhất trên Facebook (trong đó có FarmVille và Texas Hold`em) có chia sẻ dữ liệu người dùng (tên, danh sách bạn bè) cho các công ty quảng cáo chuyên nghiệp. Một cuộc điều tra của Wall Street Journal cho thấy khoảng 10 triệu nguời dùng đã bị ảnh hưởng bởi việc này, bao gồm cả những thành viên Facebook có thiết lập chế độ riêng tư ở mức cao nhất. Trước đó Facebook cũng đã gặp phải rắc rối khi cung cấp cá thông tin người dùng cho các nhà quảng cáo mỗi khi nguời dùng nhấn vào quảng cáo đặt trên mạng xã hội này. Tới tháng 11 năm ngoái, Facebook đã giải quyết xong vụ việc với FTC (Ủy Ban Thương Mại Liên bang Mỹ) và chấp nhận việc bị giám sát bởi bên thứ 3 trong vòng 20 năm.
8. Dữ liệu y tế của hàng triệu khách hàng bị đánh cắp
Tháng 3/2011, công ty bảo hiểm HealthNet có trụ sở ở California bị thất thoát dữ liệu của khoảng 2 triệu khách hàng bao gồm cả các thông tin quan trọng như tên tuổi, địa chỉ, số an sinh xã hội cùng các dữ liệu liên quan đến tình trạng y tế và tài chính. Dữ liệu này không được mã hóa và bị mất cắp tại trung tâm dữ liệu của nhà thầu cung cấp dịch vụ lưu trữ thông tin IBM. Việc này đã khiến cho HealthNet và IBM phải hứng chịu các vụ kiện diễn ra trên phạm vi toàn nước Mỹ. Đáng nói hơn, đây là vụ thất thoát dữ liệu lớn thứ hai của HealthNet chỉ trong vòng 2 năm (vụ trước xảy ra vào năm 2009, khoảng 1,5 triệu khách hàng đã bị rò rỉ các thông tin tương tự). HealthNet không phải là công ty bảo hiểm y tế duy nhất bị rò rỉ thông tin khách hàng. Cục Y tế & Con Người Mỹ thông báo trong vòng 2 năm trở lại đây, có khoảng 11 triệu hồ sơ khách hàng trong lĩnh vực này đã bị phát tán trên internet.
9. Thu thập dữ liệu hành vi lướt web bất hợp pháp
Một trong những mối lo ngại về bảo mật thông tin cá nhân là việc các dịch vụ quảng cáo trực tuyến thu thập dữ liệu hành vi lướt web của người dùng một cách phi pháp. Các dịch vụ này thường lập hồ sơ lưu giữ hành vi truy cập web dựa trên dữ liệu nặc danh trên máy tính của người dùng để sau đó phân loại và tiến hành gửi các quảng cáo phù hợp. năm 2009, FTC đã đưa vào luật yêu cầu các nhà quảng cáo phải bắt buộc có tùy chọn cho người dùng về việc có chấp nhận việc thu thập dữ liệu này hay không. Tháng 3/2011, FTC xử vụ đầu tiên đối với mạng lưới quảng cáo Chitika, công ty này sau đó đổ lỗi cho việc lập trình khi nhầm lẫn thời gian hiển thị tùy chọn cho người dùng là 10 ngày thay vì 10 năm theo luật định.
10. iPhone ngầm theo dõi chủ nhân
Apple cũng gặp nhiều phiền toái với việc iPhone và iPad thu thập và lưu trữ dữ liệu địa lí của người dùng và sau đó cố CEO Steve Jobs đã phải đích thân nói lời xin lỗi. Jobs đã thừa nhận sự sai trái trong việc xử lí thông tin về vị trí người dùng này sau khi các nhà nghiên cứu bảo mật phát hiện ra tài liệu không được mã hóa trong các thiết bị Apple kể trên có lưu trữ các thông tin về vị trí thiết bị trong 12 tháng sử dụng gần nhất. Jobs nhấn mạnh Apple không bao giờ theo dõi khách hàng. Ông phát biểu: "Không. Không bao giờ” khi trả lời trước các chất vấn từ nghị viện cũng như các cơ quan hữu quan khác. Apple đã cung cấp các bản cập nhật phần mềm miễn phí để người dùng có thể sửa chữa lỗi này.
Nhưng đây không phải là vụ đầu tiên về việc ghi lại dữ liệu về tin thông vị trí qua các điểm Wi-Fi có trong lộ trình di chuyển của người dùng. Google và Microsoft cũng đã thừa nhận họ có ghi lại các dữ liệu tương tự từ các thiết bị di động cài đặt hệ điều hành của họ.
11. Mạng PlayStation Network của Sony bị đột nhập
Tháng 4/2011, Sony thông báo đã bị các tin tặc đột nhập và lấy đi dữ liệu của 77 triệu thành viên của mạng PlayStation Network. Mặc dù đây chỉ là mạng dành cho các thành viên sở hữu máy chơi game Playstation của Sony, song các vấn đề liên quan đến an toàn thông tin cá nhân của người dùng vẫn rất nghiêm trọng vì chúng bao gồm các thông tin thật về tên, địa chỉ, e-mail, ngày sinh của rất nhiều người dùng. Sony cho biết hiện vẫn chưa rõ các dữ liệu liên quan tới thẻ tín dụng có bị ảnh hưởng hay không và cảnh báo mọi khách hàng cẩn trọng về mọi giao dịch bất thường xảy ra. Các chuyên gia bảo mật nhận định rằng vụ rò rỉ dữ liệu cá nhân của Sony là một trong những vụ lớn nhất trong lịch sử an ninh mạng. Sony ước tính hãng sẽ thiệt hại khoảng 171 triệu USD để giải quyết hậu quả vụ việc bao gồm việc tái thiết hệ thống máy tính cũng như mua các dịch vụ bảo mật tài chính cho người dùng thành viên.
12. Disney vi phạm luật về dữ liệu trẻ em
Theo Luật Bảo bệ thông tin cá nhân trẻ em trực tuyến của Mỹ (COPPA), các trang web cung cấp nội dung hoặc bán hàng cho trẻ em phải luôn có sự chấp thuận của phụ huynh. Tháng 5/2011 công ty Playdom, Inc. của Disney đã có “vinh dự” được nhận án phạt cao nhất do vi phạm COPPA, khoản tiền phạt lên tới 3 triệu USD do việc thu thập và chia sẻ các thông tin cá nhân của hàng trăm ngàn trẻ em mà không có sự đồng ý của cha mẹ chúng. Công ty Playdom điều hành trang web nổi tiếng Pony Stars đã thu thập các thông tin về độ tuổi, địa chỉ e-mail, cho phép bọn trẻ tự đăng tải các thông tin khác như tên thật và vị trí đăng nhập. Một vài đơn vị khác cũng từng vi phạm luật COPPA như Xanga.com và công ty phát triển ứng dụng di động Broken Thumbs.
13. Carrier IQ bí mật thu thập thông tin trên điện thoại
Năm 2011 khép lại với vụ ầm ĩ xung quanh Carrier IQ, công ty bán phần mềm phân tích thông tin trên thiết bị di động. Một nhà phân tích hệ thống nghiệp dư đã phát hiện ra chiếc điện thoại thông minh của mình đang bí mật thu thập các thông tin về thời lượng pin, các thông tin kết nối, tin nhắn, e-mail và nhiều hành vi khác.
Tiếp theo đó là một lọat cáo buộc dành cho Carrier IQ và các nhà mạng khách hàng của nó về việc cài đặt phần mềm gián điệp theo dõi người dùng. Sau những lùm xùm và kiện cáo, Carrier IQ chứng minh được phần mềm của mình chỉ đơn giản thu thập thông tin về tình trạng sử dụng của thiết bị để góp phần giúp các nhà mạng tối ưu chất lượng dịch vụ phục vụ người dùng. Tuy nhiên, Apple, Sprint và HTC cũng đã thông báo chấm dứt sự hiện diện của phần mềm Carrier IQ trên các thiết bị của mình.
14. GM bán thông tin lộ trình phương tiện
General Motors (GM) cũng gặp rắc rối về quyền riêng tư với dịch vụ GPS OnStar. Dịch vụ này cho phép theo dõi lộ trình xe ngay cả khi chủ xe đã ngưng sử dụng dịch vụ. GM đã phải thay đổi chính sách bảo mật riêng tư của dịch vụ OnStar này vào tháng 12 năm ngoái, nhấn mạnh việc hãng có quyền chia sẻ các dữ liệu thu thập được: bao gồm tốc độ, vị trí xe, tình trạng sử dụng đai an toàn và túi khí… với các công ty khác. Điều này áp dụng cả với những khách hàng đã ngừng sử dụng dịch vụ OnStar trừ khi họ tắt thiết bị kết nối GPS cho phép gửi nhận thông tin 2 chiều. GM nói rằng các dữ liệu này khi bán/chuyển giao sẽ ở dạng nặc danh. Tuy vậy, việc theo dõi phương tiện từ vệ tinh rồi lưu trữ thông tin lại vẫn tiếp tục gây ra những mối quan ngại đáng kể về việc bảo mật quyền riêng tư.
15. Đột nhập hộp thư thoại lấy tư liệu viết báo
Một trong những vụ tai tiếng ầm ĩ nhất, nghiêm trọng nhất trong lĩnh vực xâm phạm quyền riêng tư là vụ việc liên quan tới tập đoàn truyền thông News Corps, cụ thể là tuần báo News of the World tại Anh. Tuần báo này đã ủng hộ cho việc đột nhập vào các hộp thư thoại trên điện thoại di động của các chính trị gia, ngôi sao giải trí, nạn nhân các vụ án nhằm cung cấp thông tin cho các bài viết trên ấn phẩm của mình. Hiện các cuộc điều tra liên quan tới hành vi phi pháp này vẫn tiếp tục và đã làm cho một số quan chức lãnh đạo của tập đoàn truyền thông này phải từ chức, còn ông chủ RuPert Murdoch phải ra hầu tòa. Điều đáng nói là các phóng viên của tuần báo này đột nhập các hộp thư thoại chủ yếu bằng mã bảo mật thông tin cá nhân (PIN) mặc định được các nhà sản xuất cài sẵn trên điện thoại khi xuất xưởng.
