Cám dỗ đối với các nhà phát triển tiện ích mở rộng Chrome mã nguồn mở
(github.com/extesy)- Người bảo trì Hover Zoom+ đã công khai các đề nghị kiếm tiền và mua lại mà tiện ích nhận được từ năm 2015 đến 2026, đồng thời cho biết ông luôn từ chối để không bán người dùng
- Các đề nghị lặp đi lặp lại theo những cách biến quyền của trình duyệt và tệp người dùng thành tiền, như bán dữ liệu người dùng ẩn danh, kiếm tiền từ lưu lượng tìm kiếm, chèn liên kết affiliate, hiển thị quảng cáo·coupon, cài SDK, hoặc mua lại tiện ích mở rộng
- Các bản đề xuất nhấn mạnh những cụm như “ẩn danh”, “không có thông tin cá nhân”, “không ảnh hưởng UX”, “tuân thủ chính sách Google”, nhưng vẫn yêu cầu dữ liệu hành vi như lỗi DNS, GEO, DAU/MAU, URL, referrer, browsing behavior, clickstream, truy vấn tìm kiếm
- Người bảo trì giải thích rằng Hover Zoom+ có khoảng 400.000 người dùng trên nhiều trình duyệt và hoạt động trên mọi trang, nên tạo ra bề mặt tấn công lớn và khả năng sinh lợi cao cho các tác nhân độc hại
- Trong phần bình luận, các biện pháp thực tế để giảm rủi ro từ tiện ích mở rộng được nêu ra gồm kiểm tra mã nguồn, rà soát danh sách quyền, xem tab privacy practices trên Chrome Web Store, đọc đánh giá gần đây, kiểm tra network request, và giới hạn Site Access ở chế độ “On Click”
Mối lo ngại mà người bảo trì công khai
- Người bảo trì Hover Zoom+ cho biết trong nhiều năm đã nhận được rất nhiều đề nghị kiếm tiền từ tiện ích, và nói rằng ông “phát hành công khai vì vui, chứ không phải vì lợi nhuận”
- Ông giải thích lý do lớn nhất để tiếp tục tự bảo trì là vì khó có thể tin tưởng rằng nếu giao cho người khác, họ sẽ không bị những đề nghị như vậy cám dỗ
- Bản thân ông nói mình có một công việc được trả công đủ tốt nên có thể giữ được “la bàn đạo đức” và bỏ qua các đề nghị đó
- Ông cũng nói không phải nhà phát triển nào cũng có sự ổn định tài chính như vậy, nên hy vọng chuỗi thảo luận này cho thấy áp lực tiền bạc mà các nhà phát triển tiện ích mở rộng phải đối mặt
Các kiểu đề nghị kiếm tiền lặp đi lặp lại
- Nhiều đề nghị tiếp cận với lập luận rằng tệp người dùng của Hover Zoom+ trên Chrome Web Store có thể tạo ra “doanh thu đáng kể”
- Các cách lặp lại nhiều lần gồm:
- Thu thập dữ liệu người dùng ẩn danh rồi bán cho quảng cáo nhắm mục tiêu, nghiên cứu thị trường, business intelligence, hoặc dưới dạng dữ liệu clickstream
- Thêm Bing, Yahoo, Google Search hoặc search lander/feed để chia doanh thu từ truy vấn tìm kiếm và lượt nhấp quảng cáo
- Chèn store logo, affiliate link, hoặc liên kết “Sponsored” vào kết quả tìm kiếm tự nhiên để nhận hoa hồng khi có mua hàng
- Chèn các định dạng quảng cáo như coupon, cashback, PopUnder, in-text, new tab, search injection, in-image monetization
- Thêm SDK hoặc vài dòng JS để tích hợp chức năng thu thập dữ liệu hay hiển thị quảng cáo vào tiện ích
- Đề nghị mua lại chính tiện ích hoặc chuyển quyền sở hữu Chrome extension mà không cần chuyển tài khoản Google
- Một số đề nghị còn nhấn mạnh việc kiếm tiền khó bị người dùng nhận ra, với các cụm như “soft to hard methods”, “invisible monetization methods”, “does not interfere with UX”
Dữ liệu và số tiền xuất hiện trong các đề nghị
- Một đề nghị năm 2015 nói rằng nếu không kiếm tiền từ anonymous user data thì có thể đang “bỏ lỡ rất nhiều tiền”, đồng thời nhắc đến các mạng quảng cáo được NAI và IAB phê duyệt
- Đề nghị nghiên cứu lỗi DNS năm 2016 yêu cầu các dữ liệu sau:
- NXD, tức các tên miền mà người dùng nhập nhưng không tồn tại
- Thời điểm xảy ra
- GEO
- ID người dùng ngẫu nhiên duy nhất mà họ khẳng định có thể băm và không thể dùng để theo dõi người dùng
- Từ sau năm 2020, các đề nghị liên tục nhắc đến những mục như GEO, số người dùng hoạt động hằng ngày/hằng tháng, phân loại sở thích, URL, referrer, country, timestamp, browsing behavior, clickstream, browser history
- Mức tiền được đưa ra rất đa dạng:
- Đề nghị mua tiện ích năm 2016: $14,500
- Đề nghị tích hợp analytics platform năm 2020: $2,000/tháng
- Đề nghị kiếm tiền từ tìm kiếm năm 2020: tuyên bố có thể đạt $9,000/ngày với 300.000 người dùng
- Đề nghị tích hợp data marketplace SDK năm 2021: $30,000/năm
- Đề nghị dữ liệu năm 2023: tối đa $20K/tháng
- Đề nghị hợp tác clickstream data năm 2024: $30,000~$40,000/tháng
- Đề nghị mua lại năm 2024: $30,000
- Đề nghị mua lại năm 2025: $0.05~$0.15 mỗi người dùng
- Cuối năm 2024, một đề nghị kiếm tiền bằng thuê bao đã đưa ví dụ rằng với tệp hơn 400.000 người dùng và giả định chuyển đổi 5%, mức $0.99/tháng sẽ cho khoảng $19,800/tháng, $4.99/tháng khoảng $99,800/tháng, và $9.99/tháng khoảng $199,800/tháng
Cách người bảo trì phản ứng và tiêu chí phán đoán
- Về lý do không công khai tên công ty, ông trả lời rằng một số công ty có thể giàu có và hoạt động hợp pháp, và ông không muốn chấp nhận rủi ro kiện tụng
- Ông giải thích rằng quảng cáo popup thì người dùng dễ nhận ra và dễ vô hiệu hóa tiện ích gây ra nó, còn các cách làm âm thầm có thể tồn tại lâu hơn
- Về telemetry, người bảo trì nói rằng từ góc nhìn người dùng thì đó là sự cân bằng giữa tính hữu ích và mức độ xâm phạm theo dõi, nhưng từ góc nhìn nhà phát triển thì không thêm bất kỳ cơ chế theo dõi nào là cách tốt nhất để tiếp cận tập người dùng rộng nhất và tránh tranh cãi về mức độ ẩn danh hóa
- Trước ý kiến cho rằng tên Hover Zoom+ dễ bị nhầm với Hover Zoom từng dính tranh cãi độc hại trong quá khứ, ông đáp rằng mục tiêu không phải là thu hút mọi người dùng; đã có hơn 300.000 người thấy nó có giá trị, và vì đây là tiện ích miễn phí, không doanh thu, ông sẽ không dành thời gian đổi tên hay chứng minh thêm
- Trong bình luận năm 2023, người bảo trì tóm tắt giá trị của Hover Zoom+ bằng hai điểm:
- Khoảng 400.000 người dùng trên tất cả trình duyệt
- Hoạt động trên mọi trang, không chỉ một website cụ thể
- Ông nói sự kết hợp của hai yếu tố này tạo ra bề mặt tấn công tiềm năng rất lớn với người dùng cuối, đồng thời đồng nghĩa với khả năng kiếm lợi lớn cho các tác nhân độc hại
Dấu hiệu cảnh báo rủi ro cho người dùng và nhà phát triển
- Một bình luận lưu ý rằng sau khi tiện ích bị mua lại, phiên bản kế tiếp có thể cài adware hoặc botnet script và vẫn hoạt động mà không cần hiện thêm cửa sổ xin quyền do đã có sẵn quyền cũ
- Một bình luận khác giải thích rằng một số đề nghị dữ liệu có thể liên quan đến việc bán dữ liệu người dùng cho mục đích AdTech/RTB, đồng thời dẫn liên kết đến tài liệu adtech của Privacy International
- Với đề nghị yêu cầu dữ liệu lỗi DNS, một bình luận diễn giải rằng mục đích có thể là chiếm các tên miền gõ sai phổ biến hoặc tên miền đã hết hạn để chặn hướng đi của người dùng
- Bình luận nhắc đến trường hợp The Great Suspender chỉ ra rằng một số thương vụ không nhắm đến cài SDK mà nhằm chuyển giao repository hoặc quyền sở hữu tiện ích
- Một trong các đề nghị năm 2026 nhắc đến quyền you.com, đọc nội dung trang, ghi lại keystroke, gửi dữ liệu ra máy chủ ngoài, truy cập session cookie, và thu thập browsing history, nhưng ghi chú của người bảo trì bổ sung rằng Hover Zoom+ không làm những việc đó, và ví dụ này chỉ cho thấy công ty kia muốn mua loại dữ liệu nào
Cách kiểm tra một tiện ích có bị kiếm tiền hóa hay không
- Người bảo trì nói cách đáng tin cậy nhất là đọc mã nguồn
- Ngoài ra, ông nêu ra các dấu hiệu để kiểm tra:
- Xem tab privacy practices trên Chrome Web Store để biết nhà phát triển có công khai rằng họ không thu thập hay sử dụng dữ liệu hay không
- Kiểm tra xem có public source hay không
- Kiểm tra danh sách quyền của tiện ích có yêu cầu những quyền đáng ngờ không phù hợp với chức năng hay không
- Xem các đánh giá người dùng gần đây có lặp lại một kiểu phàn nàn nào về hành vi của tiện ích hay không
- Tham khảo ước tính rủi ro từ các trang như chrome-stats
- Người bảo trì nói thêm rằng mọi dấu hiệu này đều có thể bị thao túng, nên chúng gần với việc xác định vấn đề hơn là “chứng minh vô tội”
- Một bình luận khác gợi ý rằng do Webpack và các công cụ tương tự có thể khiến việc đọc mã nguồn khó khăn, nên cách dễ hơn có thể là kiểm tra các network request mà tiện ích tạo ra
- Bình luận đó cũng khuyên nên kiểm tra cả các request từ background hoặc service worker, và giải thích rằng vì nhiều tiện ích chạy trên mọi trang nhiều hơn mức cần thiết, người dùng có thể giới hạn Site Access của Chrome thành “On Click”
Phản ứng của cộng đồng và thảo luận tiếp theo
- Nhiều bình luận ủng hộ việc người bảo trì không bán người dùng và công khai các đề nghị này
- Một người dùng nói rằng cả người dùng lẫn nhà phát triển tiện ích cần nhận thức nhiều hơn về những thực hành như vậy
- Người bảo trì đáp lại rằng tình hình xung quanh các tiện ích độc hại vốn đã đủ tệ, và nhiều người hơn cần biết điều đó
- Trước bình luận cho biết chủ đề này đã được đăng lên Hacker News, người bảo trì nói ông hy vọng điều đó sẽ truyền cảm hứng để các nhà phát triển khác dám “stand”
- Một nhà phát triển tiện ích khác cho biết bản thân họ cũng có 170.000 người dùng và đã nhận nhiều đề nghị tương tự; với tư cách một sinh viên nghèo thì đó là cám dỗ rất lớn, nhưng cuối cùng họ đã kiếm tiền theo những cách khác ít xâm phạm hơn
1 bình luận
Các ý kiến trên Hacker News
ChatGPT for Google từng đứng số 1 trên HN hồi đầu năm nay, nhưng nhìn kho GitHub hiện tại thì tiện ích mở rộng đó đã được bán rồi
Tôi cũng từng có một tiện ích mở rộng dự án phụ miễn phí với khoảng 25.000 lượt cài đặt, và nhận được khá nhiều liên hệ nói rằng “sẽ giúp kiếm tiền”
Vì vậy tôi thấy đáng để tổng hợp đủ loại con đường kiếm tiền đầy đáng ngờ: https://mattfrisbie.substack.com/p/the-ugly-business-of-mone...
Ngành công nghệ quảng cáo nói chung thật sự là một lĩnh vực đáng kinh tởm
Số tiền đó sẽ khiến vấn đề tiền đặt cọc mua nhà nhỏ đi rất nhiều
Luôn tốt khi nghĩ trước ranh giới đạo đức của mình nằm ở đâu
Rõ ràng phần lớn các đề nghị rác kiểu này đã được tự động hóa
Đại loại như: “Tôi là người hâm mộ [extension name], và thật sự thích việc nó tiện lợi và hữu ích đến mức nào.
Bạn đã cân nhắc cung cấp vị trí quảng bá cho những người muốn quảng cáo sản phẩm của họ trong tiện ích mở rộng chưa? Tôi muốn quảng bá tiện ích mở rộng của mình trong [extension name], và muốn thảo luận về khả năng này.
Nếu bạn quan tâm, xin hãy cho tôi biết.”
Nhân tiện, tiện ích mở rộng JSON Formatter [0] mà có lẽ vài người ở đây đang dùng là của tôi
Tôi tạo nó 12 năm trước, công bố mã nguồn mở, duy trì đến nay, và [1] hiện có 2 triệu người dùng
Tôi nghiêm túc thề rằng sẽ không bao giờ thêm mã gửi bất kỳ dữ liệu nào đi đâu cả, cũng sẽ không giao nó vào tay người sẽ làm chuyện đó
Tôi đã nhiều lần nhận được các đề nghị tiền mặt rất hấp dẫn từ những người đáng ngờ, có vẻ muốn đánh cắp dữ liệu của mọi người hoặc làm chuyện còn tệ hơn
Đôi khi tôi nghĩ lẽ ra mình không nên gắn tên mình vào đó. Nếu vậy có lẽ tôi đã có thể nhận tiền mà không làm tổn hại danh tiếng
Nhưng vì đã gắn tên mình, nên tôi chỉ còn cách giữ danh dự. Dù sao điểm tốt là tôi luôn có thể nói rằng mình chưa bao giờ bán đứng nó
[0] https://chrome.google.com/webstore/detail/json-formatter/bcj...
[1] Thành thật mà nói thì tôi cũng không tốn nhiều công sức lắm
Vì nó chỉ có một dòng nên hoàn toàn không có gì để thay đổi
Nhưng Chrome Web Store đã gỡ nó xuống sau hơn 5 năm, có lẽ vì tôi chưa từng phát hành bản cập nhật nào nên các trường nhập liệu về sau trở thành bắt buộc vẫn bị bỏ trống
Thật đáng kính khi bạn đã không bán đứng nó
Tôi tự hỏi liệu bạn có nghĩ đến việc bắt đầu công khai các lời đề nghị mua lại như tôi đang làm không
Rõ ràng bạn đang tạo ra giá trị cho thế giới, và theo quan niệm đạo đức của tôi, bạn phải có quyền thu lại một phần giá trị đó mà không cần làm điều gì đáng ngờ
Tôi là nhà sáng lập Streak, và chúng tôi trực tiếp kiếm tiền từ tiện ích mở rộng của mình, giống như Grammarly và những nơi khác
Tôi tò mò liệu bạn đã từng thử yêu cầu người dùng trả tiền trực tiếp cho công sức bạn bỏ ra chưa
Trong ngành này, có vẻ càng ngày càng khó duy trì ý thức đạo đức vững vàng
Hay là cứ lặng lẽ nhét thêm vào
Ít nhất tôi muốn thấy một thông báo bật lên có thể đóng vai trò tín hiệu cảnh báo
Tôi là người bảo trì
Tiện ích mở rộng của tôi trên thực tế gần như không thể kiếm tiền, nên bất kỳ đề nghị nào tôi nhận được cũng đều đòi hỏi một mức hy sinh đạo đức nào đó
Đề nghị ít xâm phạm nhất tôi từng thấy cho đến nay là đặt trong tiện ích của tôi một liên kết chéo dẫn sang tiện ích mở rộng khác, tương tự như việc DarkReader làm trên website của họ
Dù không xâm phạm dữ liệu người dùng, lý do tôi không làm là vì như vậy chẳng khác nào gián tiếp bảo chứng cho tiện ích mở rộng kia, trong khi tôi không kiểm soát được họ xử lý dữ liệu người dùng ra sao
Nếu chuyện này lan rộng, nó sẽ giúp phá vỡ nhận thức phổ biến nhưng ít được nói ra rằng “cuối cùng ai cũng bán đứng thôi”
Hiện tôi không dùng Chrome nữa, nhưng trước đây tôi thật sự thích Hover Zoom+, còn vợ tôi đến giờ vẫn dùng tốt
Đây là một tiện ích mở rộng tuyệt vời, và sau khi đọc bình luận này cùng issue GitHub được liên kết, tôi càng thấy yên tâm hơn
Khi đó tôi đã chuyển sang imagus và quen với nó
Dù sao cũng cảm ơn vì đã từ chối các nỗ lực kiếm tiền
Tôi không biết lời giải cho vấn đề này, nhưng tôi biết vài công ty hợp pháp, đáng tin cậy, vừa thực sự kiếm tiền từ người dùng bằng tiền thật, vừa bán dữ liệu người dùng với giá khoảng 20 bảng mỗi năm
Tôi sẽ không bao giờ làm vậy vì xâm phạm quyền riêng tư đi ngược lại cốt lõi niềm tin của tôi, nhưng ở đây có một xung đột chưa được giải quyết
Một mặt, tôi biết rằng đại đa số người dùng thà bán quyền riêng tư của mình còn hơn trả dù chỉ một xu
Họ lúc nào cũng sẵn sàng bấm nút “bán dữ liệu của tôi” hơn là nút “trả tiền”
Tôi có thể nói mình biết điều đó vì đã tiếp xúc với đủ nhiều người dùng
Nhiều người dùng sẽ làm ầm lên nếu không được miễn phí, nhưng lại chẳng mất ngủ vì chuyện giao nộp thông tin cá nhân
Tất nhiên, tôi đang nói về đa số nói chung
Mặt khác, tôi muốn internet trở thành một nơi mà những kẻ vô lương tâm không thể phát triển mạnh
Trong thế giới thực, hầu hết mọi người không kỳ vọng nhận được thứ gì đó miễn phí, vậy tại sao internet lại phải khác
Tại sao tất cả mọi người, kể cả chính tôi, luôn tìm kiếm đồ miễn phí trên internet
Tệ nhất là cuối cùng, những chủ thể duy nhất sẵn sàng chi tiền online lại là kẻ trộm dữ liệu và nhà quảng cáo
Những người còn lại thì đang bán linh hồn của mình
Các nhà phát triển bị kỳ vọng phải làm việc miễn phí để toàn bộ cấu trúc này tiếp tục tồn tại
Hơn nữa, cách gọi “dữ liệu” cũng mơ hồ đối với người dùng thông thường
Các quy định như ở EU và California nên buộc phải làm đúng điều này
Nếu đưa ra lựa chọn kiểu “Đây là các dữ liệu chúng tôi có về bạn: bao gồm các sản phẩm từ việc theo dõi rùng rợn a,b,c,d... Nếu bạn cho phép chúng tôi xâm phạm quyền riêng tư của bạn theo nhiều cách, chúng tôi sẽ tặng miễn phí món đồ lặt vặt nhỏ này. Hoặc bạn trả x đồng”, thì bao nhiêu người sẽ chọn bị xâm phạm quyền riêng tư
Một phần đáng kể của internet, dưới hình thức nào đó, là giao tiếp
Trong thế giới thực, nhiều hình thức giao tiếp cũng là miễn phí
Tôi lại thắc mắc vì sao mọi người mặc định internet là một nền tảng để làm giàu bằng cách bán đồ trang sức lặt vặt cho những thổ dân thiếu hiểu biết
Có những thứ có lẽ sẽ tốt hơn nếu được vận hành phi lợi nhuận
Firefox dường như đã có thứ như vậy rồi (https://mzl.la/3Acn4DU)
Tôi không biết đơn vị kiểm toán nào dành cho tiện ích mở rộng Chrome
Chỉ cần để một tổ chức hoặc nhóm đáng tin cậy như Google hay Mozilla kiểm toán các tiện ích mở rộng và “chứng nhận” rằng chúng không có mã độc
Ngoài ra, tiện ích mở rộng phải là mã nguồn mở 100%, và nếu tổ chức đáng tin cậy bị xâm nhập hoặc làm không tốt, cuối cùng chuyện đó cũng sẽ lộ ra và mọi người sẽ ngừng sử dụng
Tất nhiên không hoàn hảo
Adware có thể bị che giấu cả với bên kiểm toán, hoặc bên kiểm toán bị xâm nhập mà không ai hay biết
Tiện ích mở rộng càng có nhiều mã phức tạp thì càng tốn kém và mất thời gian, nên cả những tiện ích mở rộng phổ biến không có vấn đề gì cũng có thể không được chứng nhận
Các thay đổi cũng luôn phải được kiểm toán, khiến cập nhật bị chậm và bị kìm lại
Vấn đề cuối cùng dễ bị bỏ qua là bên kiểm toán có thể thiên vị khi phê duyệt một tiện ích mở rộng nào đó, chẳng hạn phía trả tiền
Nếu mã quá khó đọc hoặc đang ở phía sau hàng đợi xét duyệt thì có thể không được phê duyệt, mà tiêu chí “quá khó đọc” và vị trí trong hàng đợi lại dễ bị tiền bạc tác động
Dù vậy, tiện ích mở rộng web là loại phần mềm phù hợp để kiểm toán hơn so với các ứng dụng khác
Nhìn chung chúng nhỏ và đơn giản hơn nhiều, cần ít người dùng hơn, và hoạt động trong một phạm vi có mức độ tin cậy rất cao: toàn bộ hoạt động duyệt web, bao gồm cả ngân hàng và các trang nhạy cảm
So với ứng dụng điện thoại được sandbox hoặc chương trình user-mode trên máy tính, thiệt hại vẫn có, nhưng nhỏ hơn nhiều
Khi thanh toán thứ gì đó, đằng nào bạn cũng phải giao thông tin định danh
Trao đổi giá trị rõ ràng đang nghiêng về một phía, nhưng nếu để có được X mà bạn vừa phải chia sẻ danh tính vừa phải trả tiền, thì bạn vừa mất tiền vừa chia sẻ danh tính
Nếu chia sẻ danh tính và nhận X miễn phí, ít nhất bạn không mất tiền
Trong thực tế, bạn thường đứng giữa lựa chọn: dù trả tiền vẫn bị bán dữ liệu, còn dùng miễn phí thì bị bán dữ liệu rất nhiều
Phần lớn dịch vụ trả phí cũng ghi trong chính sách quyền riêng tư, điều khoản và thỏa thuận người dùng cách họ bán dữ liệu hệt như vậy
Trường hợp tốt nhất, bạn chỉ có thể hy vọng rằng vì ít desperate hơn về dòng tiền nên họ sẽ chọn lọc hơn một chút về đối tượng bán dữ liệu
Nhưng tác động lên người dùng lại lớn hơn
Giờ họ có thẻ tín dụng, địa chỉ, tên thật, số điện thoại, và tất cả những thứ này đều dễ bị hack và rò rỉ
Vì khó giả mạo các thông tin này hơn so với tài khoản miễn phí, dữ liệu được thu thập có giá trị hơn, và cám dỗ cũng lớn hơn tương ứng
Hơn nữa, dịch vụ trả phí có hệ thống đăng ký thuê bao thù địch với người tiêu dùng đầy rẫy dark pattern
Nếu không thích và muốn hủy thì phiền phức một cách vô ích, ngay cả dùng thử miễn phí cũng yêu cầu thẻ tín dụng
Tính minh bạch về việc tiền thực sự được dùng vào đâu cũng rất thấp
Nhiều dịch vụ vận hành trong tình trạng thua lỗ, phí khách hàng chỉ là vỏ bọc, còn tiền thật đến từ nhà đầu tư
Với một số công ty, mô hình trả phí gần như chỉ là ngụy trang, còn lối thoát thực sự có thể là thu thập dữ liệu trong vài năm rồi được một công ty tổng hợp dữ liệu mua lại
Ở phía ngược lại cũng có những người câu khách nhẹ dạ bằng mức giá bị thổi phồng vô lý
Vì những lý do này, lựa chọn trả tiền đã bị vấy bẩn bởi sự thiếu tin tưởng, chứ không chỉ vì người tiêu dùng keo kiệt và có tâm lý đòi quyền lợi
Sự thiếu tin tưởng có thể nhanh chóng làm bất kỳ thị trường nào đình trệ
Dù vậy, tôi không trách ngành này quá nhiều
Như California năm 1848, khó mà trách người nhặt vàng nằm la liệt ngoài kia
Vấn đề thật sự là thiếu công cụ, hạ tầng và khung pháp lý cho phép người dùng thấy và kiểm soát cách dữ liệu của họ được sử dụng
Nếu mọi người thật sự muốn bán dữ liệu của mình thay vì thanh toán, thì cứ để họ làm vậy
Nhưng hiện tại, phần lớn người dùng không biết chính xác dữ liệu nào đang được thu thập, giá trị của nó là bao nhiêu
Họ không ở trong trạng thái có thể quyết định hợp lý rằng mua ứng dụng 5 đô la sẽ tốt hơn bị khai thác dữ liệu trị giá 20 đô la
Điều gây khó chịu là khi các ứng dụng che giấu việc kiếm tiền từ dữ liệu, biến nó thành bắt buộc, hoặc không cung cấp cách sử dụng dịch vụ nếu không đồng ý
Đặc biệt tệ hơn nữa là những dịch vụ thậm chí không cho phép chọn không tham gia
Ví dụ, nơi tôi làm việc vừa mới áp dụng dịch vụ “The Work Number” của Equifax, nên dù tôi có tạo tài khoản hay không thì dữ liệu của tôi cũng đã nằm ở đó rồi
Tệ hơn nữa là nếu tôi không tạo tài khoản, vẫn còn khả năng ai đó sẽ cố tạo tài khoản để thu thập thêm thông tin bất chấp ý muốn của tôi
Dù mọi người chọn làm gì với dữ liệu của chính họ, tôi không cảm thấy có nghĩa vụ đạo đức phải áp đặt quan điểm của mình
Nếu họ thật sự đồng ý và muốn tiết kiệm 20 đô la, hoặc số tiền tương ứng với giá trị của dữ liệu đó trong ứng dụng, thì việc tôi tước đi lựa chọn của họ chỉ vì tôi không đồng ý với cách họ xử lý thông tin riêng tư cũng chẳng khác mấy với việc áp đặt vì cùng lý do
Khác biệt quan trọng đối với tôi là liệu tôi có thu lợi từ đó hay không, nhưng nếu trong từng trường hợp người dùng đều có quyền lựa chọn, thì thật ra điều đó không quan trọng đối với cách người dùng cân nhắc tình huống
Nếu vận hành một website, bạn sẽ liên tục nhận được những email kiểu này
“Xin chào,
Tôi muốn hỏi liệu bên bạn có nhận bài guest post hoặc chèn liên kết vào các bài viết hiện có không. Nếu có thể, tôi muốn biết thêm về hướng dẫn và các chủ đề quan tâm.
Cảm ơn bạn đã dành thời gian. Tôi mong nhận được phản hồi.
Trân trọng.”
Những thứ này chắc chắn là spam hàng loạt. Trang của tôi thậm chí còn không có blog
Trang của tôi cũng có vài bản tải xuống phần mềm Windows, và thỉnh thoảng tôi cũng nhận được email đề nghị gói kèm trình cài đặt đáng ngờ
Phần lớn là các dịch vụ proxy dân cư muốn bán quyền truy cập vào kết nối Internet của người dùng
Chúng nhồi nhét quá nhiều ngữ cảnh khiến trông như người thật, cuối cùng làm lãng phí rất nhiều thời gian và nói thật là khá gây tổn thương
Chúng tôi dành nhiều thời gian để chia sẻ tài liệu, nên những kết nối giả tạo như vậy gây cảm giác rất khó chịu
Gần đây, chúng tôi nhận dồn dập các email kiểu “danh sách đề cử giải thưởng” do AI viết, với rất nhiều ngữ cảnh sâu
Kiểu như chỉ cần một khoản thanh toán dễ dàng là sẽ được cân nhắc làm ứng viên cho giải thưởng
Tuy nhiên chúng luôn quên điều chỉnh chủ đề rằng chúng tôi không vận hành dịch vụ bảo mật phần mềm mà làm về web scraping
Có lẽ AI sẽ giết chết việc trao đổi email giữa những người xa lạ
Càng ngày càng quá mệt mỏi
Chức danh gắn ở cuối thật buồn cười
“Tiêu đề: Tôi đã phát hiện một lỗ hổng bảo mật trên website của bạn.
Xin chào đội ngũ,
Tôi là Harris, một nhà nghiên cứu bảo mật, và tôi đã phát hiện một lỗ hổng bảo mật trên website của bạn ngoài chương trình bug bounty.
Tôi có thể tiết lộ tất cả các lỗ hổng đã phát hiện cùng cách khắc phục phù hợp để giúp website của bạn an toàn hơn.
Các công ty tôi từng giúp đỡ luôn rất hào phóng và đã thưởng cho tôi số tiền mà họ cho là phù hợp với vấn đề tôi phát hiện. Nếu bạn đánh giá cao sự hỗ trợ của tôi, tôi sẽ rất vui nếu được nhận khoản thưởng qua PayPal, Bitcoin, Payoneer hoặc chuyển khoản ngân hàng.
Mong nhận được phản hồi tích cực.
Trân trọng,
Harris A
Certified Ethical Hacker”
Các nhà vận hành TOR biết rủi ro của việc chia sẻ kết nối, đặc biệt là nguy cơ những kẻ ấu dâm dùng dịch vụ đó để chia sẻ CSAM
Nhưng người bình thường thì không biết
Hoàn toàn không biết cho đến một ngày bị bắt
Tôi cũng nhận những email như vậy, nhưng vì đang vận hành site WordPress nên tôi từng chắc chắn rằng họ fingerprint website rồi chỉ gửi mail cho các site WordPress
Vì thế việc kiểm tra xem có thể che dấu fingerprint WordPress hay không từng nằm trong danh sách việc cần làm của tôi
Nhưng nghe nói thế này thì rõ ràng sẽ chẳng có mấy tác dụng
Nhìn lại thì lẽ ra tôi đã có thể nhận ra rằng những spammer này đơn giản là sẽ rải hàng loạt cho tất cả mọi người
Vấn đề gốc rễ ở đây là không có cách nào kiếm tiền một cách hợp pháp từ tiện ích mở rộng trình duyệt
Vì tiện ích mở rộng được thiết kế để đơn giản, rất khó bán tính năng premium, và thường cũng không có không gian riêng để đặt quảng cáo
https://developer.chrome.com/docs/webstore/money/
“Trong 11 năm kể từ khi ra mắt Chrome Web Store, web đã phát triển rất nhiều. Khi đó, chúng tôi muốn cung cấp cho các nhà phát triển một cách để kiếm tiền từ các mục trên Web Store. Nhưng kể từ đó, hệ sinh thái đã trưởng thành, và các nhà phát triển hiện có nhiều lựa chọn xử lý thanh toán có thể sử dụng.”
Những tác nhân độc hại gửi các email kiểu này thì sẵn sàng trả tiền cho giá trị mà dữ liệu người dùng mang lại cho họ
Hai con số này không liên quan gì đến nhau, và trong nhiều trường hợp giá trị của dữ liệu người dùng cao hơn nhiều so với giá trị của chức năng tiện ích mở rộng
Không có cách kiếm tiền nào có thể giải quyết vấn đề này
Vì hai khách hàng tiềm năng đó không mua cùng một sản phẩm
Phần lớn tiện ích mở rộng rất đơn giản và thật ra không cần cập nhật
Vậy mà cơ chế cập nhật lại hoàn toàn tự động trong im lặng và không có rollback
Tôi thậm chí không nghĩ ra Steam có kiểu cập nhật hung hăng đến mức này
Tôi vận hành một API cấp phép phần mềm, và có không ít khách hàng là tiện ích mở rộng trình duyệt với cơ sở người dùng khá ổn
Cũng như các kênh phân phối khác, cơ hội kiếm tiền vẫn tồn tại
Đề xuất này trông có vẻ vô hại, thậm chí có thể hữu ích, nên khá thú vị
Họ nói là giám sát lỗi DNS, không biết mình đang bỏ sót điều gì
“Có lẽ anh/chị thường nhận được các đề nghị kinh doanh, nên tôi xin đi thẳng vào vấn đề. Nội dung tôi đề xuất hơi khác một chút và hy vọng là thực sự có thể thú vị. Tôi nghĩ Hover Zoom+ là một lựa chọn thay thế tuyệt vời cho người anh em lớn hơn Hover Zoom, vốn đã mất sức hút trong vài tháng qua.
Chúng tôi đang thực hiện nghiên cứu về lỗi DNS và quan tâm đến một lượng nhỏ dữ liệu ẩn danh mà có thể được cung cấp thông qua tiện ích Chrome của anh/chị. Nghiên cứu của chúng tôi đã diễn ra trong nhiều năm và Google chưa từng nêu vấn đề.
Dữ liệu chúng tôi quan tâm về cơ bản chỉ là lỗi DNS:
Chỉ có vậy. Anh/chị có thể dùng script của chúng tôi, hoặc tự thu thập dữ liệu rồi gửi đến máy chủ FTP, API, v.v. Có nhiều cách thực hiện. Chúng tôi thanh toán theo tháng; số tiền phụ thuộc vào GEO của người dùng, nhưng sẽ ở mức vài nghìn đô la mỗi năm.
Liệu có đáng để trao đổi ngắn gọn không? Mong nhận được phản hồi từ anh/chị.
Cách đây không lâu chúng tôi đã liên hệ về nghiên cứu lỗi DNS mà công ty chúng tôi đang thực hiện. Hover Zoom+ sẽ là một phương tiện lý tưởng cho nghiên cứu của chúng tôi. Đổi lại, đây có thể trở thành một nguồn doanh thu mới vững chắc cho anh/chị.
Cách làm của chúng tôi đã tồn tại nhiều năm và chưa từng gặp vấn đề với Google. Chúng tôi thanh toán định kỳ hằng tháng. Với anh/chị, con số sẽ ở mức hàng chục nghìn đô la mỗi năm, tùy thuộc vào cơ sở người dùng và chất lượng dữ liệu.
Nếu anh/chị lo ngại việc nhúng script bên thứ ba, vẫn còn rất nhiều cách để thực hiện việc này.
Hãy cho tôi biết liệu có đáng để trao đổi ngắn gọn không.”
Ví dụ như các tên miền thường bị gõ sai
Không hẳn là bị cấm, nhưng vẫn hơi đáng ngờ
Họ xem những tên miền người dùng thường gõ sai và nhận phản hồi NX, rồi đăng ký chúng để hiển thị quảng cáo hoặc làm phishing, v.v.
Vì vậy, trong trường hợp tốt nhất thì vẫn có lợi ích kinh doanh nào đó, còn tệ nhất thì có thể là hành vi gây hại cho người dùng
Viết một script bề ngoài trông như làm một việc nhưng bí mật mang thêm thông tin khác đi không hề khó
Ví dụ viết một hàm băm tệ? Dễ như ăn kẹo
Luôn phải đi theo độ dốc của ATP
Nếu ngay cả một tiện ích có khoảng 300 nghìn người dùng cũng nhận nhiều đề nghị hung hăng như vậy, tôi tự hỏi các tiện ích đạt đến hàng triệu người dùng thì đề nghị sẽ dữ dội đến mức nào
Động lực trong hệ sinh thái tiện ích mở rộng trông hoàn toàn lệch lạc
Hộp thư chính thức của Ruffle cũng đầy những đề nghị như thế này
Số tiền được đề xuất cho một tiện ích miễn phí và là phần mềm tự do lớn đến mức tôi chỉ có thể nghĩ rằng người mua muốn nhét đầy mã độc vào đó, miễn là không bị Google hoặc Mozilla[0] chặn ngay lập tức
Cá nhân tôi cho rằng không nên cho phép chuyển quyền sở hữu tiện ích mở rộng nếu không có phê duyệt và thẩm tra trước về cơ cấu sở hữu mới
Một mục đăng ký mới không có đánh giá hay độ tin cậy, nên việc chuyển nhượng tiện ích hiện có nên cố ý bị làm khó hơn so với việc tạo một tiện ích mới
Là người đôi khi trực tiếp chịu nỗi khổ thực tế của các chính sách như vậy[1], tôi nói điều này dù biết việc vượt qua thủ tục quan liêu phiền phức đến mức nào
Chợ đen mua bán tiện ích mở rộng đáng ngờ đến khó tin và xem nhẹ niềm tin của người dùng quá mức
[0] Đáng tiếc là mục đăng ký AMO của chúng tôi đã bị gắn cờ là mã sinh bằng máy. Vì chúng tôi dùng Rust/WASM. Do đó, việc gửi tiện ích chỉ được chấp thuận khi Mozilla có thể tái tạo bản build của chúng tôi đến từng byte
[1] https://ruffle.rs/blog/2023/04/23/mozilla-extension-postmort...
Nhớ lại một kế hoạch bẩn thỉu tôi từng nghĩ ra hồi học cấp hai
Tôi đã đi đến bước 2 rồi quyết định dừng lại ở đó
Rất khó phân biệt hành vi nào là có chủ ý và hành vi nào không
Tôi nhớ nhiều năm trước từng tìm một plugin motd chỉ hiển thị thông báo khi kết nối vào máy chủ
Tôi tìm được một plugin đủ đơn giản, nhưng nó đang ping về nhà để kiểm tra cập nhật
Có thể nhà phát triển muốn thêm một tính năng hữu ích, nhưng phần hoài nghi trong tôi tin rằng họ muốn lấy địa chỉ IP của các máy chủ chạy plugin đó
Nó cũng có một lệnh debug không cần xác thực, có thể in ra nội dung của bất kỳ file motd nào trong thư mục
Nhưng do không escape chuỗi đúng cách, có thể dùng
../...để thoát khỏi thư mục và in ra bất kỳ file nàoTôi không biết tác giả có thực sự khai thác nó không, hay chỉ là một đứa 14 tuổi ngây thơ đang viết plugin đầu tay
Nếu họ định khai thác, tôi cũng không biết họ muốn in file nào, nhưng chắc chắn là rất đáng ngờ
Nhiều người đã có thể truy cập WorldEdit, chế độ sáng tạo, lệnh quản trị, v.v.
Không chỉ các máy chủ vô chính phủ cũ, cộng đồng mod Minecraft hiện nay cũng đang trải qua nhiều cuộc tấn công chuỗi cung ứng, lỗ hổng giải tuần tự hóa, v.v.