Khi bạn học dùng cáo buộc trọng tội để đe dọa
(miles.land)- Các sinh viên đã kiểm tra với thiện chí ứng dụng xã hội ẩn danh Fizz, vốn đang phổ biến trong khuôn viên Stanford, và phát hiện quyền truy cập đọc/ghi toàn bộ cơ sở dữ liệu cùng thông tin người dùng/bài đăng chưa được ẩn danh hóa
- Các nhà nghiên cứu đã gửi báo cáo công bố lỗ hổng và đề xuất khắc phục, đồng thời cũng đồng ý hoãn công bố để Fizz có thời gian sửa lỗi, nhưng phản hồi sau đó chuyển thành đe dọa pháp lý
- Fizz yêu cầu họ không công bố phát hiện, viện dẫn vi phạm luật tiểu bang và liên bang, trách nhiệm dân sự/hình sự, cùng khả năng bị 20 năm tù
- Các nhà nghiên cứu được Kurt Opsahl và Andrew Crocker của Electronic Frontier Foundation đại diện pháp lý miễn phí, nên không khuất phục trước yêu cầu im lặng
- Ngay cả với nghiên cứu bảo mật thiện chí, sẽ an toàn hơn nếu ghi lại mục đích, phạm vi và hành động; tránh lưu trữ/rò rỉ dữ liệu hoặc thao túng tài khoản; và không tự mình đối phó với các đe dọa pháp lý
Vấn đề bảo mật được phát hiện trong Fizz
- Ứng dụng mạng xã hội ẩn danh của startup sinh viên Stanford Fizz đang trở nên phổ biến trong khuôn viên, và ứng dụng này quảng bá bằng những cách diễn đạt gần như “100% secure”
- Vì đây là nơi người dùng đăng những câu chuyện nhạy cảm, các sinh viên quan tâm đến bảo mật muốn kiểm tra xem thông tin đó có thực sự an toàn hay không
- Chỉ trong vài giờ, họ đã có thể có quyền truy cập đọc/ghi toàn bộ vào cơ sở dữ liệu của Fizz
- Cơ sở dữ liệu lưu trữ thông tin người dùng và bài đăng
- Những thông tin đó chưa được ẩn danh hóa hoàn toàn
- Các nhà nghiên cứu kết luận rằng Fizz gần như không có cơ chế bảo vệ bảo mật
Từ công bố có trách nhiệm đến đe dọa pháp lý
- Các nhà nghiên cứu đã tổng hợp phát hiện thành báo cáo công bố lỗ hổng và gửi email cho Fizz
- Báo cáo bao gồm các vấn đề đã phát hiện và đề xuất khắc phục; họ cũng chủ động đồng ý không công khai trước một ngày hoãn công bố cụ thể để Fizz có thời gian sửa lỗi
- Ban đầu Fizz cảm ơn về báo cáo, trả lời rằng việc khắc phục vấn đề là ưu tiên hàng đầu, và gửi một số cập nhật trong vài tuần
- Sau đó thái độ thay đổi, và họ gửi cho các nhà nghiên cứu những lời đe dọa viện dẫn vi phạm luật tiểu bang/liên bang cùng trách nhiệm dân sự và hình sự
- Các đe dọa còn bao gồm cả khả năng bị 20 năm tù
- Trọng tâm là yêu cầu không công bố phát hiện
- Cấu trúc là nếu họ đồng ý im lặng thì Fizz sẽ không theo đuổi hành động pháp lý, với hạn trả lời là 5 ngày
- Các nhà nghiên cứu xem đây là nỗ lực dùng sự sợ hãi để buộc họ im lặng
Hỗ trợ pháp lý từ EFF và cách giải quyết
- Các nhà nghiên cứu đã nhờ mạng lưới của mình giúp đỡ, và chỉ trong vài ngày được kết nối với Kurt Opsahl và Andrew Crocker của Electronic Frontier Foundation
- Hai người đồng ý đại diện miễn phí cho các nhà nghiên cứu, và các nhà nghiên cứu giải thích cho luật sư về quá trình công bố cũng như các tài liệu liên quan
- Sau khi nhận tư vấn pháp lý, các nhà nghiên cứu quyết định không khuất phục trước những đe dọa của Fizz
- Kurt và Andrew soạn phản hồi gửi Fizz, và sau đó đội ngũ Fizz đề nghị gặp mặt
- Hai bên đã giải quyết tình hình một cách êm thấm, và các nhà nghiên cứu gây sức ép để Fizz chủ động công bố vấn đề cho người dùng
- Cuối cùng Fizz đã công bố vấn đề cho người dùng
Nguyên tắc mà nhà nghiên cứu bảo mật nên tuân thủ
- Cần duy trì nghiên cứu ở trạng thái chính đáng và được ghi chép đầy đủ
- Trước khi nghiên cứu, cần làm rõ mục đích và xác nhận rằng mình không vượt qua ranh giới đạo đức
- Các nhà nghiên cứu không lưu trữ hay làm rò rỉ dữ liệu có thể truy cập được
- Họ không thao túng tài khoản của người khác và không gây thiệt hại
- Họ ghi chép chi tiết mọi thao tác, điều này giúp ích cho việc viết báo cáo công bố lỗ hổng và ứng phó pháp lý
- Cần phản ứng bình tĩnh
- Ngay cả khi nhận đe dọa pháp lý, cần phản hồi một cách chuyên nghiệp
- Mục tiêu là giải quyết tình huống mà không làm vấn đề leo thang
- Trả lời email theo cảm xúc có thể làm tổn hại khả năng giải quyết êm thấm
-
Cần tìm luật sư
- Cố tự xử lý đe dọa pháp lý có thể là một sai lầm lớn
- Họ cho rằng Fizz đã kỳ vọng các nhà nghiên cứu sẽ ngây thơ khuất phục trước lời đe dọa
- Không phải ai cũng có thể được EFF đại diện miễn phí, nhưng nguồn lực dành cho các nhà nghiên cứu bảo mật thiện chí đang tăng lên, vì vậy nên tận dụng
1 bình luận
Ý kiến trên Hacker News
Tôi không phải luật sư, nhưng vì công việc nên có quan tâm đến vùng xám kỳ lạ của luật này; có vẻ luật sư nhân viên của EFF ở đây đã đưa ra một lập luận hơi gượng ép
Fizz là một ứng dụng client/server, có lẽ là webapp, và thứ các nhà nghiên cứu kiểm thử là phần mềm chạy trên máy chủ Fizz
Sau khi tìm thấy lỗ hổng, các nhà nghiên cứu đã dùng hoạt động cơ sở dữ liệu mà họ có được để tạo tài khoản quản trị, và họ chưa từng được phép thực hiện thử nghiệm này
Nếu các tình tiết này đúng, trừ khi có luật California nào đó mà tôi không biết — mà dù có thì cũng có vẻ vô nghĩa vì luật liên bang được ưu tiên — thì trái với lập luận trong phản hồi của EFF, tôi cho rằng họ đã vi phạm CFAA khá trực tiếp
Tuy vậy, có ít nhất ba yếu tố làm giảm rủi ro pháp lý: qua những gì được công bố và hành động sau đó, rõ ràng đây là nghiên cứu bảo mật thiện chí nên không phải mục tiêu hấp dẫn để truy tố; cũng không rõ có thiệt hại đáng kể nào hay không; và Fizz còn nhỏ, mới thành lập nên khả năng sự việc đi đến mức thuê công ty pháp chứng hoặc quyết toán với hãng bảo hiểm cũng có vẻ thấp
Ngoài ra, việc các luật sư của Fizz đe dọa truy tố hình sự để cố buộc các nhà nghiên cứu nhượng bộ những điều có giá trị, như EFF đã chỉ ra, là vi phạm quy tắc của đoàn luật sư bang
Có vẻ phe đúng đã thắng trong trường hợp này, nhưng tôi thận trọng với việc khái quát hóa quá nhiều bài học. Nếu đó không phải Fizz mà là tính năng xã hội của Dunder Mifflin Infinity, kết quả có thể đã tệ hơn nhiều
https://www.justice.gov/opa/pr/department-justice-announces-...
Quy mô “thiệt hại” nằm trong tay nạn nhân, tạo ra động cơ lệch lạc để một tổ chức quan liêu lớn tùy ý tiêu tốn nguồn lực — nhỏ đối với họ nhưng lớn về giá trị tuyệt đối — nhằm áp đặt hình phạt hà khắc lên một tác nhân không hoàn hảo đã làm họ mất mặt
Ngay cả khi các biện pháp như vậy nằm trong phạm vi chính đáng, việc chuyển chi phí đó sang người đã cho họ biết nhu cầu phải làm vậy cũng là không phù hợp. Nếu họ vận hành một dịch vụ công khai với lỗ hổng nghiêm trọng, thì bất kể người này có hành xử không đúng hay không, họ vẫn cần đánh giá khả năng ai đó khác đã khai thác nó
Nguyên nhân của chi phí đó là hành vi tự vận hành một dịch vụ dễ bị tấn công, và ngay cả nếu họ tự phát hiện ra lỗ hổng thì đó vẫn là chi phí lẽ ra phải gánh sau khi đã vận hành dịch vụ
Thiệt hại quy cho bị cáo nên được giới hạn ở thiệt hại thực tế do họ gây ra, chẳng hạn dùng quyền truy cập để lấy thông tin tài chính của khách hàng rồi thực hiện gian lận thẻ tín dụng
Nếu cấu hình ứng dụng tệ đến mức chỉ cần làm theo giao thức Firebase là đã có quyền ghi vào cơ sở dữ liệu, thì có thể dễ dàng lập luận rằng thực tế họ không vượt qua biện pháp bảo mật nào. Vì vốn dĩ chẳng có biện pháp bảo mật nào để vượt qua
Tôi nhớ đến vụ AT&T chỉ đơn giản đưa thông tin thuê bao dữ liệu iPad lên một trang web không được liệt kê. Tôi không nhớ kết quả, nhưng theo tôi biết khi đó bên liên quan đã cố thu thập tối đa dữ liệu có thể lấy được, nên khác với trường hợp này
Bài gốc có vẻ không có phần “mea culpa”; dù giọng bài viết có kiểu meme như “tin nổi những người này định làm gì không?”, tôi vẫn hy vọng họ đã rút ra bài học
Ý định có vẻ tốt, nhưng họ dường như đã vi phạm luật khá rõ ràng
Năm ngoái DOJ đã cập nhật chính sách truy tố CFAA để không truy tố những người thực hiện “nghiên cứu bảo mật thiện chí” [1]
CFAA vốn nổi tiếng có phạm vi quá rộng, nên chính sách của DOJ vẫn còn kém xa so với việc sửa luật để làm rõ hơn tính hợp pháp của nghiên cứu bảo mật
Chính sách có thể thay đổi dưới một chính quyền mới nên vẫn còn rủi ro, nhưng đã ít rủi ro hơn so với trước khi được chính thức hóa
[1] https://www.justice.gov/opa/pr/department-justice-announces-...
Thật khó hiểu vì sao trong hợp đồng, hoặc đặc biệt là trong các trao đổi pháp lý mang tính đe dọa, bên soạn thảo hầu như không phải chịu hậu quả gì nếu không viết nội dung một cách chính xác
Tôi từng thấy trong hợp đồng lao động có câu kiểu “nếu một phần của hợp đồng này vô hiệu thì các phần còn lại không bị vô hiệu”. Người sử dụng lao động muốn thực thi các quy tắc của mình, bản thân điều đó là hợp lý, nhưng họ không bị bất lợi gì khi viết vào những nội dung không được phép. Cùng lắm thì tòa án chỉ xem điều khoản đó là vô hiệu
Gánh nặng lại đặt lên người đọc, mà thường người đọc là bên yếu hơn rất nhiều
Ở đây cũng vậy, vì sao công ty có thể gửi một lá thư đe dọa kiểu “cậu có thể phải vào nhà tù liên bang 20 năm vì chuyện này!”? Dù rõ ràng là sai sự thật
Chẳng phải bên soạn thảo nên có trách nhiệm bảo đảm nội dung là hợp lý sao. Nếu nó vô lý và có thể chứng minh là sai, chẳng phải nên có hệ quả tiêu cực lớn hơn câu “à, coi như chưa có gì” sao
Như bạn nói, điều gì là nền tảng sẽ do tòa án diễn giải
Trong ví dụ về hợp đồng lao động, tính có thể tách rời thực ra cũng bảo vệ chính bạn với tư cách cá nhân. Vì ngay cả khi một số điều khoản bị vô hiệu, các thỏa thuận còn lại, bao gồm cả những điều khoản bảo vệ bạn, vẫn tiếp tục có hiệu lực
Nếu toàn bộ hợp đồng bị vô hiệu, bạn phải bắt đầu lại từ con số không, và có lẽ còn có thể mất việc. Có một chút bảo vệ vẫn hơn là không có gì
Nó giúp ngăn cả hai bên thoát khỏi toàn bộ nghĩa vụ pháp lý chỉ vì một lý do kỹ thuật nhỏ, hoặc cố tình đưa vào các điều khoản độc hại không thể vượt qua thẩm tra pháp lý
Nếu một phần hợp đồng vô hiệu, phần đó không thể được sử dụng. Nếu việc phần đó vô hiệu làm thay đổi căn bản hợp đồng, toàn bộ hợp đồng sẽ vô hiệu. Tôi không rõ còn muốn thêm điều gì nữa
Nghe có vẻ như bạn muốn có phản ứng mang tính trừng phạt đối với việc soạn một hợp đồng tệ, nhưng đó có vẻ là một ý tưởng khá tệ vì có thể tạo hiệu ứng làm chùn bước đối với mọi việc hình thành quan hệ pháp lý và kinh doanh
Bên yếu hơn, vốn khó tiếp cận người soạn thảo pháp lý giỏi, cũng có thể bị ảnh hưởng nặng hơn. Nếu ngay cả việc thương lượng thay đổi câu chữ hợp đồng cũng trở thành bãi mìn trách nhiệm đối với người đàm phán, chẳng phải gánh nặng trách nhiệm sẽ càng mất cân đối hơn đối với tác nhân nhỏ phải đối mặt với cả một đội ngũ pháp lý sao
Tôi không thấy rõ thế giới mà bạn hình dung có thể không tạo ra rủi ro lớn hơn cho bên yếu thế so với hiện tại bằng cách nào
Trong bối cảnh thiện chí, luật và án lệ thay đổi nhanh chóng, đôi khi còn tùy theo sự thất thường của thẩm phán, và cũng có nhiều lĩnh vực pháp luật không có án lệ rõ ràng hoặc hướng dẫn còn mơ hồ
Trong những trường hợp đó, tính có thể tách rời rất quan trọng để không phải đàm phán lại toàn bộ hợp đồng chỉ vì một điều khoản nhỏ không đứng vững trước tòa
Chẳng hạn, hãy nghĩ đến một hợp đồng lao động có điều khoản không cạnh tranh: công ty có thể dùng cùng một mẫu hợp đồng ở mọi khu vực, và tại những bang nơi điều khoản không cạnh tranh là bất hợp pháp, nhờ điều khoản về tính có thể tách rời mà không cần soạn hợp đồng riêng cho từng khu vực tài phán
Nếu một bang trước đây cho phép điều khoản không cạnh tranh rồi sau đó thông qua luật cấm, liệu mọi hợp đồng lao động có điều khoản không cạnh tranh có nên đột ngột trở nên vô hiệu không? Dĩ nhiên là không. Đó chính là vai trò của tính có thể tách rời
Với lời đe dọa trong bài gốc thì khó biết bối cảnh, nhưng có thể đó là câu kiểu “truy cập trái phép vào mạng máy tính của chúng tôi là tội phạm liên bang theo đạo luật XYZ và có thể bị phạt tối đa 20 năm tù”
Với người bình thường thì cực kỳ đáng sợ, nhưng nói nghiêm ngặt thì không hẳn là sai; đa số luật sư sẽ đảo mắt cho rằng đó là chuyện nhảm nhí, nhưng nếu thêm đủ các cụm từ giới hạn thì rất khó biết nên vạch ranh giới ở đâu
Rốt cuộc, những văn bản như thế thường do luật sư viết bằng thứ ngôn ngữ pháp lý không được thiết kế cho người bình thường. Việc đưa ra kiểu đe dọa này với sinh viên đại học là rất tệ, và luật sư viết rồi gửi lá thư này thay mặt công ty thực chất đã đưa ra lời khuyên cực kỳ tồi cho công ty
Có thể nêu vấn đề với đoàn luật sư, nhưng trong tình huống như thế này có lẽ rất khó biến nó thành một vụ việc thuyết phục
Đây là một trong những lý do thương lượng tập thể quan trọng. Công đoàn có thể chi trả cho đại diện pháp lý để đối đầu với luật sư của công ty, còn nhân viên cá nhân thì khó làm vậy
Hệ thống kiểu Mỹ theo hướng “mỗi bên tự chịu chi phí pháp lý của mình”, nên giúp nạn nhân dễ khởi kiện hơn
Ngược lại, ở Anh về cơ bản là “bên thua chịu chi phí pháp lý của cả hai bên”, nên nhiều nguyên đơn sẽ ngần ngại khởi kiện dù đã chịu thiệt hại lớn
Bạn đã chịu thiệt hại gì từ lời đe dọa đó, và mức bồi thường chính đáng là bao nhiêu? Chi phí thuê luật sư để kiện nhằm được bồi thường là bao nhiêu, và khả năng thắng kiện đến mức nào?
Bên gửi thư đe dọa hẳn cũng đã tự đặt ra cùng loại câu hỏi như vậy
Nếu bạn cảm thấy bất công vì phía bên kia có nhiều nguồn lực hơn, thì đó là một vấn đề xã hội rộng hơn. Có nhiều tiền thì sẽ tiếp cận tốt hơn với mọi hình thức công lý
Bài viết này dường như cho thấy cách xử lý công bố lỗ hổng ngày nay nhìn chung đã thay đổi theo hướng tích cực
Vào thập niên 90, công ty nào cũng như thế này. Các công ty đe dọa kiện tụng, và bản thân việc công bố trông có vẻ đáng ngờ về mặt pháp lý. Trên các diễn đàn hay BBS, người ta bàn ngay từ đầu rằng liệu công bố có an toàn không, và đưa ra các gợi ý như dùng tài khoản email ẩn danh
Tất nhiên hiện nay vẫn còn một phần như vậy. Đặc biệt là các công ty kiểu cũ, hoặc như trường hợp này là những sinh viên đại học ngây thơ, nhưng nhìn chung tình hình đã thay đổi mạnh mẽ theo hướng có lợi cho việc công bố
Giờ có các bên trung gian chuyên trách bảo vệ danh tính nhà nghiên cứu bảo mật, các tập đoàn lớn khuyến khích và khen ngợi việc công bố, bug bounty 6 chữ số, và cả luật pháp đã trở nên thân thiện hơn với nhà nghiên cứu bảo mật
Với tác giả, đây hẳn là một chuyện khá khó chịu, nhưng cũng là một lời nhắc tốt rằng trước đây những tình huống như thế này từng là chuẩn mực, hoặc còn tệ hơn, còn hiện nay thì đã hiếm hơn ở một mức độ nào đó
Vì nhiều công ty chấp nhận bug bounty và khuyến khích những hoạt động như vậy nhắm vào chính họ, đáng tiếc là điều đó khiến “bọn trẻ” học rằng việc này hoàn toàn hợp pháp, đúng đắn về đạo đức và có đạo lý
Nhưng như câu chuyện này cho thấy, thực tế là bạn đang gieo xúc xắc, và lần này chỉ là mọi chuyện diễn ra suôn sẻ
Nếu không có sự hợp tác của mục tiêu thông qua một chương trình bug bounty được nêu rõ, những cách như email ẩn danh có lẽ vẫn là ý hay hơn. Chỉ là nó không giúp nhà nghiên cứu bảo mật “tạo dựng tên tuổi”
Về thực chất, nó cũng giống như thừa nhận xâm nhập trái phép. Ví von thì dù chỉ bước qua một cánh cửa không khóa để xem có nhìn được bên trong tủ lạnh không cũng vậy
Trước tòa án dư luận, bạn có thể được nhìn nhận là đã giúp phơi bày lời nói dối của doanh nghiệp, nhưng trong tòa án thực sự, điều đó không thay đổi việc bạn phạm tội
Theo nghĩa đó, nó khác với kiểu trả đũa điển hình của thập niên 90. Từ góc nhìn của các sinh viên, hẳn chuyện này khá đáng sợ
Tôi cũng không loại trừ khả năng có sự can thiệp của các bậc cha mẹ giàu có, dù tất nhiên tôi không biết gì về tình huống hay những người liên quan
Một câu chuyện đáng kinh ngạc. Bài của Stanford Daily có bản sao các lá thư qua lại giữa các luật sư, và chúng khá dữ dội. Nếu EFF không vào cuộc, chúng ta đã không được đọc chúng
https://stanforddaily.com/2022/11/01/opinion-fizz-previously...
Theo bài của Stanford Daily, “khi đó Fizz dùng sản phẩm cơ sở dữ liệu Firestore của Google để lưu thông tin người dùng, bài đăng, v.v… Fizz không thiết lập các quy tắc bảo mật cần thiết, nên bất kỳ ai cũng có thể truy vấn trực tiếp cơ sở dữ liệu… có thể truy cập hoàn toàn số điện thoại và/hoặc địa chỉ email của mọi người dùng, và các bài đăng cùng upvote có thể được liên kết trực tiếp với những thông tin định danh này… Hơn nữa, toàn bộ cơ sở dữ liệu đều có thể chỉnh sửa. Bất kỳ ai cũng có thể chỉnh sửa bài đăng, điểm karma, trạng thái moderator, v.v.”
Chuyện này thật sự quá vô lý
Vì client ghi trực tiếp vào cơ sở dữ liệu, người ta thường quên kiểm tra quyền, và tin rằng client sẽ chỉ ghi vào đối tượng của chính nó
Từ lâu tôi từng đổi giá trị người dùng Firebase thành
isAdmin=truevà lấy được quyền admin của một công ty xe scooter điện, rồi sau đó vô tình xóa chiếc scooter mình đang thuê khỏi Firebase. Sau đó chiếc scooter ấy ra sao thì tôi không biếtBản đồ trong ứng dụng chỉ hiển thị vị trí tương đối, và ở một mức zoom nhất định thì ghim biến mất
Nếu viết lại request bằng
mitmproxy, cũng có thể vượt qua các bộ lọc ngăn người vị thành niên tìm kiếm người từ 18 tuổi trở lên hoặc ngăn người lớn tìm kiếm người vị thành niên, và cũng có thể vượt qua các bộ lọc chỉ dành cho trả phí như vị trí, giới tính. Trạng thái trả phí không được kiểm tra ở phía serverTôi hình dung một công cụ web cho phép nhập app ID và các giá trị API nằm trong frontend công khai, tùy chọn hỗ trợ cả session ID để xử lý các ứng dụng Firestore dùng quy tắc bảo mật nhẹ chỉ hiển thị cho người dùng đã đăng nhập, đồng thời nhận tên collection tìm thấy trong mã JavaScript để khám phá
Thú vị là Ashton Cofer và Teddy Solomon của Fizz đã cố xử lý khủng hoảng PR khi sai sót của họ bị phơi bày https://stanforddaily.com/2022/11/01/opinion-fizz-previously...
Câu trả lời của họ yếu ớt, và có vẻ từ đó họ đã từ chối bình luận về vụ việc này
Bài viết nói rằng “Fizz đã đưa ra một tuyên bố ngày 7/12/2021 có tên ‘Security Improvements Regarding Fizz’, nhưng tính đến thời điểm bài này được xuất bản, trang đó không còn có thể truy cập từ website Fizz hay Google Search nữa”
Ngoài ra, có vẻ rất có khả năng ứng dụng vẫn lưu thông tin định danh cá nhân về hoạt động của người dùng “ẩn danh”
“Hơn nữa, chúng ta vẫn chưa biết liệu dữ liệu của mình có được ẩn danh hóa nội bộ hay không. Năm ngoái, các nhà sáng lập nói với The Daily rằng người dùng có thể bị nhận diện bởi các nhà phát triển, và chính sách quyền riêng tư của Fizz vẫn gợi ý rằng điều đó là đúng”
Ở đây “nhà phát triển” có thể bao gồm chính những nhà sáng lập đã từ chối bình luận về vấn đề này, xóa các trao đổi liên quan của công ty, và ban đầu marketing một cái xô thủng lỗ chỗ là “ứng dụng mạng xã hội an toàn 100%”, rồi khi bị bắt quả tang thì sử dụng các lời đe dọa pháp lý
Tôi chẳng hề muốn đưa thông tin của mình vào Fizz
Vì sao có thể đe dọa bằng pháp lý rồi tránh được hậu quả, nhưng nếu đe dọa bạo lực thể xác thì có thể phải vào tù?
Đe dọa sẽ làm một việc hợp pháp nhìn chung là hợp pháp. Chẳng hạn, đe dọa sẽ báo cho nhà chức trách không phải là bất hợp pháp
“Ở cuối lời đe dọa là một yêu cầu: tuyệt đối không được công khai nói về những gì đã phát hiện. Về bản chất, nếu đồng ý im lặng thì họ sẽ không theo đuổi hành động pháp lý”
Về mặt pháp lý, yêu cầu như vậy có thể ngăn cả việc nói chuyện với công tố viên tiểu bang hoặc cảnh sát không?
Nếu họ tuyên bố là “an toàn 100%” trong khi thực tế không an toàn, và biết rằng người dùng không được bảo vệ chút nào khỏi việc công ty hoặc ít nhất là một hacker có năng lực tối thiểu rình mò, thì tối thiểu đó là lừa đảo, và gần với nghe lén phạm tội hơn. Vì họ cố ý lừa người dùng tin rằng dịch vụ “an toàn 100%” để tiết lộ bí mật cho dịch vụ
Việc chuyện này kết thúc “êm đẹp” thật lòng là một thất bại của công lý. Đội ngũ Fizz đáng lẽ phải bị cáo buộc lừa đảo
Ở Mỹ, doanh nghiệp được coi trọng hơn công dân. Quảng cáo ở Mỹ đầy rẫy những tuyên bố sai sự thật
Chúng ta phớt lờ điều đó bằng cách giả vờ rằng từ ngữ không có ý nghĩa
Thú vị đấy. Trường tôi cũng có một nền tảng rất giống gọi là SideChat, chắc cũng không khác nhiều
Năm ngoái tôi bị chặn vĩnh viễn vì đặt câu hỏi về tính chính đáng của “điều trị khẳng định giới”, nên tôi bắt đầu tò mò không biết họ biết về tôi đến mức nào
Nhìn từ góc độ báo chí, việc công khai chỉ ra Fizz là rất tốt. “Fizz đã không bảo vệ dữ liệu người dùng. Rồi chuyện gì xảy ra tiếp theo?”
Đây không phải là “ai đó đã hack”, mà là Fizz đã không làm được điều họ hứa
Tôi vẫn tò mò liệu lỗ hổng đã được kiểm thử xem đã khắc phục chưa hay chưa
Tuy nhiên, dữ liệu người dùng dường như vẫn chưa được ẩn danh hóa hoàn toàn trong nội bộ như họ từng tuyên bố