Phát hiện từ vụ kiện tập thể chống Facebook/Meta
- Các nguyên đơn là nhà quảng cáo yêu cầu tòa án công nhận rằng ngoại lệ tội phạm-gian lận áp dụng cho một số liên lạc cụ thể.
- Các liên lạc này liên quan đến chương trình In-App Action Panel (IAAP) của Facebook, được cho là tồn tại từ tháng 6 năm 2016 đến khoảng tháng 5 năm 2019.
- Chương trình IAAP được khởi động theo yêu cầu của Mark Zuckerberg và sử dụng phương thức tấn công người trung gian SSL để chặn và giải mã lưu lượng phân tích được bảo vệ bằng SSL của Snapchat, YouTube và Amazon, từ đó cung cấp thông tin cho các quyết định cạnh tranh của Facebook.
Chương trình IAAP của Facebook, nhắm mục tiêu cạnh tranh thông qua nghe lén đối thủ
- Vào ngày 9 tháng 6 năm 2016, Mark Zuckerberg đã gửi cho các lãnh đạo cấp cao trong công ty một thông điệp có tiêu đề "Phân tích Snapchat".
- Javier Olivan, hiện là COO của Facebook, đồng ý rằng đây là một trong những câu hỏi phân tích thị trường quan trọng, đồng thời nhắc rằng việc này phức tạp về mặt kỹ thuật và có thể cần phê duyệt pháp lý.
- Đội ngũ Onavo đã lên kế hoạch cho một "lockdown effort" để giải quyết vấn đề này, và nói rằng đây là cơ hội để đội tỏa sáng.
- Đội Onavo đã đề xuất một giải pháp cho ban lãnh đạo cấp cao dưới sự hướng dẫn của cố vấn pháp lý nội bộ.
Ý kiến của GN⁺
- Vụ việc này xử lý các vấn đề pháp lý liên quan đến việc doanh nghiệp xâm phạm quyền riêng tư dữ liệu, nên cung cấp thông tin quan trọng cho người tiêu dùng và cộng đồng công nghệ.
- Cáo buộc Facebook thu thập trái phép dữ liệu của đối thủ có thể làm bùng lên thảo luận về đạo đức doanh nghiệp và trách nhiệm pháp lý.
- Những trường hợp như vậy cũng gửi đi thông điệp cảnh báo tới các công ty khác, đồng thời nhấn mạnh tầm quan trọng của bảo vệ dữ liệu và an ninh thông tin cá nhân.
- Các dự án hoặc sản phẩm khác cung cấp tính năng tương tự có thể kể đến các dịch vụ VPN tăng cường bảo mật hoặc công cụ liên lạc mã hóa, vốn có thể giúp bảo vệ dữ liệu người dùng.
- Khi áp dụng công nghệ, cần cân nhắc cẩn trọng liệu công nghệ đó có đáp ứng các tiêu chuẩn pháp lý và đạo đức hay không; vụ việc này cho thấy tầm quan trọng của việc doanh nghiệp đánh giá rủi ro pháp lý khi sử dụng công nghệ.
1 bình luận
Ý kiến Hacker News
Có ý kiến cho rằng nếu một cá nhân làm việc này thì Đạo luật Computer Fraud and Abuse Act (CFAA) sẽ được áp dụng. Với Meta thì vẫn phải chờ xem kết quả ra sao.
MITM (tấn công trung gian) được gọi là một "cuộc tấn công", chứ không phải "nghiên cứu". Một chuyên gia IT chia sẻ trải nghiệm từng phát hiện các thực hành sai trái và rời khỏi một tổ chức mang tính chính trị.
Chỉ ra sự mỉa mai khi công khai tuyên bố bổ sung mã hóa đầu cuối cho một ứng dụng (WhatsApp), trong khi lại bí mật phá TLS ở ứng dụng khác.
Có ý kiến cho rằng FANGs (Facebook, Amazon, Netflix, Google) trên thực tế đang tiến hành chiến tranh tâm lý quy mô lớn với công chúng mà gần như không bị trừng phạt, và các vụ kiện thỉnh thoảng xảy ra cũng không mấy quan trọng.
Chỉ trích Meta là một "đế chế trực tuyến của cái ác", cho rằng lịch sử công ty đầy rẫy những hành vi đáng ngờ về mặt đạo đức.
Đặt câu hỏi về việc Cloudflare đang làm gì thông qua SSL termination/offloading.
Có ý kiến nhấn mạnh không nên nhầm lẫn TLS và SSL, và việc gỡ bỏ TLS mà không nêu rõ trong điều khoản dịch vụ nên bị trừng phạt theo CFAA.
Meta phủ nhận việc vi phạm luật nghe lén, nhưng không đưa ra bằng chứng về sự đồng ý. Đồng thời đặt câu hỏi vì sao Meta lại ngần ngại công khai tài liệu liên quan đến việc can thiệp vào liên lạc của ứng dụng VPN mà họ gọi là "nghiên cứu thị trường".
Theo tài liệu, có câu hỏi liệu kế hoạch là triển khai thử nghiệm mà không thông báo cho người dùng, hay là người dùng đã đồng ý và tham gia.