Google đã chia sẻ số điện thoại của tôi

 (danq.me)
1 điểm bởi GN⁺ 2025-05-27 | 1 bình luận | Chia sẻ qua WhatsApp
  • Gần đây, các người dùng Three Rings đã liên tục gọi cho tác giả; sau khi lần theo nguyên nhân, tác giả phát hiện số điện thoại di động cá nhân của mình đang bị lộ trong kết quả tìm kiếm của Google
  • Số này từng được gửi trong quy trình xác minh danh tính của Google trước đây, và đã bị thêm vào Google Business Profile trong kết quả tìm kiếm mà không có sự đồng ý
  • Tác giả đã ngay lập tức xóa số khỏi hồ sơ doanh nghiệp để chấm dứt việc lộ thông tin, nhưng không nhận được lời giải thích về lý do thay đổi
  • Gần đây, tác giả cũng gặp một vụ rò rỉ thông tin cá nhân ở một ngân hàng khác, khiến sự mất niềm tin vào khó khăn của việc bảo vệ quyền riêng tư ngày càng lớn
  • Điều này cho thấy tầm quan trọng của sự đồng ý; đồng thời cũng gợi ý rằng lỗi của người dùng hoặc các cửa sổ xin đồng ý quá bừa bãi có thể đẩy nhanh việc rò rỉ PII

Tổng quan sự việc

  • Đầu tháng này, tác giả nhận được một cuộc gọi từ một người dùng của phần mềm quản lý tình nguyện viên Three Rings mà mình đã sáng lập
  • Dù chính thức không cung cấp hỗ trợ qua điện thoại, trước đây tác giả đã nhiều lần trực tiếp gọi lại cho người dùng
  • Vì vậy, tác giả cho rằng một số người dùng có thể đã lưu số điện thoại di động cá nhân của mình

Những cuộc gọi lặp đi lặp lại và nghi vấn

  • Sau khi nhận cuộc gọi tương tự thứ ba trong tháng, tác giả bắt đầu nghi ngờ số của mình đã bị công khai ở đâu đó
  • Ở cuộc gọi thứ tư, khi tác giả nói không biết tên tổ chức của người gọi, tác giả đã hỏi họ tìm thấy số ở đâu
  • Người kia trả lời: "Tìm kiếm 'Three Rings đăng nhập' trên Google là thấy"

Việc lộ thông tin cá nhân qua kết quả tìm kiếm Google

  • Khi tự tìm kiếm để kiểm tra, tác giả xác nhận Google Business Profile của Three Rings CIC đang hiển thị thông tin liên hệ cá nhân của mình
  • Bất kỳ ai cũng có thể gọi trực tiếp vào số cá nhân của tác giả qua nút 'Gọi'
  • Tác giả hầu như không dùng Google Search thường xuyên, nên nếu không có người khác báo lại thì có lẽ đã không biết chuyện này

Cách Google quản lý dữ liệu cá nhân

  • Trước đây, tác giả từng gửi số đó trong quy trình xác minh danh tính của Google, nhưng chưa từng đồng ý công khai nó
  • Gần đây Google bắt đầu tự ý hiển thị số này trên Google Business Profile, nhưng thời điểm và nguyên nhân chính xác đều không rõ
  • Khi tác giả xóa số khỏi hồ sơ doanh nghiệp, việc hiển thị cũng lập tức dừng lại
  • Tuy nhiên, cùng lúc số bị xóa, thông báo "Số điện thoại đã được Google chỉnh sửa" cũng biến mất, nên tác giả không thể biết lý do hay diễn biến của thay đổi này

Trường hợp gần đây ở một tổ chức tài chính khác và cảm giác bất an của người dùng

  • Tháng trước, một ngân hàng (Halifax) đã gặp sự cố gửi thông tin hợp đồng tín dụng cho một người hoàn toàn không liên quan đến tác giả
  • Sau hai lần liên tiếp trải nghiệm rò rỉ thông tin cá nhân, tác giả bắt đầu nghi ngờ liệu mình có vô tình đánh dấu đồng ý vào một cửa sổ bật lên nào đó hay không
  • Tác giả châm biếm rằng các thông báo xin đồng ý về quyền riêng tư trên thực tế rất khó hiểu, và môi trường hiện nay khiến người ta dễ vô thức bấm nút ‘đồng ý’

Tóm tắt và hàm ý

  • Sự việc cho thấy xâm phạm quyền riêng tư ngoài dự kiến có thể xảy ra với bất kỳ ai
  • Nó một lần nữa nhấn mạnh độ tin cậy từ góc nhìn người dùng đối với cách các nền tảng lớn như Google hay các tổ chức tài chính sử dụng và công khai dữ liệu cá nhân
  • Rủi ro rò rỉ PII (thông tin nhận dạng cá nhân) vẫn tiếp diễn do lỗi người dùng, sự bất cẩn, hoặc việc hệ thống tự đồng bộ một cách tùy tiện
  • Vẫn tồn tại khoảng cách giữa ý nghĩa của sự đồng ý và thực tế xử lý dữ liệu
  • Các công ty IT và người dùng đều cần những hướng dẫn minh bạch và thân thiện hơn để quản lý thông tin cá nhân một cách an toàn

Bài viết liên quan

1 bình luận

 
GN⁺ 2025-05-27
Ý kiến trên Hacker News

  • Chỉ ra rằng số điện thoại đã được công khai trên trang web, và cùng số đó cũng hiển thị trên hồ sơ nhà phát triển Google Play. Có ý kiến cho rằng cả hai hồ sơ đều có vẻ là thông tin do chính chủ tự công khai. Nếu dùng cùng một số cho cả mục đích cá nhân và công việc thì kết quả như vậy là điều dễ hiểu. Ban đầu tưởng rằng Google đã sai khi chuyển số này từ riêng tư sang công khai, nhưng cũng có giải thích rằng Google Play yêu cầu một số điện thoại để khách hàng có thể liên hệ

    • Người viết bài xác nhận mình là tác giả, nói rằng lẽ ra không nên có số điện thoại nào trên trang web và bản thân cũng không tìm thấy. Họ lấy làm tiếc vì số bị lộ trên hồ sơ nhà phát triển Google Play và cảm ơn vì đã được báo

  • Chia sẻ trải nghiệm trước đây khi mua một điện thoại Samsung, có tính năng cho biết tên người gọi từ số lạ. Phỏng đoán rằng dữ liệu này được lấy từ cơ sở dữ liệu danh bạ của người khác. Có lần một người hàng xóm gọi đến, dù chưa lưu số nhưng máy lại hiện tên là 'Ireum GRINDER', vì một người dùng khác đã lưu như vậy. Người hàng xóm đó là người đã công khai xu hướng tính dục trong khu phố, nhưng lại làm nghề môi giới bất động sản và rất khó chịu vì kiểu lộ thông tin này. Cũng nói thêm rằng bản thân đã không dùng ứng dụng đó suốt 7 năm nay

    • Phản ứng rằng thật khó tin chuyện như vậy lại thực sự xảy ra. Đây có vẻ là một vấn đề nguy hiểm đến mức còn có thể tưởng tượng ra những tình huống tệ hơn nhiều

    • Bổ sung rằng một số điện thoại Samsung được cài sẵn truecaller hoặc callapp, và đó là nguyên nhân gây ra tình huống này

  • Chia sẻ trải nghiệm điều hành công ty ở Hà Lan, nơi Google đã cập nhật số điện thoại công ty dựa trên số đăng ký tại phòng thương mại. Công ty không hỗ trợ qua điện thoại, nhưng theo luật thì số điện thoại phải có trong thông tin đăng ký. Họ đã đăng ký một số VoIP để chuyển thẳng vào hộp thư thoại, với lời nhắn rằng công ty không hỗ trợ qua điện thoại. Dù đã xóa số đó khỏi hồ sơ Google Business, Google vẫn thỉnh thoảng tự động thêm lại

  • Có ý kiến cho rằng có thể ai đó đã tự ý thêm số điện thoại mà họ nắm giữ vào hồ sơ công ty vì nghĩ như vậy sẽ có ích

    • Nhấn mạnh rằng ảnh chụp màn hình ghi rõ 'Google đã cập nhật số', nên đây không phải dữ liệu do người dùng nhập vào

    • Cho rằng việc người dùng bình thường có thể tùy ý cập nhật số trên hồ sơ doanh nghiệp, và Google công khai ngay mà không xin phép chủ sở hữu số, là một sai lầm lớn

  • Nói rằng bản thân cũng có trải nghiệm tương tự và từng nhận điện thoại lúc 2 giờ sáng. Hồi còn quản lý một dịch vụ tuyển dụng ở công ty cũ, họ đăng tin tuyển Python developer cho dự án của mình nhưng không thể tắt tùy chọn công khai liên hệ. Vì thế, vào khoảng 5 giờ sáng có người lạ gọi nhiều lần để hỏi làm sao trở thành lập trình viên. Họ nhớ rằng ở cuộc gọi đầu tiên mình còn bối rối nhưng vẫn đưa ra vài lời khuyên hữu ích. Hiện tại để đề phòng các tình huống rò rỉ thông tin kiểu này, họ dùng 4 số điện thoại khác nhau cho mục đích cá nhân, công việc và các việc khác

    • Khi có người nói kỳ lạ là các cuộc gọi đều đến vào lúc 5 giờ sáng, có ý kiến cho rằng có thể chúng đến từ cùng một khu vực, nên do lệch múi giờ mà đó là giờ làm việc của bên gọi

  • Mô tả những tác hại xảy ra khi Google không bị kiện. Ở Đức, lieferando (thuộc hệ Takeaway.com) đã đăng ký hàng loạt tên miền dạng 'tên-nhà-hàng-thành-phố.de' để chuyển về tổng đài của mình, đồng thời thay đổi cả thông tin Google Business cho thành của họ. Sau đó họ gọi cho chủ nhà hàng, nói rằng khách không thể tìm thấy nhà hàng trên Google nên ép ký hợp đồng, còn khách gọi đặt món qua tổng đài thì nhận được hướng dẫn sai, gây thiệt hại lớn cho việc kinh doanh. Có hơn 130.000 tên miền mồi như vậy đang hoạt động, và người bình luận từng giúp cung cấp bộ dữ liệu cho các chủ nhà hàng bị hại. Nhưng thiệt hại trên từng vụ không đủ lớn để dễ kiện, và khác với Mỹ thì đây cũng không phải kiểu class action nên khó trở thành vấn đề pháp lý lớn. Chỉ ra rằng Google biết chuyện này nhưng né trách nhiệm thông qua cấu trúc công ty mẹ khổng lồ

    • Nhắc rằng đây là thủ thuật từng rất phổ biến trên BlackHatWorld khoảng 15 năm trước, và cảm thấy mỉa mai khi giờ đến lượt các công ty VC áp dụng nó

    • Phản biện rằng đây không hẳn là vấn đề của Google, mà cốt lõi là việc một công ty đi đe dọa như vậy vẫn không bị kiện

    • Hỏi rằng trên Google Maps, chỉ cần đăng ký một tên miền là có thể dễ dàng chiếm quyền thông tin của bất kỳ doanh nghiệp nào sao, và liệu Google có quy trình riêng để xử lý tranh chấp quyền sở hữu hay không

    • Hỏi liệu báo chí Đức có bài điều tra nào tử tế về vụ việc này không

    • Nhấn mạnh rằng thực tế đáng sợ là hệ sinh thái do Google tạo ra quá dễ bị dùng như một vũ khí để tấn công các doanh nghiệp nhỏ

  • Chỉ ra rằng câu chuyện được nêu trong bài gốc có thể thực ra không phải là lời giải thích phù hợp nhất. Chỉ riêng trong phần bình luận đã có ít nhất ba cách giải thích thay thế. Đề xuất rằng nếu tải dữ liệu tài khoản Google qua Takeout thì có thể kiểm tra Google đang nắm giữ gì và dùng vào mục đích nào

    • Nhưng cũng giải thích rằng Google không cung cấp Takeout cho Business Profile, và doanh nghiệp thường không được bảo vệ theo luật quyền riêng tư cá nhân như GDPR, nên các tập đoàn lớn như Google thường không cung cấp công cụ tiện lợi như xuất dữ liệu

  • Chia sẻ việc số di động cá nhân của mình từng bị công khai trên Google Play Store. Sau hơn một tháng cố xác minh số doanh nghiệp nhưng không được, họ cuối cùng buộc phải nhập số cá nhân vì bị cảnh báo rằng tài khoản sẽ bị đình chỉ nếu không xác minh

    • Một indie app publisher nói rằng mình cũng gặp chuyện tương tự, và vì không hề cung cấp hỗ trợ khách hàng nên việc số điện thoại bị công khai cạnh ứng dụng là rất khó chịu. Họ cho rằng chính sách này chỉ gây bất lợi cho các nhà phát triển app độc lập, nên đã quyết định gỡ app khỏi store

  • Chia sẻ rằng bất kỳ ai cũng có thể sửa số điện thoại doanh nghiệp qua Google Search. Nghe lạ nhưng là thật: ví dụ sửa số điện thoại của Three Rings CIC

    • Giải thích rằng bất kỳ người dùng Google Maps nào cũng có thể đề xuất chỉnh sửa, nhưng thông tin gửi lên sẽ được xem xét rồi mới áp dụng. Có thể báo nhiều loại thay đổi như doanh nghiệp đóng cửa, đổi địa chỉ, đổi giờ mở cửa... Thậm chí còn áp dụng cho cả bến xe buýt, ga tàu hay địa danh lịch sử. Hệ thống này được mô tả là dựa trên 'crowdsourcing'. Cũng chia sẻ hướng dẫn Google Business Profileliên kết đăng ký hồ sơ doanh nghiệp

  • Có ý kiến rằng dù số trong hình minh họa của bài gốc đã bị làm mờ, các con số vẫn còn nhìn ra được

    • Chủ blog trực tiếp trả lời rằng ảnh chụp thực tế dùng 'số hư cấu dành cho phim ảnh' do Ofcom chỉ định chính thức, nên không có vấn đề an toàn nào. Tham khảo số điện thoại chính thức dùng cho phim ảnh

    • Nói rằng lớp làm mờ quá nhẹ nên số vẫn đọc được, đồng thời đưa ví dụ rằng ngay cả hình ảnh bị làm nát khá mạnh cũng có thể được khôi phục gần như hoàn toàn bằng AI và các công nghệ khác hình minh họa

    • Nhận ra rằng bản thân số đó là 07700 987654 nên là số hư cấu

    • Chỉ với hiệu ứng blur đơn giản thì khó bảo vệ thông tin nhạy cảm, và các chuyên gia khuyến nghị những cách che chắn an toàn hơn. Đặc biệt với ảnh như lần này, việc nhận ra số rất dễ ngay cả khi không cần kỹ thuật gì đặc biệt. Nếu lý do làm mờ là để bảo vệ danh tính thì nên cập nhật lại hình ảnh ngay

    • Lo ngại rằng gần đây các AI crawler còn trích xuất cả văn bản trong ảnh để tạo tập dữ liệu, nên những hình ảnh chỉ được làm mờ sơ sài cũng có nguy cơ bị đưa vào dữ liệu huấn luyện của LLM