Dữ liệu giám sát làm đảo lộn nhận thức lâu nay về theo dõi vị trí

 (lighthousereports.com)
2 điểm bởi GN⁺ 2025-10-15 | 2 bình luận | Chia sẻ qua WhatsApp
  • First Wap, một công ty công nghệ giám sát hầu như ít được biết đến, đã bán Altamides, phần mềm mạnh có thể theo dõi vị trí của con người trên toàn thế giới, cho các doanh nghiệp tư nhân và những bên khác
  • Lighthouse Reports và nhóm phóng viên đối tác đã phân tích kho lưu trữ hơn 1,5 triệu bản ghi dữ liệu và phơi bày thực trạng chính trị gia, doanh nhân và người bình thường đều trở thành mục tiêu bị giám sát trái phép
  • Ngành công nghiệp giám sát nói rằng các công cụ này chỉ được dùng cho điều tra tội phạm, nhưng thực tế cho thấy chúng còn được chấp nhận cho mục đích tư nhân ngoài chính phủ và phi đạo đức
  • First Wap đã xây dựng một hệ thống theo dõi toàn cầu bằng cách khai thác lỗ hổng bảo mật của giao thức viễn thông SS7 cũ, rồi tiếp tục tăng cường thêm các tính năng nghe lén cuộc gọi và hack ứng dụng nhắn tin mã hóa
  • Qua phóng sự thâm nhập ngụy trang, đã xuất hiện dấu hiệu cho thấy ban lãnh đạo công ty vẫn tiếp tục bàn về giao dịch dù nhận thức được rủi ro liên quan đến bán hàng lách lệnh trừng phạt

Bộ mặt thật của ngành kinh doanh giám sát: hoạt động theo dõi của Altamides và quy mô quốc tế

Thực tế ngành công nghiệp giám sát lộ diện tại Prague

  • Tháng 6/2024, tại hội chợ công nghệ giám sát ISS World được tổ chức bí mật, giám đốc kinh doanh của First Wap là Günther Rudolph đã nhắc tới việc “có thể phải vào tù nếu dàn xếp thương vụ” trong lúc thảo luận về việc bán phần mềm theo dõi Altamides cho một công ty khai khoáng tư nhân
  • Đối tác khi đó là một công ty thuộc sở hữu của cá nhân nằm trong diện trừng phạt, có mục đích giám sát các nhà hoạt động môi trường, và Rudolph ám chỉ năng lực công nghệ độc quyền khi nói rằng “chỉ chúng tôi mới làm được”
  • Tuy nhiên, phía đối tác thực chất là phóng viên thâm nhập bí mật của Lighthouse Reports

Kho lưu trữ theo dõi vị trí khổng lồ và điều tra hợp tác quốc tế

  • Điểm khởi đầu là việc một phóng viên của Lighthouse phát hiện trên deep web kho dữ liệu theo dõi vị trí hơn 1,5 triệu bản ghi
  • Hơn 70 phóng viên từ 14 cơ quan báo chí đã tham gia, xác định chủ sở hữu theo số điện thoại và phân loại nhóm mục tiêu (cluster) để làm rõ bản chất vụ việc
  • Dữ liệu bao gồm những người ở 160 quốc gia, từ các chính trị gia cấp cao đương nhiệm và tiền nhiệm, doanh nhân cho tới công dân bình thường
  • Ví dụ: cựu thủ tướng Qatar, phu nhân của cựu tổng thống Syria Bashar al-Assad, một nhà sản xuất của Netflix, nhà sáng lập Blackwater, nhà sáng lập 23andMe, lãnh đạo Red Bull và nhiều nhân vật khác đều bị theo dõi trên diện rộng
  • Trong quá trình phân tích dữ liệu và điều tra, các phóng viên ở từng quốc gia cũng lần theo và xác nhận thêm dấu hiệu giám sát cùng các nạn nhân bổ sung trong nước họ

Lập trường của First Wap và sự tự biện hộ của ngành

  • First Wap khẳng định “không liên quan đến hành vi bất hợp pháp hay vi phạm nhân quyền”, nhưng không bình luận cụ thể vì lo ngại lộ danh tính khách hàng do nội dung vụ việc quá chi tiết
  • Công ty nhấn mạnh lập trường nguyên tắc rằng “sau khi cài đặt xong thì không can dự vào mục đích sử dụng, và các cơ quan thực thi pháp luật sử dụng nó để đối phó với ‘tội phạm có tổ chức, khủng bố và tham nhũng’”
  • Toàn bộ ngành giám sát lâu nay duy trì câu chuyện rằng công cụ chỉ được dùng để chống khủng bố và tội phạm, nhưng cuộc điều tra này cho thấy thực tế là cả mục đích chính phủ lẫn phi chính phủ, thương mại lẫn cá nhân đều được chấp nhận

Phần mềm giám sát không biên giới, thực tế ai cũng có thể thành nạn nhân

Các trường hợp nạn nhân thực tế của Altamides

  • Năm 2012, “Sophia” (tên giả), đang đi nghỉ tại bãi biển Goa ở Ấn Độ, đã bị một người đàn ông có sự ám ảnh cá nhân theo dõi vị trí bằng hệ thống giám sát cấp nhà nước
  • Như trường hợp này cho thấy, Altamides đã lan sang các chủ thể tư nhân ngoài chính phủ (kẻ theo dõi ám ảnh, doanh nghiệp, v.v.), và cả những người bình thường như giáo viên, nhà trị liệu, nghệ sĩ xăm mình cũng được ghi nhận là nạn nhân

Đường đi phân phối và mở rộng của phần mềm

  • First Wap bán phần mềm ra toàn thế giới thông qua mạng lưới nhà phân phối trung gian
  • Công ty tư vấn điều tra KCS Group của Anh đã tìm cách bán Altamides cho các chính phủ ở Bắc Phi và châu Á; tài liệu cho thấy nỗ lực tận dụng bất ổn chính trị (Mùa xuân Ả Rập) như một cơ hội thương mại
  • KCS tuyên bố chính thức rằng họ “không tham gia vào việc bán hay sử dụng các công cụ giám sát phi đạo đức”

Người tiên phong thầm lặng thống trị ngành

Nguồn gốc kỹ thuật và sự phát triển của Altamides

  • Josef Fuchs, từng làm việc tại Siemens, đã phát hiện lỗ hổng SS7 của mạng viễn thông toàn cầu vào đầu những năm 2000, từ đó chuyển hướng kinh doanh của First Wap từ tiếp thị tin nhắn ngắn → phần mềm theo dõi điện thoại di động
  • Từ thời điện thoại phổ thông như BlackBerry và Nokia, công ty đã xây dựng được một hệ thống mà chỉ cần nhập số điện thoại là có thể xác định vị trí ở bất kỳ đâu trên thế giới
  • Sau đó, công ty tiếp tục mở rộng sang các tính năng như chặn SMS, nghe lén cuộc gọi, hack ứng dụng nhắn tin mã hóa như WhatsApp

Thống trị thị trường toàn cầu và điều hành trong bóng tối

  • Trong hơn 20 năm, First Wap đã âm thầm xây dựng một đế chế giám sát toàn cầu không màng biên giới hay giới hạn pháp lý, gần như không đặt ra ranh giới hay giới hạn cho phạm vi giám sát

Thực tế ngoài sổ tay lộ diện qua điều tra thâm nhập

Giới hạn đạo đức và thông lệ giao dịch lách vòng

  • Trong giai đoạn tiếp xúc ban đầu và phân tích tài liệu, đã phát hiện các trường hợp giám sát những người không liên quan đến tội phạm thông thường cũng như việc công cụ bị sử dụng bởi các quốc gia độc đoán và lực lượng phi chính phủ
  • First Wap khẳng định rằng họ chỉ ký hợp đồng với khách hàng chính phủ sau khi tuân thủ nghiêm ngặt lệnh trừng phạt và hoàn tất quy trình thẩm định
  • Phóng viên thâm nhập đã dùng danh tính giả là người đứng đầu một công ty tư vấn ở Nam Phi, tham dự ISS World tại Prague và gặp nhân viên kinh doanh có thật để thăm dò khả năng thực hiện dự án giám sát cho doanh nghiệp tư nhân và mục đích chính trị
  • Về trường hợp rủi ro, giám đốc kinh doanh Rudolph thừa nhận “cách đi đường vòng” khi nói rằng dù lệnh trừng phạt của châu Âu khiến việc này rủi ro, giao dịch vẫn có thể thực hiện thông qua pháp nhân ở Indonesia và sử dụng công ty vỏ bọc
  • Sau đó, khi Lighthouse thông báo về việc thâm nhập điều tra, phía First Wap giải thích rằng “phát biểu thực tế chỉ đề cập đến khả năng kỹ thuật và đã có sự hiểu nhầm”

Bài viết liên quan

2 bình luận

 
crawler 2025-10-15

Chuyện này thật sự có thật chứ, không phải kiểu thuyết âm mưu sao?
Dù có là lỗ hổng nằm ngay trong giao thức đi nữa thì cũng phải có đến hàng trăm nhà mạng, nên tôi vẫn khó tin là có thể theo dõi trên phạm vi toàn cầu như vậy.
Ngay từ đầu, làm sao họ biết và xác định được số điện thoại của Tổng thống Mỹ, Jensen Huang hay cả Chun-sik sống cạnh nhà tôi?
 
GN⁺ 2025-10-15
Ý kiến trên Hacker News

  • Tôi mong các nhà báo đào sâu hơn vào việc vì sao những công nghệ giám sát như vậy và việc chia sẻ thông tin lại được cho phép, cũng như động cơ nào khiến những công nghệ đó tồn tại. Khi đọc hồi ký <A Promised Land> của Tổng thống Obama, điều tôi cảm nhận được là khi ở vị trí lãnh đạo và trực tiếp chịu trách nhiệm về an toàn của công chúng, quan điểm về giám sát thay đổi hoàn toàn. Mỗi khi nhìn thấy camera Flock hay các thiết bị giám sát trong cửa hàng, tôi có cảm giác các lãnh đạo bị mê hoặc bởi chính quyền lực của công nghệ này hơn là lo lắng mơ hồ về khả năng bị lạm dụng. Tôi nghĩ điều này giống như việc tin tức cảnh báo nguy cơ hỏa hoạn trong xã hội nhưng lại không đề cập đến sự cần thiết của các hệ thống phòng ngừa như luật phòng cháy, báo cháy, hay các chuẩn mực xã hội. Tôi muốn đọc những bài báo điều tra về ai chịu trách nhiệm lắp đặt camera Flock, vì sao chúng được lắp, và làm thế nào để chỉ tạo ra kết quả tích cực (ví dụ: bắt kẻ trộm xe) mà không kéo theo tác dụng phụ tiêu cực như phân loại đối tượng, theo dõi quấy rối, hay truy dấu người không phạm tội

    • Ai nắm quyền lực cũng dễ tin rằng mình sẽ dùng nó một cách đúng đắn. Về mặt lý thuyết, nếu có một chính phủ hoàn hảo nắm toàn bộ quyền giám sát thì có thể sẽ có lợi ích như giảm tỷ lệ tội phạm, nhưng thực tế là các tổ chức lớn không giỏi kiểm soát ở mức tinh vi, và ngay cả khi lãnh đạo khởi đầu với ý tốt thì các quản lý cấp trung hoặc dữ liệu thiếu chính xác vẫn sẽ gây ra vấn đề. Ngay cả lãnh đạo tốt cũng dễ chọn sai người kế nhiệm, và rốt cuộc khả năng xuất hiện một lãnh đạo tha hóa là rất cao. Hơn nữa, dù phân quyền hay quyền riêng tư có thể không phải là lý tưởng tuyệt đối, chúng vẫn phải được giữ lại như phương án dự phòng phòng khi một hệ thống giám sát tập trung bị trục trặc

    • Tôi cho rằng đoạn nói Obama từng theo đuổi cải cách giám sát đại chúng nhưng rồi đổi thái độ khi thực sự gánh trách nhiệm bảo đảm an toàn cho người dân chỉ là một lời bào chữa. Vì rủi ro chính trị là nếu sau cải cách giám sát xảy ra điều bất hạnh nào đó, dù không liên quan đến giám sát, ông ấy vẫn sẽ phải gánh trách nhiệm, nên cuối cùng ông từ bỏ lập trường đúng đắn thời còn là ứng cử viên để né tránh vấn đề. Ngăn chặn tội phạm hoàn toàn có thể làm được mà không cần giám sát đại chúng, và cũng có thể giảm hành vi xấu bằng cách giảm nghèo. Dù dùng chính sách nào thì cũng không thể đưa con số đó về 0%, nên từ bỏ một cải cách đúng đắn chỉ vì sợ bị chỉ trích là thiếu dũng khí

    • Tôi không hoàn toàn phản đối giám sát. Nhưng tôi muốn nó phải minh bạch và bị giới hạn ở mức tối thiểu cần thiết. Ví dụ, nếu cảnh sát muốn có lịch sử tìm kiếm Google của tôi thì họ phải xin trát và chứng minh lý do, đồng thời sau một thời gian nhất định phải thông báo cho chủ tài khoản. Nếu cần truy cập điện thoại, cách đúng đắn là thu giữ theo đúng thủ tục rồi trực tiếp yêu cầu đương sự cung cấp mật khẩu, thay vì bí mật hack vào. Làm như vậy sẽ tạo ra hiệu ứng ngăn lạm dụng vì hành vi đủ dễ nhận thấy, thay vì âm thầm theo dõi tất cả mọi người mọi lúc. Ngoài ra, dữ liệu doanh nghiệp thu thập với mục đích chống trộm, như nhận diện khuôn mặt, không nên được dùng cho marketing hay phân tích, và cần được luật hóa việc xóa bắt buộc sau một khoảng thời gian nhất định

    • Nhấn mạnh rằng nguyên nhân cuối cùng khiến công nghệ giám sát được cho phép chính là sự “thờ ơ” của công chúng

    • Lý do nhận thức “không cần xử lý vấn đề này thì cũng chẳng tốn gì” lại phổ biến là vì người ta áp đặt những chi phí nhỏ, không rõ ràng lên tất cả mọi người, rồi gói ghém chúng như thể đôi khi có thể cứu được một mạng sống. Cách làm này được những kẻ xấu và những người bình luận thiếu lương tâm trên khắp thế giới ưa dùng. Xã hội không đối phó hiệu quả với những nhược điểm mang tính cấu trúc kiểu “thiệt hại nhỏ với từng cá nhân nhưng tổng cộng lại là tổn thất khổng lồ”. Nếu toàn bộ nước Mỹ mỗi người tốn 1 phút mỗi ngày để cứu 1 mạng người mỗi năm, thì thực tế tổn thất còn lớn hơn giá trị của sinh mạng được cứu, nhưng khi thiệt hại mang tính chủ quan thì không ai lên tiếng phản đối

  • Một công ty tên First Wap cho phép theo dõi con người. Sản phẩm cốt lõi của công ty này là phần mềm hoạt động ở cấp mạng viễn thông. Điểm quan trọng ở đây là các công ty điện thoại vẫn còn hỗ trợ một giao thức cũ tên là Signalling System 7 (SS7). Để mạng điện thoại chuyển tiếp tin nhắn hoặc cuộc gọi dựa trên vị trí người dùng, việc trao đổi tín hiệu yêu cầu vị trí là điều bắt buộc. Lỗ hổng cốt lõi là các mạng xử lý những lệnh yêu cầu đó mà không hề kiểm tra bên gửi thực sự là ai và có mục đích gì. Những tín hiệu này (signaling message) hoàn toàn không hiển thị trên điện thoại của người dùng, mà chỉ đi qua lại giữa các số nút mạng gọi là “Global Titles (GT)” mà thôi

    • Một “sự thật thú vị” là “mạng khác” còn bao gồm cả toàn bộ các mạng đối tác roaming quốc tế. Nghĩa là có thể lợi dụng lỗ hổng SS7 để theo dõi vị trí của người khác từ tận một châu lục đối diện

    • Tôi đoán các nhà mạng cũng đơn giản là đang bán luôn dữ liệu người dùng. FCC từng phạt họ vì bán loại thông tin này mà không có sự đồng ý của người dùng liên kết tham khảo

  • Đến năm 2025, lỗ hổng của mạng SS7 vẫn còn nguyên. Kẻ tấn công có thể dựng femtocell (trạm gốc cỡ nhỏ) hoặc IMSI catcher (trạm gốc giả) để chặn lưu lượng SS7. GSM có cơ chế để thiết bị xác thực danh tính với mạng, nhưng mạng lại không xác thực danh tính với thiết bị, nên rất dễ dụ điện thoại kết nối vào IMSI catcher. Ngay cả với LTE, chúng cũng thử hạ cấp kết nối qua trạm gốc giả để vượt qua bảo mật. Xem thêm nguyên lý tấn công chi tiết

  • Có một bài viết tên <i>Why the US still won’t require SS7 fixes that could secure your phone</i> (2019), trong đó FCC của Mỹ chần chừ trong việc xử lý lỗ hổng SS7, phớt lờ cả tư vấn kỹ thuật từ Bộ An ninh Nội địa (DHS), và dù có đề xuất các thông lệ tốt (như áp dụng nhiều hệ thống lọc), trên thực tế vẫn chỉ dựa vào việc tự nguyện triển khai liên kết bài viết

  • Tôi thấy lạ là dạo này những “bí mật” kiểu này lại được báo chí đưa tin. Nguồn trong bài có vẻ được cố tình làm cho mơ hồ. Họ chỉ viết “Lighthouse found a vast archive of data on the deep web”, nhưng chẳng phải điều đó rốt cuộc có nghĩa là một công ty giám sát đã tải thông tin của hàng nghìn người lên đó như thể một S3 bucket mở hay sao? Thực tế ngành này có rất nhiều trường hợp chuyên khai thác lỗ hổng bảo mật của người khác để nghe lén và giám sát, nhưng dữ liệu của chính họ lại bị lộ ra ngoài vì những sai sót sơ đẳng. Vụ rò rỉ TM_Signal cũng là do các tệp lưu trữ tin nhắn cấp cao của Mỹ bị đặt trong một S3 mở. Thật mỉa mai khi một công ty an ninh sống bằng việc đánh cắp dữ liệu của người khác lại mắc lỗi bảo mật dở khóc dở cười đến mức để bất kỳ ai cũng xem được dữ liệu của chính mình

    • Có thể những người trong ngành này quá chuyên môn hóa theo lĩnh vực nên lại không có kinh nghiệm quản trị cloud. Họ có thể đã copy-paste cấu hình S3 từ Stack Overflow rồi mắc lỗi. Khi xử lý hời hợt một lĩnh vực không phải công việc vốn có của mình thì rất dễ xảy ra tai nạn như vậy. Nếu chuyên môn khác nhau thì những sai sót kiểu đó cũng hoàn toàn dễ hiểu. Những người này thậm chí có thể còn nghĩ bạn ngốc hơn vì vẫn dùng SMS

  • Với những ai quan tâm, Lighthouse Reports có một bài giải thích rất chi tiết về mặt kỹ thuật đối với phương pháp điều tra giám sát liên kết giải thích kỹ thuật

  • Nội dung này làm tôi nhớ đến bài trình bày năm 2014 ở CCC (Chaos Communication Congress) tên là ‘SS7: Locate. Track. Manipulate.’ mà tôi từng xem liên kết video bài trình bày

    • Bài trình bày đầu tiên là ‘Locating Mobile Phones using SS7’ do Tobias Engel trình bày tại 25C3 năm 2008 liên kết video

  • Trong bài có câu “1,5 triệu bản ghi, hơn 14 nghìn số định danh duy nhất, hồ sơ giám sát trải rộng qua khoảng 160 quốc gia”, nên tôi ước gì có một trang như HIBP(Have I Been Pwned) để kiểm tra xem số của mình có nằm trong đó không

  • Stallman là một người thô ráp và khác thường, nhưng ông ấy đã đúng ở điểm cho rằng các thiết bị có nguy cơ xâm phạm đời tư phải công khai toàn bộ, từ mã nguồn cho tới từng transistor