Dữ liệu sức khỏe của người châu Âu bị bán cho một công ty Mỹ do các cựu nhân viên tình báo Israel điều hành

 (ftm.eu)
2 điểm bởi GN⁺ 2025-12-15 | 1 bình luận | Chia sẻ qua WhatsApp
  • Zivver, công ty bảo mật dữ liệu của Hà Lan, đã được bán cho Kiteworks của Mỹ, khiến dữ liệu sức khỏe và hành chính nhạy cảm của công dân châu Âu rơi vào sự kiểm soát của một công ty Mỹ
  • Phần lớn ban lãnh đạo của Kiteworks có xuất thân từ các đơn vị tình báo quân đội Israel, và CEO Jonathan Yaron cũng từng phục vụ trong một đơn vị tác chiến mạng chuyên biệt của quân đội Israel
  • Zivver là dịch vụ được các bệnh viện, tòa án, cơ quan di trú tại EU và Anh sử dụng để gửi tài liệu mật; công ty cung cấp tính năng mã hóa nhưng điều tra cho thấy nội bộ công ty vẫn có thể xem nội dung tài liệu
  • Các chuyên gia an ninh mạng và tình báo cảnh báo rằng thương vụ này lẽ ra phải bị chặn từ trước hoặc ít nhất phải được thẩm định nghiêm ngặt
  • Từ góc độ chủ quyền dữ liệu và an ninh, đã dấy lên lo ngại nghiêm trọng khi dữ liệu nhạy cảm của người châu Âu rơi vào phạm vi ảnh hưởng của luật pháp Mỹ và mạng lưới tình báo Israel

Thương vụ mua lại Zivver và việc chuyển giao dữ liệu

  • Kiteworks đã mua lại Zivver vào tháng 6/2025, CEO Yaron gọi đây là “một khoảnh khắc đáng tự hào đối với tất cả mọi người”
    • Ông cho biết thương vụ này đã “đánh dấu một cột mốc quan trọng trong sứ mệnh bảo vệ dữ liệu nhạy cảm trên mọi kênh liên lạc”
  • Tuy nhiên, thương vụ này cũng đồng nghĩa thông tin cá nhân của công dân châu Âu và Anh đã rơi vào tay một công ty Mỹ
    • Zivver là một dịch vụ nhắn tin bảo mật quan trọng được bệnh viện, công ty bảo hiểm, cơ quan chính phủ và cơ quan di trú tại Hà Lan, Đức, Bỉ, Anh... sử dụng
  • Theo bài báo, ngay cả các tài liệu đã được mã hóa trên Zivver cũng có cấu trúc cho phép công ty truy cập để xem

Nền tảng của ban lãnh đạo Kiteworks

  • Phần lớn lãnh đạo cấp cao của Kiteworks xuất thân từ Lực lượng Phòng vệ Israel (các đơn vị tình báo quân sự)
    • Bao gồm cả CEO Jonathan Yaron, nhiều lãnh đạo từng phục vụ trong các đơn vị chuyên giải mã liên lạc mật mã và nghe lén
  • Cơ cấu nhân sự này khiến mối liên hệ với các cơ quan tình báo Israel hiện ra rõ ràng

Lo ngại từ các chuyên gia

  • Các chuyên gia an ninh mạng và tình báo chỉ ra rằng thương vụ mua lại này đáng ra phải bị ngăn chặn trước hoặc được xem xét cực kỳ kỹ lưỡng
  • Dữ liệu mà Zivver xử lý được đánh giá là thông tin cực kỳ có giá trị đối với các tổ chức tội phạm hoặc cơ quan tình báo nước ngoài
  • Sau thương vụ, dữ liệu này đã trở thành đối tượng chịu sự điều chỉnh của luật giám sát Mỹ, đồng thời được đặt dưới sự quản lý của một công ty có liên hệ với cơ quan tình báo Israel

Cách thức điều tra

  • Follow the Money đã điều tra quá trình Kiteworks mua lại Zivver cũng như lý lịch của ban lãnh đạo Kiteworks
    • Các tình tiết thực tế được xác minh thông qua phỏng vấn với các chuyên gia tình báo và an ninh mạng
  • Bài viết này cũng là một phần của loạt bài ‘The EU Files’ về vấn đề chủ quyền dữ liệu trong EU

Ý nghĩa lan tỏa tại châu Âu

  • Rủi ro hạ tầng liên lạc bảo mật do các cơ quan công quyền châu Âu sử dụng bị kết nối với các mạng lưới tình báo nước ngoài đã bị phơi bày
  • Đây là một trường hợp cho thấy xung đột giữa quy định bảo vệ dữ liệu và an ninh quốc gia đã trở thành hiện thực, và có thể nổi lên thành một vấn đề trung tâm trong tranh luận về chủ quyền số tại EU

Bài viết liên quan

1 bình luận

 
GN⁺ 2025-12-15
Ý kiến trên Hacker News

  • CEO của công ty công nghệ Mỹ được nói là xuất thân từ đơn vị tác chiến mạng tinh nhuệ của quân đội Israel, nên bài báo có lẽ đã nhắc đến Unit 8200
    Việc mô tả đơn vị này như một lựa chọn kiểu cầm máy tính thay vì cầm súng có vẻ là một cách đặt khung khá kỳ lạ. Tôi nghĩ bài viết cần thêm ngữ cảnh

    • Unit 8200 không chỉ là một đơn vị an ninh mạng mà còn phụ trách thu thập và phân tích tình báo tín hiệu
      Nếu Jack Ryan là người Israel thì có lẽ anh ta đã ở đơn vị này thay vì CIA
      Họ cũng thực hiện công việc phân tích như chọn mục tiêu, và điều này được trình bày khá rõ trong bài viết của 972mag
    • Thực ra đây không phải là khái niệm “miễn nghĩa vụ”. Mọi công dân đều bị gọi nhập ngũ, và sẽ được phân vào đơn vị phù hợp theo năng lực
      Nếu có năng khiếu thì hẳn ai cũng muốn vào những đơn vị như vậy hơn là đi tuần tra ở Gaza
    • Phục vụ trong 8200 suy cho cùng cũng là một phần của nghĩa vụ quân sự bắt buộc

  • Trước đây tôi từng quen một kỹ sư đầu tiên của Zivver (lập trình viên Scala), nên cũng biết đôi chút
    Ý tưởng cốt lõi là mã hóa đầu cuối, vì vậy về nguyên tắc tổ chức mua lại mới không thể trực tiếp xem dữ liệu khách hàng
    Trong thời kỳ COVID, công ty này đã thành công lớn tại Hà Lan khi việc gửi báo cáo số trở thành bắt buộc
    Nhưng thương vụ mua lại hiện tại có thể gây tác động tiêu cực đến cuộc tranh luận về chủ quyền số của Hà Lan

    • Tôi thắc mắc liệu việc mã hóa có bao gồm cả metadata hay không. Ví dụ, tôi muốn biết liệu thông tin như ai gửi cho ai cũng được bảo vệ hay không

  • Ngay cả khi là dịch vụ đặt tại EU, nếu bị doanh nghiệp nước ngoài mua lại thì vẫn có rủi ro dữ liệu nhạy cảm bị đặt dưới quyền tài phán khác. Khá đáng lo

  • Tôi tự hỏi liệu có cách nào để từ chối tham gia (opt-out) việc này hay không. Không rõ Ủy ban châu Âu có ký hợp đồng hàng loạt mà không hỏi ý kiến người dân hay không

  • Big Tech của Mỹ, từ sau Google, đã liên tục hạ thấp ngưỡng chuẩn về quyền riêng tư
    Cuối cùng họ đã bình thường hóa nhận thức rằng “quyền riêng tư không tồn tại” để phục vụ lợi ích vốn
    Châu Âu cũng có các dịch vụ thay thế, nhưng nếu người dân không chủ động lựa chọn thì hệ quả phụ sẽ xuất hiện

    • Cũng cần nhớ rằng dữ liệu của HN được chia sẻ và cấp phép cho các startup của Y Combinator
      Ngay cả khi xóa tài khoản thì dữ liệu cũng không biến mất hoàn toàn. Những điều như vậy không được thông báo rõ ràng khi đăng ký
    • Phần lớn mọi người đã dùng miễn phí dịch vụ Google suốt hàng chục năm, nhưng lại nổi giận khi xuất hiện mô hình trả phí
      Sự ám ảnh với “internet miễn phí” rốt cuộc đã tạo ra cơn ác mộng về quyền riêng tư
      Trừ khi châu Âu xây dựng các dịch vụ công như EuroTube hay EuroGram vận hành bằng tiền thuế, còn không thì rất khó có lựa chọn thay thế thực tế
    • Apple làm khá tốt trong vai trò người bảo vệ quyền riêng tư, vậy mà vẫn thường bị chỉ trích vì chuẩn cáp hay vấn đề UI
      Thật thú vị khi thấy kiểu tiêu chuẩn kép mà việc ghét một công ty nào đó dường như đã trở thành “mốt”
    • Các chính phủ EU không chỉ làm chưa tới với GDPR, mà còn đang khiến công dân bị buộc phải cung cấp dữ liệu cá nhân cho các công ty Mỹ
      Có những lựa chọn trả phí như Proton, nhưng đa số vẫn thích dịch vụ miễn phí
      Nếu chính phủ không trực tiếp xây dựng các “kênh có chủ quyền”, sự phụ thuộc vào FANG rồi sẽ chỉ sâu hơn
      Bây giờ có thể thấy hơi rẻ, nhưng rốt cuộc đây là một cấu trúc sẽ kết thúc bằng thảm họa
    • Đặc biệt, việc thực thi GDPR lỏng lẻo ở Ireland chủ yếu khiến doanh nghiệp châu Âu chịu thiệt, còn cải thiện quyền riêng tư thực tế thì gần như không có
      Dù vậy, thử dùng quyền yêu cầu truy cập thông tin (subject access request) cũng là một trải nghiệm khá thú vị

  • Trang bài viết này ép người dùng phải tạo tài khoản
    Chỉ cần xóa class "quickSubscribe" trong HTML là có thể cuộn đọc miễn phí

    • Hoặc đơn giản hơn là tìm liên kết lưu trữ trong phần bình luận

  • Tóm lại, một công ty dữ liệu y tế của EU đang mã hóa tài liệu thông qua một cổng web do các cựu chuyên gia mật mã quân sự điều hành
    Nhưng kiểu cấu trúc này rốt cuộc vẫn có thể chịu sự điều chỉnh của luật Mỹ, và về mặt kỹ thuật vẫn tồn tại khả năng truy cập khi tải lên
    Việc nghi ngờ độ tin cậy chỉ vì họ xuất thân từ Israel có vẻ là một cách đặt khung quá mức

    • Về căn bản, mô hình này có thể bị phá vỡ bảo mật chỉ bằng việc sửa đổi mã trong trình duyệt
      Tôi cũng từng khó chịu khi nhân viên y tế gửi thư cho tôi qua dịch vụ này mà không có sự đồng ý của tôi
    • Việc nhấn mạnh “Israel” trong tiêu đề bài báo có vẻ là sự kích động có chủ ý. Có vẻ tác giả muốn câu nhấp chuột

  • Trước đây tôi thường nhận tin nhắn Zivver từ các cơ sở y tế, nhưng từ sau thông báo mua lại thì chưa nhận thêm một tin nào

  • Tôi chưa từng thấy Zivver trong hệ thống y tế Đức
    Đức hiện đã triển khai messenger dựa trên Matrix và email S/MIME cho y tế
    Ngược lại, việc cựu bộ trưởng y tế muốn cung cấp dữ liệu y tế cho OpenAI và các bên khác mới là vấn đề lớn hơn
    Xem thêm bài viết của Heise

    • Về lâu dài, có lẽ sẽ không thể opt-out hoàn toàn khỏi hồ sơ sức khỏe điện tử
      Vì vậy, điều quan trọng là bầu ra những chính trị gia hiểu được “Neuland” của thời đại số và có cảm quan về công nghệ
    • Bề ngoài có thể trông như không dùng Zivver, nhưng bên trong các công ty bảo hiểm vẫn có thể đang dùng nó ở backend như Office 365 hay SAP
      Vì người dùng không thể biết hết mọi phần mềm nội bộ