Mỹ điều tra cáo buộc các cuộc trò chuyện WhatsApp không thực sự riêng tư

 (bloomberg.com)
2 điểm bởi GN⁺ 2026-02-02 | 1 bình luận | Chia sẻ qua WhatsApp
  • Đặc vụ thuộc Bộ Thương mại Mỹ đang điều tra các cáo buộc từ những cựu nhân viên hợp đồng của Meta, những người cho rằng tin nhắn WhatsApp có thể bị truy cập
  • Các cựu nhân viên hợp đồng khai rằng họ và một số nhân viên Meta đã có quyền “truy cập không hạn chế (unfettered access)”
  • Cáo buộc này mâu thuẫn với lập trường chính thức của Meta rằng WhatsApp được mã hóa và mang tính riêng tư
  • Nội dung tương tự cũng có trong một đơn tố giác nội bộ gửi lên Ủy ban Chứng khoán và Giao dịch Mỹ (SEC) vào năm 2024
  • Cuộc điều tra lần này và đơn tố giác là những sự việc trước đây chưa từng được công khai, có thể ảnh hưởng nghiêm trọng đến độ tin cậy về quyền riêng tư của nền tảng nhắn tin

Tổng quan cuộc điều tra của chính phủ Mỹ

  • Cơ quan thực thi pháp luật Mỹ đang điều tra cáo buộc do các cựu nhân viên hợp đồng của Meta Platforms Inc. đưa ra về khả năng truy cập tin nhắn WhatsApp
    • Theo báo cáo điều tra và các cuộc phỏng vấn mà Bloomberg News thu thập được, đã xuất hiện nghi vấn rằng nhân viên Meta có thể truy cập các cuộc trò chuyện trên WhatsApp
  • Cơ quan điều tra được nêu rõ là các Đặc vụ thuộc Bộ Thương mại Mỹ (Special Agents with the US Department of Commerce)
  • Nội dung điều tra liên quan trực tiếp đến độ tin cậy của những tuyên bố từ Meta về mã hóa đầu cuốichính sách bảo vệ hội thoại riêng tư

Cáo buộc từ các cựu nhân viên hợp đồng

  • Các cựu nhân viên hợp đồng cho biết họ và một số nhân viên Meta có thể “truy cập không hạn chế” vào tin nhắn WhatsApp
    • Những lời khai này dựa trên hồ sơ thực thi pháp luật, nguồn tin am hiểu vụ việc, cùng lời chứng của chính các nhân viên hợp đồng
  • Một trong các nhân viên hợp đồng đã phát biểu với điều kiện ẩn danh vì lo ngại khả năng bị trả đũa

Tố giác nội bộ và các cơ quan liên quan

  • Cáo buộc tương tự cũng xuất hiện trong đơn tố giác nội bộ (whistleblower complaint) được gửi lên Ủy ban Chứng khoán và Giao dịch Mỹ (SEC) vào năm 2024
  • Bloomberg là đơn vị đầu tiên đưa tin rằng cả đơn tố giác này lẫn cuộc điều tra của Bộ Thương mại đều là những sự việc trước đó chưa từng được công khai

Mâu thuẫn với lập trường chính thức của Meta

  • Meta từ lâu vẫn khẳng định WhatsApp là riêng tư và được mã hóa
  • Tuy nhiên, cuộc điều tra và các lời khai lần này đặt ra khả năng trái ngược với cách Meta mô tả chính thức

Ý nghĩa của vụ việc

  • Vụ việc đặt ra nghi vấn về độ tin cậy của cơ chế mã hóa trong dịch vụ nhắn tinmức độ bảo vệ quyền riêng tư của người dùng
  • Việc cơ quan chính phủ Mỹ trực tiếp vào cuộc điều tra cũng khiến vấn đề tính minh bạch bảo mật của các nền tảng nhắn tin toàn cầu một lần nữa trở thành tâm điểm chú ý

Bài viết liên quan

1 bình luận

 
GN⁺ 2026-02-02
Ý kiến trên Hacker News

  • Mã hóa đầu cuối (E2EE) của WhatsApp đã được điều tra độc lập
    Không phải toàn bộ mã nguồn đều được rà soát, mà chỉ phân tích phần lõi mã hóa
    Vấn đề chính là máy chủ WhatsApp quyết định người dùng nào sẽ được đưa vào nhóm chat
    Dan Goodin đã đề cập nội dung này trong bài viết trên Ars Technica

    • Tôi nghĩ việc không xem toàn bộ mã nguồn là một vấn đề
      Facebook từng vượt qua các biện pháp bảo mật di động để truyền dữ liệu qua localhost
      Ứng dụng có thể gửi dữ liệu theo nhiều hướng, và cũng có thể đọc tin nhắn qua thông báo đẩy
      Bài liên quan: Cybersecurity News
    • WhatsApp APK vẫn tải script Google Tag Manager ngay cả trong môi trường cài đặt ngoài Google Play
      Nó được tải lặp lại ở mỗi cuộc trò chuyện, và có thể xác nhận bằng tường lửa MitM
      Tôi thắc mắc vì sao các cuộc kiểm toán kiểu này lúc nào cũng chỉ nói về phần mã hóa
      Nếu client gửi tin nhắn văn bản thuần sang máy chủ khác hoặc dịch vụ dịch thuật thì mã hóa khi truyền là vô nghĩa
    • Máy chủ có thể thêm thành viên tùy ý vào nhóm, nhưng client sẽ hiển thị sự hiện diện của thành viên mới và các tin nhắn trước đó sẽ không được chia sẻ
      Tuy nhiên, nếu client cũng bị xâm phạm cùng lúc thì dấu hiệu đó có thể bị che đi
      Theo bài viết gần đây của Livemint, WhatsApp đang phát triển tính năng chia sẻ tin nhắn cũ cho thành viên mới, nên có khả năng làm suy yếu bảo mật
      Tốc độ thay đổi chính sách rất nhanh, nên không ai có thể xem mình là ngoại lệ
    • Máy chủ WhatsApp cũng quyết định sẽ gắn khóa công khai nào với số điện thoại nào
      Nếu không xác minh trực tiếp mặt đối mặt thì rất khó để tin tưởng
    • Cảm ơn vì đã đánh giá công nghệ dựa trên cách triển khai thực tế

  • Tôi cho rằng client E2EE nguồn đóng không thể an toàn hoàn toàn
    Việc phát hiện cửa hậu trên thực tế chỉ khả thi với mã nguồn mở, và reproducible builds là rất quan trọng
    Ngay cả lỗ hổng thực thi mã từ xa tinh vi mà chỉ có thể bị khai thác từ phía máy chủ cũng có thể là một dạng cửa hậu

    • Có ý kiến cho rằng phát hiện cửa hậu chỉ có thể làm ở cấp độ nhị phân
      Không thể hiểu hoàn toàn hành vi của compiler để tìm cửa hậu ẩn trong mã nguồn
    • Có người nhắc đến triết lý của Stallman, cho rằng xét về bảo mật thì phần mềm nguồn đóng có thể có lợi thế vì tự động tạo hiệu ứng làm rối mã
      Mã nguồn mở có nhiều ưu điểm, nhưng không cần phải khẳng định nó có ưu thế bảo mật nếu không có căn cứ

  • Với tư cách là cựu kỹ sư WhatsApp, tôi tin chắc nhóm đã đổ ra rất nhiều công sức cho việc triển khai E2EE
    Không thể đọc được các tin nhắn đã mã hóa
    Về mặt kinh doanh, WhatsApp Business API cũng đã tạo ra doanh thu đủ lớn

    • Facebook quan tâm đến ảnh hưởng lên hành vi người dùng và việc bán sự chú ý hơn là chỉ doanh thu đơn thuần
    • Có thời điểm Signal và WhatsApp dùng cùng một địa chỉ trên Google Play, nên tôi tự hỏi liệu có sự hợp tác trong quá trình tích hợp Signal Protocol hay không
    • Đây là câu hỏi vì sao Andreas Schjelderup lại bị phát hiện khi chia sẻ một lượng nội dung nhỏ
    • Tôi muốn biết liệu máy chủ có thể thực hiện tấn công người đứng giữa (MitM) vào kết nối giữa hai client hay không,
      và liệu client có thể trực tiếp so sánh khóa của đối phương hoặc xác minh nội dung gói tin hay không
    • Chỉ cần một kỹ sư duy nhất nhận chỉ thị khác đi thì mọi nỗ lực bảo vệ quyền riêng tư của cả hệ thống có thể trở nên vô nghĩa

  • Matthew Green gần đây viết trên Bluesky rằng
    vụ kiện cho rằng WhatsApp có quyền truy cập vào văn bản thuần là một cáo buộc câu khách, thiếu cơ sở

  • Các phát biểu từ Meta, từ cựu nhân sự WhatsApp và các kết quả điều tra đều không mâu thuẫn với cáo buộc của người tố giác
    Muốn thực sự tin tưởng thì cần có một tuyên bố trong tài liệu chính thức gửi SEC rằng “Meta chưa từng truy cập tin nhắn WhatsApp theo bất kỳ cách nào, và trong tương lai cũng không thể làm được”

  • Một số kịch bản giả định được nêu ra

    1. Thu thập các tin nhắn đã mã hóa rồi thử giải mã bằng máy tính lượng tử
    2. Phân tích metadata để suy ra nội dung thực tế
      Ví dụ, nếu tôi truy cập một trang nào đó rồi gửi liên kết cho bạn, sau đó bạn cũng vào đúng trang đó, thì có thể suy ra nội dung tin nhắn
    • Có người cười nhạo (1) là phi thực tế
      Các công ty FAANG thường cẩu thả về mặt kỹ thuật hơn người ta nghĩ
      Bên trong công ty, những dự án kiểu ‘Decryption at Scale’ nhiều khi chỉ kết thúc như tài liệu làm màu để ghi điểm thành tích
    • Ngay cả chỉ với đủ metadata như trong (2), người ta cũng có thể nắm được thói quen sinh hoạt và vị trí của một cá nhân
      Không cần phải giải mã nội dung thật
    • Giải mã bằng máy tính lượng tử là điều gần như bất khả thi về mặt khoa học
      Khác nào nói rằng vào năm 2016 họ đã có công nghệ ở trình độ năm 2026
    • Có khả năng chính phủ Mỹ không định đọc tin nhắn ngay bây giờ, mà lưu lại để đọc trong tương lai
      Tham khảo liên quan: Utah Data Center
    • Vấn đề thực sự là backup không phải E2EE hoàn chỉnh
      Khóa được giữ bởi máy chủ chứ không phải người dùng

  • Tôi tò mò không biết các cuộc điều tra kiểu này thực tế được tiến hành như thế nào
    Họ chỉ đặt câu hỏi đơn thuần, hay cùng chuyên gia CNTT phân tích ứng dụng về mặt kỹ thuật,
    và có yêu cầu xác minh mã nguồn đúng với đoạn mã đang chạy trên thiết bị người dùng hay không

    • Bước đầu tiên là trong điều tra của chính phủ, nỗi sợ bị lộ nói dối đóng vai trò răn đe
      Nhưng không thể loại trừ hoàn toàn
    • Bất kỳ ai cũng có thể kiểm toán binary của client
    • Rất có thể nhiều chính phủ đã phân tích thông qua reverse engineering

  • Tôi cho rằng cốt lõi của mọi hệ thống mã hóa là quản lý khóa
    Nếu bạn không trực tiếp kiểm soát khóa thì cuối cùng sẽ có người khác kiểm soát nó
    Việc WhatsApp tự động đồng bộ tin nhắn giữa các thiết bị là một sự đánh đổi giữa tiện lợi và bảo mật
    Phần lớn người dùng không trực tiếp xác minh fingerprint của đối phương

  • Các công ty xâm phạm quyền riêng tư lớn nhất thế giới có đầy đủ động cơ để làm suy yếu quyền riêng tư của người dùng
    Chính mô hình kinh doanh của họ dựa trên thu thập dữ liệu và thao túng hành vi
    Vì vậy, ngay cả khi chưa có bằng chứng, không tin tưởng họ vẫn là lựa chọn hợp lý