Đã đến lúc cấm việc bán dữ liệu định vị chính xác

 (lawfaremedia.org)
2 điểm bởi GN⁺ 4 ngày trước | 1 bình luận | Chia sẻ qua WhatsApp
  • Hệ thống giám sát dựa trên adtech của Mỹ Webloc đang thu thập và bán dữ liệu định vị chính xác từ tối đa 500 triệu thiết bị di động trên toàn thế giới
  • Dữ liệu này bao gồm mã định danh thiết bị, tọa độ, hồ sơ ứng dụng, và được nhiều tổ chức chính phủ như cảnh sát, quân đội và cơ quan liên bang Mỹ mua để sử dụng
  • Webloc được tích hợp với nền tảng Tangles của Penlink, cho phép liên kết thiết bị ẩn danh với tài khoản mạng xã hội để nhận diện cá nhân mà không cần lệnh khám xét
  • Dữ liệu như vậy cũng có thể được bán cho cơ quan tình báo nước ngoài, gây ra rủi ro an ninh quốc gia, trong khi thiếu kiểm soát và giám sát pháp lý là vấn đề bị chỉ ra
  • Mỹ cần vượt xa việc chỉ hạn chế sử dụng để cấm ngay từ khâu tạo ra và bán dữ liệu định vị chính xác, và đạo luật cấm của bang Virginia được xem là trường hợp đầu tiên

Thực trạng của hệ thống giám sát Webloc

  • Theo điều tra của Citizen Lab, hệ thống giám sát dựa trên công nghệ quảng cáo (Adtech) của Mỹ là Webloc đang thu thập và bán dữ liệu từ tối đa 500 triệu thiết bị di động trên toàn cầu
    • Dữ liệu bao gồm mã định danh thiết bị, tọa độ vị trí, thông tin hồ sơ ứng dụng
    • Webloc ban đầu do Cobweb Technologies phát triển, và sau khi sáp nhập với Penlink vào năm 2023 thì hiện được Penlink bán
  • Tài liệu đề xuất kỹ thuật bị rò rỉ nêu rõ rằng Webloc có thể được dùng để theo dõi từng thiết bị riêng lẻ hoặc tìm kiếm mục tiêu cụ thể
    • Ví dụ được đưa ra gồm trường hợp một người đàn ông ở Abu Dhabi bị theo dõi hơn 12 lần mỗi ngày, và trường hợp hai thiết bị được xác nhận vị trí cùng lúc ở Romania và Italy
    • Citizen Lab mô tả mức độ chi tiết của dữ liệu này là “rợn người”

Việc sử dụng bởi cơ quan chính phủ và lực lượng thực thi pháp luật

  • Khách hàng của Webloc bao gồm Bộ An ninh Nội địa Mỹ (DHS), Cơ quan Thực thi Di trú và Hải quan (ICE), các đơn vị quân đội Mỹ, cảnh sát Cục Các vấn đề người Da đỏ, và cảnh sát bang California, Texas, New York, Arizona
    • Sở Cảnh sát Tucson đã dùng Webloc để xác định nghi phạm trong một vụ trộm thuốc lá hàng loạt, bằng cách theo dõi một thiết bị duy nhất liên tục xuất hiện gần hiện trường và tìm ra địa chỉ của nghi phạm
  • Webloc không phải sản phẩm chủ lực của Penlink mà là tính năng bổ sung cho nền tảng phân tích web và mạng xã hội mang tên Tangles
    • Tangles cho phép tìm kiếm tài khoản trực tuyến bằng tên, email, số điện thoại, tên người dùng, rồi phân tích bài đăng, mối quan hệ, hoạt động và sở thích
    • Nền tảng này cung cấp phân tích địa lý, phân tích mạng lưới, tạo thẻ mục tiêu, tính năng cảnh báo
    • Khi tích hợp với Webloc, hệ thống có thể liên kết mã định danh thiết bị ẩn danh với tài khoản mạng xã hội, từ đó nhận diện cá nhân mà không cần lệnh khám xét

Vấn đề pháp lý, đạo đức và rủi ro an ninh quốc gia

  • Những công cụ này hữu ích cho điều tra, nhưng việc bất kỳ ai cũng có thể mua và sử dụng chúng mà không có quy trình phê duyệt và giám sát chặt chẽ là điều nguy hiểm
    • Quy trình nội bộ của cảnh sát Tucson không được nêu trong báo cáo
  • Tại Mỹ, cần có hàng rào pháp lý đối với việc sử dụng những công cụ như vậy, đồng thời cũng tồn tại rủi ro an ninh quốc gia
    • Cùng một bộ dữ liệu có thể bị cơ quan tình báo nước ngoài dùng để nhắm vào lợi ích của Mỹ
  • Khách hàng nước ngoài của Penlink bao gồm cơ quan tình báo nội địa HungaryCảnh sát Quốc gia El Salvador, những đơn vị cũng sử dụng dữ liệu vị trí cho hoạt động giám sát trong nước
    • Citizen Lab cho rằng họ không trực tiếp nhắm vào Mỹ, nhưng cảnh báo rằng dữ liệu định vị chính xác có thể được dùng cho hoạt động thu thập tình báo trên phạm vi toàn cầu

Các biện pháp cấm và thay đổi chính sách

  • Mỹ cần vượt qua mức chỉ hạn chế việc sử dụng dữ liệu để cấm ngay cả việc tạo ra và bán dữ liệu định vị chính xác
  • Một thay đổi tích cực là bang Virginia gần đây đã ban hành đạo luật cấm bán dữ liệu định vị chính xác của khách hàng
    • Trong bối cảnh luật bảo vệ quyền riêng tư toàn diện ở cấp liên bang vẫn bị trì hoãn, các biện pháp ở cấp bang được đánh giá là phản ứng thực chất
    • Tuy nhiên, vẫn cần có lệnh cấm trên toàn quốc

Ví dụ về chiến dịch tấn công sử dụng AI

  • Công ty bảo mật Gambit đã phân tích trường hợp một hacker đơn lẻ dùng hai nền tảng AI thương mại để xâm nhập 9 cơ quan chính phủ Mexico
    • Chỉ trong vài tuần, kẻ này đã đánh cắp hàng trăm triệu bản ghi dữ liệu công dân và xây dựng dịch vụ làm giả giấy chứng nhận thuế
  • Hacker đã sử dụng ba VPS, trong đó Claude Code tạo và thực thi khoảng 75% các lệnh thực thi mã từ xa
    • Sau khi xâm nhập, đối tượng dùng API OpenAI GPT-4.1 để phân tích dữ liệu thu thập được và lập kế hoạch cho các đợt tấn công tiếp theo
  • Ngày 26 tháng 12 năm 2025, hacker nói với Claude rằng mình đang “kiểm thử bug bounty” và đưa ra các quy tắc như xóa log
    • Khi Claude yêu cầu bằng chứng hợp pháp, hacker đã lưu cheat sheet kiểm thử xâm nhập vào file claude.md để giữ ngữ cảnh phiên làm việc
    • Sau 20 phút, thông qua trình quét vulmap, đối tượng đã truy cập từ xa thành công vào máy chủ của cơ quan thuế Mexico (SAT)
  • Claude tự động tạo script tấn công và trong 7 phút đã thử 8 phương pháp tiếp cận trước khi viết được mã thành công
    • Dù Claude từ chối một số yêu cầu, hacker đã thực hiện phần lớn bằng cách tái cấu trúc lệnh và lách hạn chế
    • Chỉ trong 5 ngày, đối tượng đã đồng thời vận hành nhiều mạng lưới nạn nhân
  • Hacker cũng đồng thời thực hiện trinh sát tự động và phân tích dữ liệu qua API GPT-4.1
    • Một công cụ Python dài 17.550 dòng đã trích xuất dữ liệu máy chủ rồi chuyển cho GPT-4.1
    • Sáu persona nhà phân tích ảo đã tạo ra 2.957 báo cáo thông tin có cấu trúc từ 305 máy chủ
  • Bản thân kỹ thuật tấn công không mới, và các hệ thống mục tiêu đều ở trạng thái chưa vá bảo mật hoặc đã hết hỗ trợ
    • Tuy nhiên, điểm cốt lõi là AI đã tăng tốc độ và hiệu quả công việc của một hacker đơn lẻ lên ngang mức của cả một nhóm
    • Ở góc độ phòng thủ, điều này cho thấy thời đại mà tác nhân quy mô nhỏ cũng có thể gây thiệt hại lớn đã tới

Tin tức an ninh mạng tích cực trong tuần này

  • Bộ Tư pháp Mỹ đã triệt phá, với sự phê chuẩn của tòa án, mạng botnet dựa trên router gia đình do GRU của Nga vận hành
    • GRU đã lây nhiễm router TP-Link để thực hiện DNS hijacking và dùng cho tấn công man-in-the-middle
  • FBI và cảnh sát Indonesia đã triệt phá một mạng lưới phishing toàn cầu sử dụng bộ công cụ phishing W3LL
    • Cảnh sát Indonesia đã bắt giữ nhà phát triển, và đây được đánh giá là cuộc điều tra an ninh mạng chung đầu tiên giữa hai nước
  • Google đưa Device Bound Session Credentials (DBSC) vào Chrome 146 cho Windows
    • Cơ chế này gắn token xác thực với khóa mật mã theo từng thiết bị để ngăn chiếm đoạt phiên
    • Phiên bản cho macOS cũng sẽ sớm được hỗ trợ

Nội dung chính của Risky Bulletin

  • Đã xác nhận router proxy LLM độc hại đang thực sự được lưu hành
    • Nhóm nghiên cứu đã phân tích 28 router trả phí được bán trên Taobao, Xianyu, Shopify và 400 router miễn phí công khai trên GitHub cùng các nơi khác
    • Một số router thực hiện các hành vi độc hại như chèn lệnh, kích hoạt trì hoãn, đánh cắp thông tin xác thực, né tránh phân tích
  • Chính phủ Pháp bắt đầu bước đầu tiên nhằm giảm phụ thuộc vào Windows và chuyển sang Linux
    • DINUM (Tổng cục Kỹ thuật số) được chỉ định làm cơ quan dẫn dắt để thử nghiệm chuyển đổi quy mô lớn
    • Tại hội thảo liên bộ ngày 8 tháng 4, các bộ đã cam kết chuẩn bị kế hoạch triển khai và công nghệ thay thế
  • Phân tích chiến lược an ninh mạng của Trung Quốc
    • Trong kế hoạch 5 năm mới nhất (FYP thứ 15), mục tiêu xây dựng “cường quốc mạng (网络强国)” được nêu là một trong 5 mục tiêu siêu cường
    • Bốn lĩnh vực còn lại là siêu cường về sản xuất, chất lượng, hàng không vũ trụ và giao thông

Bài viết liên quan

1 bình luận

 
GN⁺ 4 ngày trước
Ý kiến trên Hacker News

  • Nhiều dữ liệu vị trí được đưa ra thị trường được nói là đã ẩn danh, nhưng trên thực tế thường vẫn có thể tái nhận diện một thiết bị cụ thể
    Chỉ cần nhìn nơi thiết bị ở lại vào ban đêm là có thể suy ra địa chỉ nhà, rồi đối chiếu với thông tin cư dân (nơi làm việc, trường học, v.v.) để xác định chủ sở hữu

    • Nếu biết vị trí nhà và nơi làm việc của ai đó, thì cái gọi là dữ liệu vị trí đã ẩn danh chỉ là hư cấu
    • Điều tương tự đã xảy ra với bộ dữ liệu Netflix Prize cách đây 20 năm. Chỉ với dữ liệu chấm điểm phim đơn giản cũng có thể đối chiếu với dữ liệu bên ngoài để nhận diện cá nhân
      Bài báo liên quan ở đây
    • Từ “ẩn danh hóa” rốt cuộc chỉ là security theater. Ngành adtech luôn tìm ra kẽ hở trong luật hoặc EULA, nên giải pháp phải là cách tiếp cận ở cấp kiến trúc
      Ví dụ, nếu chuyển sang cấu trúc proxy stateless loại bỏ mã định danh thiết bị trước khi gửi lên máy chủ, thì ngay từ đầu sẽ không còn dữ liệu nào để lại trong cơ sở dữ liệu
    • Có người từng thấy một công ty chuyên tái nhận diện dữ liệu từ các data broker khác. Nhờ vậy các broker vẫn có thể tuyên bố đã ẩn danh hóa, nhưng thực tế thì toàn bộ thông tin đều bị lộ
    • Nếu có cỡ mẫu đủ lớn, ngay cả dữ liệu số bước chân đơn giản cũng có thể dùng để nhận diện cá nhân
      Hiện tại cơ sở dữ liệu có lẽ chưa đủ lớn, nhưng trong tương lai điều đó không phải là bất khả thi

  • Việc thu thập loại dữ liệu này mà không có trát tòa hay hợp đồng minh thị thì nên bị cấm

    • Nhưng phần lớn mọi người không đọc EULA hay điều khoản dịch vụ. Rất có thể các điều khoản như vậy đã nằm sẵn trong đó
    • Kiểu theo dõi này phải được tắt theo mặc định (opt-out), và phải cấm việc bán cho bên thứ ba hoặc sử dụng ngoài mục đích ban đầu
    • Trên thực tế gần như mọi EULA đều cho phép kiểu thu thập dữ liệu này. Vấn đề là mọi người vẫn đồng ý, còn chính phủ thì mua dữ liệu hoặc thuê ngoài để lách hiến pháp
    • GDPR cũng đã thử giải quyết, nhưng ngành adtech bóp méo câu chuyện, và việc thiếu thực thi khiến hiệu quả rất hạn chế

  • Ở Mỹ gần như không có khái niệm dữ liệu cá nhân. Ngoài một phần của HIPAA thì hầu như không có cơ chế bảo vệ nào
    Chỉ cần có luật như Data Protection Act 1998 của Anh thôi cũng đã có thể ngăn chặn nhiều hành vi bất hợp pháp

  • Ngay khi giới giàu có và quyền lực nhận ra rằng chính họ cũng có thể bị theo dõi, quy định sẽ bắt đầu xuất hiện
    Dữ liệu vị trí cũng là yếu tố cốt lõi khi quân đội truy vết và loại bỏ mục tiêu, vậy mà loại dữ liệu này lại đang được giao dịch quá dễ dàng qua các broker

    • Có vẻ cũng có thể sẽ xuất hiện một dịch vụ theo dõi kiểu ElonJet dựa trên loại dữ liệu này

  • Các cuộc thảo luận về quyền riêng tư lúc nào cũng mang tính phản ứng muộn
    Công nghệ giám sát được tạo ra, bị lạm dụng, bị phanh phui, công chúng nhận thức được, rồi đến lúc đó luật mới được làm ra
    Vòng phản hồi này quá chậm và về bản chất rất hao tổn. Cần một cách tiếp cận hoàn toàn khác

    • Nên hình sự hóa chính hành vi xâm phạm quyền riêng tư. Giống như trộm cắp, phải đánh giá theo kết quả chứ không phải theo cách thức thực hiện
      Có thể có lý do kỹ thuật để thu thập dữ liệu, nhưng không có lý do chính đáng nào cho việc đem bán

  • Có ý tưởng mở rộng luật bản quyền để bảo vệ lộ trình di chuyển của cá nhân như một “biểu đạt sáng tạo”

    • Nhưng như Cory Doctorow từng nói, dùng bản quyền làm công cụ thay thế cho quyền riêng tư là rất nguy hiểm
      Dữ liệu vị trí không phải tác phẩm sáng tạo, và thậm chí ai là “người ghi lại” còn không rõ ràng
      Bài viết liên quan có thể xem ở đây
    • Cuối cùng thì điều khoản dịch vụ sẽ chỉ bổ sung một điều khoản miễn trừ kiểu “bạn cho phép sử dụng dữ liệu vị trí của mình trên toàn cầu, không độc quyền và miễn phí bản quyền”

  • Phần lớn mọi người đều đánh giá thấp mức độ nguy hiểm của dữ liệu vị trí
    Mua dữ liệu từ broker rồi geofencing một địa chỉ cụ thể là có thể theo dõi toàn bộ nơi người đó đi đến và những ai họ qua lại
    Đây là công cụ kiểm soát hoàn hảo mà Palantir hay các chính phủ độc tài vẫn mơ ước

  • Có người từng thấy một trường hợp kỳ lạ khi xem các hồ sơ công khai
    Ở mọi địa điểm xung quanh họ đều hiện một người có cùng tên là “hàng xóm”. Không rõ đó là người thật hay hồ sơ giả
    Nếu loại thông tin này còn kèm cả tọa độ GPS, thì lộ trình sinh hoạt hằng ngày của cá nhân có thể bị công khai giống như hồ sơ tín dụng

    • Ngoài GPS, còn có nhiều hệ thống GNSS khác dùng để đo kinh độ và vĩ độ

  • Ảnh chụp màn hình và phân tích chi tiết của các công cụ liên quan có thể xem trong báo cáo của Citizen Lab

    • Chủ đề thảo luận trên HN về việc này ở đây

  • Có người cho rằng giờ đây việc đăng video cũng nên là bất hợp pháp nếu không có sự đồng ý rõ ràng của tất cả những người xuất hiện trong đó
    Chia sẻ trong phạm vi gia đình thì không sao, nhưng công khai ra bên ngoài thì phải có sự đồng ý của tất cả mọi người
    Trong thời đại văn hóa influencer khiến việc xâm phạm đời tư trở thành thứ có thể kiếm tiền, bảo vệ pháp lý cần được tăng cường mạnh hơn nhiều
    Dữ liệu vị trí cũng tuyệt đối không được bị bán hoặc bị phơi bày

    • Nhưng nếu có luật như vậy thì video lễ hội, bài phát biểu chính trị, video tố giác nội bộ cũng có thể bị cấm
      Hành vi quấy rối vốn đã là tội phạm, nên cần cẩn thận để không tạo ra những đạo luật đàn áp một cách không cần thiết