Hàng triệu người dùng Vinted, Spotify và Tinder có nguy cơ bị lộ dữ liệu

Trong vụ rò rỉ dữ liệu quốc tế nghiêm trọng này, các tin tặc được cho là đã nhắm vào công ty Gravy Analytics (GA) của Mỹ, nơi môi giới dữ liệu vị trí cho hàng nghìn ứng dụng phổ biến.

Ước tính có khoảng 20 triệu người tại Anh đã sử dụng một trong các ứng dụng bị ảnh hưởng, mặc dù chưa rõ bao nhiêu người có thể đã bị lộ dữ liệu vị trí. Các chuyên gia lo ngại dữ liệu bị đánh cắp này sẽ tạo điều kiện thuận lợi cho tội phạm lừa đảo hoặc thậm chí tống tiền người dùng.

Hàng triệu người bị ảnh hưởng bởi đợt tấn công mạng nhằm vào các ứng dụng nổi tiếng. Ảnh: Boonchai Wedmakawand/Moment RF/Getty

Nhiều công ty thu thập dữ liệu vị trí của khách hàng khi họ sử dụng ứng dụng. Dữ liệu này sau đó được bán trực tiếp hoặc gián tiếp cho các công ty như GA, nơi tiếp tục bán lại dữ liệu cho các tổ chức khác như quỹ đầu tư, công ty bảo hiểm hoặc cơ quan chính phủ.

Vụ rò rỉ này đặt ra rủi ro mới cho quyền riêng tư cá nhân, khi tin tặc có thể tiết lộ không chỉ di chuyển của các cá nhân hay thói quen mua sắm và chơi game của họ, mà còn cả danh tính của những người được chính phủ và cơ quan thực thi pháp luật theo dõi.

Giáo sư Alan Woodward - chuyên gia an ninh mạng tại Đại học Surrey, cho biết: "Điều đáng lo ngại nhất chính là sự mất quyền riêng tư. Bạn có thể thấy rõ rằng lịch sử vị trí hoặc vị trí gần đây có thể là công cụ tuyệt vời để lừa đảo xã hội và truy cập trái phép thêm."

GA từng bị cơ quan chức năng Mỹ chỉ trích vì theo dõi và bán dữ liệu vị trí nhạy cảm của người dùng trái phép, bao gồm cả thông tin về các chuyến thăm của khách hàng đến các địa điểm y tế và nơi thờ phụng.

Bên cạnh việc đăng tải chi tiết vị trí của hàng triệu người dùng, tin tặc này còn tiết lộ hơn 10.000 ứng dụng mà dữ liệu vị trí được thu thập từ đó. Các ứng dụng này bao gồm Vinted, Spotify, Candy Crush và ứng dụng hẹn hò Tinder.

Người phát ngôn của Vinted, một trong những nền tảng mua bán quần áo cũ trực tuyến phổ biến nhất thế giới với 16 triệu người dùng tại Anh, cho biết mặc dù công ty không có quan hệ đối tác trực tiếp với GA, nhưng khách hàng vẫn có thể bị ảnh hưởng.

"Chúng tôi đang nghiêm túc xem xét vấn đề này, vì sự an toàn của các thành viên luôn là ưu tiên hàng đầu. Chúng tôi đang tích cực điều tra để xác định liệu nền tảng hay thành viên của mình có bị ảnh hưởng hay không, bao gồm cả các tác động gián tiếp thông qua bên thứ ba. Hiện tại, chúng tôi chưa có đủ thông tin để xác nhận bất kỳ liên hệ hay tác động nào," người phát ngôn cho biết.

Tinder cũng xác nhận họ đang điều tra vụ việc nhưng bác bỏ việc có mối quan hệ trực tiếp với GA. Người phát ngôn của Tinder cho biết: "Tinder rất coi trọng vấn đề an toàn và bảo mật. Chúng tôi không có quan hệ với GA và không có bằng chứng nào cho thấy dữ liệu này được lấy từ ứng dụng Tinder."

Người phát ngôn của Spotify cho biết: "Không có dữ liệu người dùng Spotify nào liên quan đến vụ tấn công này."

Một bài đăng trên web đen vào đầu tháng này từ một tin tặc không xác định tên "Nightly" tuyên bố đã thực hiện thành công vụ tấn công. Bài đăng đi kèm với mẫu dữ liệu 1,4GB từ vụ rò rỉ, được cho là chứa 10 triệu bản ghi dữ liệu vị trí từ các ứng dụng. Các chuyên gia an ninh mạng đã xác minh dữ liệu này xuất phát từ công ty GA.

Vụ tấn công, được cho là nhằm mục đích tống tiền, còn bao gồm cả vị trí GPS và địa chỉ IP của hàng triệu điện thoại sử dụng các ứng dụng phổ biến. Dữ liệu này có thể chứa lịch sử vị trí của các cá nhân trong nhiều năm.

Nỗ lực xác minh quy mô của vụ rò rỉ gặp khó khăn do trang web của Gravy Analytics hiện vẫn ngừng hoạt động và công ty không trả lời các tin nhắn. Tuy nhiên, các nguồn tin an ninh tại Anh xác nhận rằng họ đang giám sát tình hình để đánh giá mức độ nghiêm trọng của vụ việc.

Theo tờ i Paper, tin tặc có thể đã thu thập hơn 10 terabyte dữ liệu, lớn gấp nhiều lần so với lượng đã được công bố trên web đen. Nếu thông tin này là chính xác, đây sẽ là một trong những vụ tấn nghiêm trọng nhất trong lịch sử gần đây.

Tài khoản của hàng triệu người dùng trên toàn cầu được cho là đã bị ảnh hưởng bởi vụ đánh cắp dữ liệu.

Vụ rò rỉ nhấn mạnh mối lo ngại ngày càng tăng về việc các ứng dụng di động có thể theo dõi vị trí của người dùng. Theo thông lệ môi giới dữ liệu, nhiều ứng dụng phổ biến liên tục theo dõi người dùng để tạo ra dữ liệu được sử dụng bởi bên thứ ba để triển khai các chiến dịch quảng cáo mục tiêu.

Khi đồng ý với các điều khoản và điều kiện liên quan đến việc chia sẻ dữ liệu của các ứng dụng với bên thứ ba, dữ liệu của người dùng sẽ được chia sẻ như một phần của các thỏa thuận đó. GA, có trụ sở gần Washington DC, được biết đến với việc bán dữ liệu vị trí điện thoại thông minh cho nhiều khách hàng, bao gồm các cơ quan chính phủ Mỹ như Bộ An ninh Nội địa và Cục Điều tra Liên bang. Công ty này cũng hợp tác với hàng nghìn doanh nghiệp để thu thập dữ liệu vị trí và giúp khách hàng hiểu rõ hơn về di chuyển của người dùng nhằm mục đích quảng cáo và tiếp thị.

Thực tế này đã vấp phải nhiều chỉ trích gay gắt, và Ủy ban Thương mại Liên bang Mỹ (FTC) gần đây bày tỏ lo ngại rằng công nghệ của GA, cụ thể, có thể tạo điều kiện cho việc theo dõi, tống tiền và gián điệp.

Ông Matt Gull - Giám đốc toàn cầu về tình báo mối đe dọa và chuyên gia an ninh mạng tại NCC Group cho biết: "Với các nhóm tội phạm mạng và cả các quốc gia, dữ liệu là một trong những hàng hóa chủ chốt trong các cuộc tấn công mạng. Trong trường hợp xảy ra rò rỉ, các nhóm độc hại có thể khai thác dữ liệu không chỉ để tống tiền mà còn bán lại cho các tội phạm khác, những kẻ có thể sử dụng dữ liệu này để thực hiện các hành vi phạm tội khác như lừa đảo và đánh cắp danh tính. Vụ rò rỉ dữ liệu tại GA lần này đe dọa tiết lộ dữ liệu vị trí của hàng triệu người dùng, nhấn mạnh nhu cầu cấp bách về các biện pháp bảo vệ dữ liệu mạnh mẽ."

Spotify và King Games – chủ sở hữu Candy Crush đã được tiếp cận để bình luận. Tờ báo này cũng đã cố gắng liên hệ với GA, nhưng trang web của họ hiện không hoạt động và không có đại diện nào trả lời yêu cầu bình luận.

Duy Trinh (theo The i Paper)