Face-Six nói có ít nhất 30 nhà thờ trên thế giới đang sử dụng công nghệ của hãng này. Các nhà thờ chỉ cần tải lên hình ảnh chất lượng cao của các giáo dân, sau đó hệ thống sẽ tìm kiếm và giám sát họ trong các buổi lễ và hoạt động xã hội.
Khi được hỏi liệu các giáo hội có thông báo với giáo dân rằng họ đang bị theo dõi hay không, Greenshpan nói với Fusion: “Tôi không cho rằng các nhà thờ có thông báo việc đó. Chúng tôi có khuyến khích họ làm như vậy, nhưng tôi nghĩ họ sẽ làm theo.”
Jonathan Zittrain, giám đốc Trung tâm Internet và Xã hội Berkman của trường Luật Harvard, đã đưa ra đề xuất rằng con người cần một thẻ “không theo dõi” giống như thẻ được sử dụng trên một số website. Điều này sẽ giúp những người không muốn tham gia không xuất hiện trong cơ sở dữ liệu nhận diện khuôn mặt. Để làm được điều này, Viện Tin học Quốc gia tại Nhật Bản đã tạo ra một “kính bảo hộ riêng tư” thương mại. Cặp kính này, được bán với giá khoảng 240 đô-la, tạo ra ánh sáng chỉ nhìn thấy được trên camera. Ánh sáng quang được phát ra xung quanh mắt để ngăn chặn các hệ thống nhận diện khuôn mặt. Theo những người thử nghiệm ban đầu, kính này phát huy hiệu quả lên tới 90%. Cảnh báo duy nhất ở đây là chúng không thích hợp khi lái xe hoặc đi xe đạp. Chúng cũng không có vẻ ngoài hợp thời trang, nhưng vẫn là giải pháp hoàn hảo để thực thi quyền riêng tư của bạn ở nơi công cộng.
Như vậy, bạn đã biết rằng sự riêng tư của mình có thể bị xâm phạm khi bạn ở ngoài trời, vậy có khi bạn sẽ cảm thấy an toàn hơn khi ở trong xe ô tô, nhà, thậm chí văn phòng. Thật không may, điều này không còn đúng nữa. Trong các chương tiếp theo, tôi sẽ giải thích tại sao.
Chương 11:
Đừng chia sẻ địa chỉ của tôi
Các nhà nghiên cứu Charlie Miller và Chris Valasek không xa lạ gì với việc đột nhập vào các hệ thống ô tô. Trước đây, cả hai đã xâm nhập vào một chiếc Toyota Prius – nhưng là trong bối cảnh họ ngồi ngay ở ghế sau của xe. Sau đó, vào mùa hè năm 2015, Miller và Valasek đã thành công trong việc giành quyền điều khiển chính của chiếc Jeep Cherokee trong khi nó vẫn đang chạy ở tốc độ 110km/giờ trên một đường cao tốc ở St. Louis. Họ có thể điều khiển từ xa một chiếc xe mà không cần ở gần nó.
Thực ra, có tài xế ngồi trong chiếc Jeep nhắc đến ở trên – đó là phóng viên Andy Greenberg của tạp chí Wired. Các nhà nghiên cứu đã thông báo trước với Greenberg rằng dù có chuyện gì xảy ra cũng đừng hoảng sợ. Nhưng hóa ra đó lại là một nhiệm vụ khó khăn, ngay cả đối với một người đã biết trước rằng xe của mình sẽ bị xâm nhập.
Greenberg viết về trải nghiệm này như sau: “Chân ga ngừng hoạt động ngay lập tức. Khi tôi cuống cuồng nhấn bàn đạp và quan sát chỉ số RPM (tốc độ động cơ) tăng vọt, chiếc Jeep bị mất một nửa tốc độ, rồi chậm lại như rùa bò. Chuyện này xảy ra khi tôi vừa đi đến một đoạn cầu vượt dài, không có ai giúp đỡ. Thí nghiệm này bỗng mất đi sự thú vị của nó.”
Sau đó, các nhà nghiên cứu bị chỉ trích vì “liều lĩnh” và “nguy hiểm.” Chiếc xe Jeep của Greenberg đang đi trên đường công cộng, không phải trên đường chạy thử nghiệm, do đó, tại thời điểm tôi viết cuốn sách này, cơ quan thực thi pháp luật Missouri vẫn đang cân nhắc buộc tội Miller và Valasek – và có thể là cả Greenberg nữa.
Việc xâm nhập những chiếc xe được kết nối từ xa là đề tài được bàn đến trong nhiều năm nay, nhưng phải đến thí nghiệm của Miller và Valasek thì cả ngành công nghiệp ô tô mới chú ý. Cho dù mục đích của nó là gì, thí nghiệm này cũng đã khiến các nhà sản xuất ô tô phải bắt đầu suy nghĩ nghiêm túc về an toàn mạng – và về việc Quốc hội có nên cấm hoạt động xâm nhập bất hợp pháp vào ô tô hay không.
Các nhà nghiên cứu khác đã chứng minh rằng họ có thể đảo ngược giao thức kiểm soát xe bằng cách chặn và phân tích lưu lượng GSM hoặc CDMA di chuyển từ máy tính trên xe tới hệ thống của nhà sản xuất ô tô. Các nhà nghiên cứu đã có thể giả mạo các hệ thống điều khiển ô tô bằng cách gửi tin nhắn SMS để khóa và mở khóa cửa xe. Một số người thậm chí còn chiếm đoạt các khả năng khởi động từ xa bằng cách sử dụng các phương thức tương tự. Nhưng Miller và Valasek là những người đầu tiên có thể giành kiểm soát hoàn toàn một chiếc xe từ xa. Theo họ, cũng với những phương thức tương tự, họ có thể chiếm được quyền kiểm soát xe ô tô ở các bang khác.
Có lẽ kết quả quan trọng nhất trong thí nghiệm Miller-Valasek là họ đã khiến hãng Chrysler thu hồi hơn 1,4 triệu chiếc xe vì vấn đề lập trình – đây cũng là lần đầu tiên ô tô bị thu hồi vì lý do này. Chrysler cũng tạm thời ngắt kết nối của những chiếc xe bị ảnh hưởng với mạng Sprint mà các xe sử dụng cho di động viễn thông, dữ liệu mà các xe thu thập và chia sẻ với nhà sản xuất theo thời gian thực. Tại hội nghị DEF CON 23, Miller và Valasek phát biểu rằng họ nhận ra mình có thể chiếm quyền điều khiển xe ở các bang khác, nhưng điều đó vi phạm các nguyên tắc đạo đức. Thay vào đó, họ thực hiện thí nghiệm với Greenberg ở quê nhà của Miller.
Trong chương này, tôi sẽ chỉ ra rằng những chiếc ô tô mà chúng ta lái, những chiếc tàu mà chúng ta đi, và những ứng dụng di động mà chúng ta sử dụng hằng ngày có thể bị sơ sở ra sao trước những cuộc tấn công trên mạng, chưa kể đến vô số những sự xâm phạm về quyền riêng tư mà xe kết nối có thể mang đến cho cuộc sống của chúng ta.
Khi Johana Bhuiyan, một phóng viên của BuzzFeed, đến văn phòng của Uber ở New York trong một chiếc xe của Uber, Josh Mohrer, giám đốc quản lý của hãng này, đang ngồi đợi. “Cô đây rồi,” anh nói, và giơ chiếc iPhone lên. “Tôi đã theo dõi cô.” Đó không phải là một khởi đầu tốt đẹp cho cuộc phỏng vấn của họ, vốn liên quan đến vấn đề quyền riêng tư của người tiêu dùng.
Trước khi bài báo của Bhuiyan xuất hiện vào tháng 11 năm 2014, rất ít người bên ngoài Uber biết đến God View, một công cụ mà Uber dùng để theo dõi vị trí của hàng nghìn lái xe hợp đồng cũng như khách hàng của họ, tất cả đều theo thời gian thực.
Như tôi đã đề cập ở phần trước, các ứng dụng thường xin phép người dùng nhiều nội dung khác nhau, bao gồm quyền truy cập dữ liệu vị trí địa lý của họ. Ứng dụng Uber đi xa hơn: nó yêu cầu vị trí gần đúng (Wi-Fi) và chính xác (GPS), quyền truy cập danh bạ của bạn, và không cho phép thiết bị di động của bạn ở chế độ ngủ (để nó có thể giám sát nơi bạn ở).
Bhuiyan cho Mohrer biết rằng cô không cho phép công ty này theo dõi cô vào bất cứ lúc nào và ở bất cứ nơi đâu. Nhưng trên thực tế là cô đã làm như vậy, mặc dù có thể không rõ ràng. Nội dung cho phép này nằm trong thỏa thuận người dùng mà cô đã đồng ý khi tải dịch vụ xuống thiết bị di động của mình. Sau cuộc gặp, Mohrer đã gửi email cho Bhuiyan nhật ký một số chuyến đi Uber gần đây của cô.
Uber thu thập một hồ sơ cá nhân cho mỗi khách hàng, ghi lại từng chuyến đi mà họ thực hiện. Đó là một ý tưởng tồi nếu cơ sở dữ liệu không an toàn. Được biết đến trong lĩnh vực bảo mật như một “hũ mật ngọt,” cơ sở dữ liệu của Uber có thể thu hút mọi đối tượng rình mò, từ chính phủ Mỹ cho đến hacker Trung Quốc.
Năm 2015, Uber thay đổi một số chính sách bảo mật, một số thay đổi theo hướng gây thiệt hại cho người tiêu dùng. Uber hiện thu thập dữ liệu vị trí địa lý từ tất cả người dùng ở Mỹ – ngay cả khi ứng dụng này chỉ chạy ngầm. Uber cho biết họ sẽ sử dụng địa chỉ Wi-Fi và IP để theo dõi người dùng “ngoại tuyến.” Điều đó có nghĩa là ứng dụng Uber hoạt động như một gián điệp thầm lặng trên thiết bị di động của bạn. Tuy nhiên, công ty này không nói tại sao họ lại cần khả năng này.
Uber cũng không giải thích đầy đủ lý do tại sao họ lại cần tới God View. Mặt khác, theo chính sách bảo mật của họ: “Uber có chính sách nghiêm ngặt nghiêm cấm tất cả nhân viên ở mọi cấp truy cập vào dữ liệu của người lái. Ngoại lệ duy nhất đối với chính sách này là dành cho một nhóm hạn chế các mục đích hoạt động hợp pháp.” Hoạt động hợp pháp có thể bao gồm việc giám sát các tài khoản bị nghi ngờ là gian lận và giải quyết các vấn đề của lái xe (ví dụ: mất kết nối). Hoạt động hợp pháp có lẽ không bao gồm việc theo dõi những chuyến đi của một phóng viên.
Bạn có thể nghĩ rằng Uber sẽ cung cấp cho khách hàng quyền xóa thông tin theo dõi. Không. Và nếu sau khi đọc xong cuốn sách này, bạn xóa ứng dụng trên khỏi điện thoại của mình, hãy đoán xem điều gì sẽ xảy ra? Dữ liệu của bạn vẫn tồn tại trong Uber.
Theo chính sách bảo mật sửa đổi, Uber cũng thu thập cả thông tin sổ địa chỉ của bạn. Nếu có iPhone, bạn có thể vào phần cài đặt và thay đổi tùy chọn chia sẻ địa chỉ liên hệ. Nếu bạn sử dụng Android, thì đó không phải là một lựa chọn.
Các đại diện của Uber tuyên bố rằng họ hiện không thu thập loại dữ liệu khách hàng này. Tuy nhiên, bằng cách đưa vấn đề thu thập dữ liệu vào trong chính sách bảo mật – mà người dùng hiện tại đã đồng ý và người dùng mới bắt buộc phải đồng ý – công ty này có thể triển khai các tính năng trên bất kỳ lúc nào. Và người dùng sẽ không được nhận bất kỳ bồi thường nào.
Chế độ God View của Uber có lẽ cũng đủ để khiến bạn phải mong muốn quay trở lại những chiếc taxi cũ thông thường. Trước đây, bạn chỉ việc nhảy vào một chiếc taxi, nêu điểm đến rồi thanh toán tiền mặt cho chuyến đi. Nói cách khác, chuyến đi của bạn gần như là hoàn toàn ẩn danh.
