Hiếu PC cảnh báo nguy hiểm khi dùng app nhắn tin không mã hóa đầu cuối

Bước lùi về quyền riêng tư hay toan tính khai thác dữ liệu?

Từ ngày 8/5, tính năng mã hóa đầu cuối (E2EE) không còn khả dụng trên các tin nhắn trực tiếp (DM) của nền tảng Instagram. Meta tuyên bố lý do đảo ngược chính sách này là vì có quá ít người sử dụng tính năng mã hóa. 

Dù Instagram đã thử nghiệm tin nhắn mã hóa trực tiếp vào năm 2021 và triển khai dưới dạng tính năng tùy chọn (opt-in) vào năm 2023, nó chưa bao giờ được đặt làm mặc định. Việc tính năng bị ẩn quá sâu khiến hầu hết người dùng không hề biết đến sự tồn tại của nó, để rồi Meta lấy chính tỷ lệ sử dụng thấp làm lý do loại bỏ.

Quyết định này được xem là một sự đảo ngược rõ ràng so với lập trường ưu tiên quyền riêng tư mà CEO Mark Zuckerberg từng công bố 7 năm trước. Thực tế, mọi tin nhắn bạn gửi trên Instagram hiện nay đều di chuyển dưới định dạng mà Meta có thể đọc được. Đáng chú ý, chính sách quyền riêng tư của hãng cũng liệt kê nội dung tin nhắn mà người dùng gửi và nhận nằm trong số dữ liệu mà họ thu thập. 

Về nguyên tắc, điều này cho phép Meta sử dụng dữ liệu để cá nhân hóa tính năng, đào tạo mô hình trí tuệ nhân tạo (AI) và phân phối quảng cáo nhắm mục tiêu. Chính sách để ngỏ khả năng công ty có thể dùng chính các tin nhắn không mã hóa trên Instagram để phục vụ cho mục đích quảng cáo.

Đánh giá về động thái của Meta, chuyên gia an ninh mạng Ngô Minh Hiếu - CEO Chống Lừa Đảo cho biết, về mặt kỹ thuật, người dùng đã mất đi lớp bảo vệ quan trọng nhất, vốn đảm bảo chỉ người gửi và người nhận mới đọc được nội dung. Khi lớp bảo mật này biến mất, tin nhắn có thể được hệ thống nền tảng xử lý, lưu trữ, phân tích hoặc cung cấp khi có yêu cầu hợp pháp.

"Điều đó không có nghĩa là ai cũng có thể đọc trộm ngay lập tức, nhưng rủi ro bị lộ, bị khai thác nội bộ, bị tấn công máy chủ hoặc bị lạm dụng dữ liệu sẽ cao hơn rất nhiều", chuyên gia Ngô Minh Hiếu nhấn mạnh. 

Ông Hiếu cũng lý giải nguyên nhân các ứng dụng nhắn tin đang trở thành "cỗ máy khai thác dữ liệu", vì tin nhắn ngày nay không chỉ đơn thuần là giao tiếp mà còn chứa dữ liệu về mối quan hệ, thói quen, vị trí, sở thích mua sắm và trạng thái tài chính. 

Với các nền tảng sống bằng quảng cáo, dữ liệu càng chi tiết thì khả năng nhắm mục tiêu càng cao. Sự "miễn phí" của các ứng dụng này đôi khi được đánh đổi bằng chính dữ liệu cá nhân và quyền riêng tư của người dùng.

Bùng nổ nguy cơ lừa đảo "may đo" và giải pháp tự vệ

Meta thường viện dẫn áp lực từ các cơ quan thực thi pháp luật và tổ chức bảo vệ trẻ em - những bên cho rằng mã hóa đầu cuối tạo ra không gian không thể phát hiện tình trạng bóc lột tình dục trẻ em. Tuy nhiên, nghiên cứu về tống tiền tình dục cho thấy hơn 50% nạn nhân cho biết thủ phạm thường yêu cầu họ chuyển sang các nền tảng khác sau khi tiếp cận bước đầu. 

Các thủ phạm đã liên hệ với khoảng 23% nạn nhân bị tống tiền tình dục ở Australia thông qua Instagram, biến đây thành phương thức liên lạc phổ biến thứ hai chỉ sau Snapchat. Do đó, cách tiếp cận an toàn của công ty cần phải hoạt động hiệu quả cho cả Instagram và các dịch vụ được mã hóa đầu cuối của họ.

Những việc làm công nghệ an toàn giữa làn sóng sa thải vì AI

Bên cạnh các mối lo ngại về an toàn trực tuyến, rủi ro lớn nhất đối với người dùng phổ thông khi tin nhắn không được mã hóa là nguy cơ trở thành nạn nhân của tội phạm tài chính. Chuyên gia Ngô Minh Hiếu cảnh báo, nếu dữ liệu hành vi và nội dung trò chuyện bị khai thác, tội phạm mạng có thể dựng các kịch bản lừa đảo mang tính cá nhân hóa hơn. Chúng sẽ biết rõ người dùng đang vay tiền, mua hàng, đi du lịch, dùng ngân hàng nào và đang gặp vấn đề gì.

"Từ nguồn dữ liệu này, kẻ xấu có thể tạo ra các tin nhắn lừa đảo (phishing) giống thật hơn, giả mạo quản lý, người thân hoặc dùng giọng nói, hình ảnh cũ để tạo deepfake yêu cầu chuyển tiền. Nguy hiểm nhất là lừa đảo không còn đại trà mà ‘may đo’ cho từng nạn nhân", ông Hiếu khẳng định.

Trước rủi ro nói trên, chuyên gia khuyến cáo người dùng cần hết sức cẩn trọng khi trao đổi các thông tin nhạy cảm về công việc, tài chính, giấy tờ cá nhân hay tài khoản ngân hàng. Người dùng nên ưu tiên các ứng dụng có mã hóa đầu cuối mặc định, bật xác thực hai lớp, khóa ứng dụng bằng sinh trắc học. Đặc biệt, tuyệt đối không gửi mã OTP, mật khẩu, ảnh căn cước hay thông tin thẻ qua các tin nhắn thông thường. 

Đối với mọi giao dịch tiền bạc, quy tắc sống còn là luôn xác minh lại bằng một kênh độc lập, chẳng hạn gọi điện trực tiếp hoặc gặp mặt, nhất là khi có yêu cầu chuyển tiền gấp.

Instagram bỏ mã hóa đầu cuối: Tính riêng tư thực sự của những đoạn chat online?Khi ứng dụng chat như Instagram ngày càng lưu giữ nhiều thông tin cá nhân hơn, những lo ngại về cách dữ liệu riêng tư được bảo mật cũng trở nên cấp thiết hơn với người dùng Việt Nam.