Monday, December 17, 2012

Bạn đang bị ai theo dõi trên mạng?

Bạn đang bị ai theo dõi trên mạng?

TTO - Tờ Wall Street Journal vừa công bố kết quả của một nghiên cứu thú vị, nói về việc dữ liệu cá nhân đang bị các trang web phổ biến trên Internet chia sẻ với nhau ra làm sao.

Ảnh minh họa: Internet

Tổng cộng đã có khoảng 70 trang web có lượng truy cập cao nhất nước Mỹ đã được Wall Street Journal (WSJ) kiểm tra, nhằm theo dõi “đường đi” của dữ liệu cá nhân người dùng mà những trang này chia sẻ cho các doanh nghiệp khác.

Trước đó, WSJ đã tận dụng số liệu trong danh sách 1.000 trang web phổ biến nhất của Hãng nghiên cứu Internet ComScore (tháng 6-2012) nhằm lựa chọn những trang web tham gia cuộc nghiên cứu. Cụ thể, WSJ đã kiểm tra 50 trang dẫn đầu danh sách nói trên có tính năng yêu cầu người dùng đăng ký thành viên, song không bao gồm các trang đòi hỏi tài khoản bắt buộc mang thông tin thật, chẳng hạn trang web của những ngân hàng.

Thêm vào đó, WSJ còn lựa chọn các trang theo từng nhóm chủ đề, chẳng hạn trang web dành cho trẻ em, trang web mang nội dung chính trị, y tế hay trang dành cho tư vấn tình cảm và hẹn hò trực tuyến. Những trang này được lấy từ kho dữ liệu của cả ComScore lẫn Quantcast (cũng là một hãng chuyên nghiên cứu thị trường Internet).

Phương pháp kiểm tra của WSJ được dựa một phần nhờ vào nghiên cứu của AT&T Labs và Viện nghiên cứu Worcester Polytechnic Institute. Theo đó, với mỗi trang trong danh sách kiểm tra, WSJ sẽ tạo một tài khoản với đầy đủ thông tin người dùng như họ và tên, tên truy nhập, địa chỉ thư điện tử, nơi sinh, địa chỉ sinh sống, mật khẩu tài khoản cùng nhiều loại thông tin riêng tư khác.

Mọi công đoạn đăng ký được yêu cầu hoặc gợi ý bởi trang web đều được WSJ tuân thủ đầy đủ. Ngoài việc đăng ký tài khoản, WSJ còn đăng xuất khỏi tài khoản, rồi đăng nhập lại và mở mọi trang có trong trang web đó như trang tin bài, trang hồ sơ (profile) và trang cấu hình (setting). Giữa mỗi phiên lướt web, WSJ còn cẩn thận xóa hết mọi cookies có trong máy tính dùng cho cuộc thử nghiệm.

Trong quá trình “lướt” một trang web, WSJ sử dụng “Mitmproxy”, phần mềm mã nguồn mở cho phép theo dõi luồng dữ liệu được chuyển khỏi và đến trang web được kiểm tra. Bằng cách này, mọi dữ liệu dữ liệu trung chuyển qua trình duyệt đều được theo dõi một cách triệt để.

Danh sách những trang web phổ biến nhất thế giới, đi kèm là loại dữ liệu cá nhân được các trang này chia sẻ cho nhau, như địa chỉ e-mail, ngày tháng năm sinh, mã vùng… - Ảnh: Wall Street Journal

Biểu đồ do WSJ tổng hợp sẽ cho chúng ta cái nhìn rõ hơn về mức độ mà dữ liệu người dùng được các trang web phổ biến chia sẻ cho các trang khác, cùng địa chỉ những trang nhận dữ liệu này.

Với màu cam là dữ liệu nhận biết được (không thuộc loại riêng tư), màu xanh là dữ liệu riêng tư, những dữ liệu này sẽ được các trang web chia sẻ trọn vẹn nếu là màu đậm, hoặc một phần/được mã hóa nếu là màu nhạt.

Cụ thể, với trang YouTube.com, thông tin về tuổi kèm ngày tháng năm sinh của người dùng được chuyển trọn vẹn đến cho DoubleClick (thuộc Google) và Google AdSense, là hai dịch vụ kinh doanh quảng cáo của Google, chủ sở hữu YouTube.

Phản hồi của Youtube: Dịch vụ chia sẻ video online cho WSJ hay họ dùng máy chủ quảng cáo của Google để đăng tải các nội dung quảng cáo trên YouTube, đồng thời không chia sẻ dữ liệu nhận biết được (identifiable information) của người dùng cho bất cứ trang nào khác.

Phản hồi của bên nhận (Google): Google cho hay không “đọc” bất cứ dữ liệu khách hàng nào được chuyển đến hệ thống quảng cáo của họ.

Đối với Photobucket.com, dịch vụ lưu trữ và chia sẻ ảnh trực tuyến gửi địa chỉ thư điện tử của người dùng đến các trang JumpTap và Rapleaf dưới dạng mã hóa, gửi tên truy nhập (username) của họ đến các trang AppNexus, Experian, Facebook, Google Analytics, Lotame, Nielsen, Rapleaf, Rubicon Project, Scorecard Research (thuộc ComScore) và Turn. Cuối cùng, Photobucket.com gửi thông tin về tuổi, ngày tháng năm sinh của người dùng cho các trang AppNexus và JumpTap, mã quốc gia của họ cho AppNexus và JumpTap.

Phản hồi của Photobucket.com: Photobucket từ chối trả lời câu hỏi của phóng viên WSJ.

Phản hồi của bên nhận: Google, AppNexus, ComScore, Nielsen, Lotame và Rubicon Project cho biết các công ty này không sử dụng cũng như lưu trữ tên truy nhập của người dùng. Experian phản hồi những tên truy nhập được Photobucket gửi đến đã bị lỗi, và đã không được sử dụng bởi công ty này vì bất cứ mục đích gì.

Đối với JumStap, công ty này cho biết không thể giải mã những địa chỉ thư điện tử bị mã hóa, và họ dùng những địa chỉ thư điện tử bị mã hóa này chỉ để thu thập thông tin về quảng cáo hướng đối tượng (ad-targeting) về người dùng, chứ không phải để theo dõi họ.

Đáng chú ý, WSJ còn kiểm tra cả trang web của chính tờ báo này: WSJ.com, trong đó địa chỉ thư điện tử của người dùng được gửi đến AudienceScience, Opt-Intelligence (được mã hóa, kèm tên nhà cung cấp dịch vụ e-mail), họ và tên người dùng thì được gửi đến Audience Science, Opt-Intelligence (chỉ có tên đầu), Scorecard Research (thuộc ComScore), và cuối cùng gửi tuổi/năm sinh của họ đến những trang như DoubleClick (thuộc Google), Facebook và Nielsen.

Phản hồi từ WSJ: WSJ.com cho hay họ đã ký kết cùng các bên thứ ba một chính sách bảo mật để chia sẻ dữ liệu nhận biết được, vốn cấm bên nhận thực hiện các hành vi bán, chia sẻ lại cũng như sử dụng dữ liệu nhận (identifiable information) được một cách sai mục đích.

THÚY QUỲNH

No comments:

Post a Comment