Nguy cơ bị đánh cắp dữ liệu từ ứng dụng theo dõi vị trí

“Chúng tôi thống nhất cùng cài phần mềm vì tin tưởng, không có gì giấu nhau”, Hoàng My (TP HCM) nói về việc mình và người yêu cài mCouple – phần mềm chuyên theo dõi vị trí và lịch sử di chuyển, xem tin nhắn SMS và mạng xã hội, cuộc gọi, thậm chí truy cập vào hình ảnh, video, âm thanh và các tệp tin khác được lưu trữ trên smartphone.

Trong khi đó, Mai Phương (Dak Lak) cho biết đã cài một ứng dụng có tên GPS Phone Location Tracker lên Điện thoại của chồng, sau khi phát hiện anh ngoại tình. “Tôi đã tha thứ, nhưng vẫn muốn xem có ‘ngựa quen đường cũ’ hay không”, chị chia sẻ. “Tôi không nói với anh ấy, nhưng cũng không muốn mình lại bị ‘qua mặt’ lần nữa”.

Hiện nay, việc cài ứng dụng theo dõi không hiếm, với nhiều mục đích như phụ huynh theo dõi vị trí con cái, bố mẹ già, hay vợ chồng hoặc người yêu tự nguyện chia sẻ. Tuy nhiên, cũng có trường hợp âm thầm cài đặt phần mềm do nghi ngờ đối phương làm chuyện mờ ám, ghen tuông… Trong trường hợp này, phần mềm thường bị ẩn đi để tránh bị phát hiện. Theo khảo sát năm 2023 của VnExpress, 41% trong số 2.000 người tham gia nói nghi ngờ bị theo dõi nhưng không thể xác minh và 33% cho biết từng bị theo dõi vị trí.

Phần mềm loại này thậm chí phát triển thành một “ngành công nghiệp mờ ám”, gọi là stalkerware. Nhiều công ty đứng sau quảng cáo chúng có thể truy cập từ xa vào điện thoại, theo dõi “nhất cử nhất động” của mục tiêu, như vị trí, lịch sử di chuyển, danh bạ, nhật ký cuộc gọi, kho lưu trữ cùng nhiều thông tin cá nhân khác.

Thế nhưng, những người cài stalkerware cũng có thể trở thành nạn nhân của việc đánh cắp dữ liệu, khi các nhà cung cấp ứng dụng này đang trở thành “mồi ngon” của hacker. Theo thống kê của Tech Crunch, ít nhất 26 công ty phát triển phần mềm theo dõi đã bị hack hoặc rò rỉ dữ liệu khách hàng và nạn nhân trực tuyến kể từ 2017, với bốn trong số đó bị đánh cắp dữ liệu nhiều lần.

Catwatchful là cái tên mới nhất bị hacker đánh cắp thông tin. Nhà cung cấp phần mềm theo dõi có trụ sở tại Uruguay đã bị tấn công ngày 1/7, khiến dữ liệu điện thoại riêng tư của gần 26.000 khách hàng bị xâm phạm.

Từ đầu năm đến nay, ngoài Catwatchful, ba vụ tấn công phần mềm theo dõi quy mô lớn được ghi nhận, gồm Cocospy, Spyic và Spyzie. Cocospy bị đánh cắp 1,81 triệu địa chỉ email khách hàng, còn Spyic là 880.167 email, sau đó thông tin bị tung lên dark web, với những dữ liệu cá nhân nhạy cảm khác như tin nhắn, ảnh hay nhật ký cuộc gọi.

Trong năm 2024, cũng có ít nhất bốn vụ tấn công nhằm vào đơn vị cung cấp phần mềm theo dõi. Chẳng hạn, Spytech, nhà sản xuất phần mềm gián điệp tại Minnesota (Mỹ), bị xâm nhập và lấy nhiều dữ liệu, chủ yếu là nhật ký hoạt động của hàng trăm nghìn khách hàng. Trước đó, mSpy của Altercon Group, ứng dụng phần mềm theo dõi ra mắt từ 2010, bị hacker lấy đi thông tin của hàng triệu người dùng.

Theo Motherboard, việc tấn công các công ty tạo phần mềm theo dõi đã diễn ra từ năm 2017, khi một nhóm hacker liên tiếp xâm nhập vào Retina-X (Mỹ) và FlexiSpy (Thái Lan), khiến 130.000 khách hàng toàn cầu bị ảnh hưởng. “Tôi sẽ thiêu rụi chúng thành tro bụi, không để bất cứ nơi nào cho chúng ẩn náu”, một hacker viết trên dark web sau khi công bố dữ liệu. “Tôi sẽ làm chúng sụp đổ hoàn toàn để có thời gian để suy ngẫm về những gì đã làm. Nếu cố gắng hồi sinh dưới một công ty khác, tôi sẽ tiếp tục”.

Một số công ty thậm chí phải đóng cửa sau bê bối. Năm ngoái, pcTattletale, nhà cung cấp giải pháp theo dõi tại Mỹ, bị kẻ tấn công đánh cắp dữ liệu và đăng lên diễn đàn, mạng xã hội nhằm làm mất mặt công ty. Nhà sáng lập Bryan Fleming tuyên bố đóng cửa pcTattletale vì không chịu được áp lực. Theo Tech Crunch, trong số 26 công ty sản xuất phần mềm theo dõi đã nêu, 8 đã kết thúc hoạt động.

Cũng có một số công ty bị phát hiện vì thiếu trách nhiệm với dữ liệu người dùng. Chẳng hạn, FamilyOrbit ở California (Mỹ) từng bị đánh cắp 281 GB dữ liệu, hầu hết không được mã hóa và bảo vệ bằng mật khẩu đơn giản; hay MobiiSpy để lại 25.000 bản ghi âm và 95.000 hình ảnh trên một máy chủ mà bất kỳ ai cũng có thể truy cập.

Những ứng dụng stalkerware như Catwatchful, SpyX, Cocospy, mSpy được giới thiệu với mục đích “trong sáng”. Nhưng theo TechRadar, chúng thường bị lạm dụng, một số thậm chí quảng cáo hành vi “phi đạo đức” như bắt quả tang người khác làm chuyện mờ ám, theo dõi nhân tình, vợ chồng theo dõi nhau…

Đã có nhiều vụ kiện tụng xảy ra, cũng như các nghiên cứu cho thấy việc theo dõi và giám sát trực tuyến có thể dẫn đến hành vi gây hại và bạo lực trong thế giới thực. Theo các chuyên gia, đây là một phần lý do hacker liên tục nhắm vào công ty cung cấp phần mềm theo dõi người khác.

Theo Forbes, việc sử dụng phần mềm để theo dõi không chỉ là hành vi phi đạo đức, mà còn bất hợp pháp nếu chưa được sự đồng ý. Ngay cả việc quản lý con cái, phụ huynh cũng cần thông báo cho con em mình.

Với người dùng thông thường, hãng bảo mật Kaspersky khuyến cáo có thể chủ động xác định điện thoại có bị theo dõi hay không nếu thấy một số dấu hiệu như: máy chạy chậm bất thường, pin cạn nhanh hơn, nóng hơn, dữ liệu di động hết nhanh hơn. Bên cạnh đó, người dùng cần thường xuyên kiểm tra ứng dụng được cài trên điện thoại và cảnh giác nếu thấy đòi hỏi nhiều quyền truy cập như vị trí, tin nhắn, cuộc gọi, danh bạ, thẻ nhớ.

Bảo Lâm tổng hợp