MinhSec
Writer
Các chuyên gia an ninh mạng đang gióng lên hồi chuông cảnh báo về một công cụ tưởng chừng vô hại nhưng lại cực kỳ phổ biến: pixel theo dõi. Đây là những đoạn mã nhỏ được các nền tảng như Meta Platforms và TikTok sử dụng để theo dõi hành vi người dùng khi họ truy cập vào các website, đặc biệt là sau khi nhấp vào quảng cáo.
Theo một nghiên cứu từ Jscrambler, các pixel này có thể thu thập hàng loạt thông tin cá nhân mà người dùng không hề hay biết, thậm chí ngay cả khi họ đã từ chối chia sẻ dữ liệu. Điều đáng nói là cách hoạt động của chúng có nhiều điểm tương đồng với các phần mềm đánh cắp thông tin (infostealer) vốn thường gắn liền với hacker.
Những dữ liệu bị thu thập không chỉ dừng lại ở hành vi lướt web. Chúng có thể bao gồm thông tin nhận dạng cá nhân như họ tên, email, số điện thoại, vị trí, thậm chí cả dữ liệu liên quan đến thanh toán và thói quen mua sắm. Tất cả được tổng hợp lại để tạo thành hồ sơ chi tiết về từng người dùng, phục vụ cho việc quảng cáo nhắm mục tiêu.
Điều gây tranh cãi là quá trình này có thể diễn ra ngay khi trang web vừa tải xong, trước cả khi người dùng kịp chọn “đồng ý” hay “từ chối” việc chia sẻ dữ liệu. Nói cách khác, nhiều lựa chọn về quyền riêng tư hiện nay chỉ mang tính hình thức.
Thực tế, để chạy quảng cáo hiệu quả, nhiều doanh nghiệp sẵn sàng tích hợp các pixel này vào website của mình. Theo thống kê, một tỷ lệ lớn website trên thế giới đang sử dụng công cụ theo dõi từ các nền tảng mạng xã hội. Điều này vô tình biến người dùng thành “nguồn dữ liệu sống” mà không hề nhận thức đầy đủ.
Không chỉ người dùng, chính các doanh nghiệp cũng phải đối mặt với rủi ro. Việc thu thập dữ liệu vượt mức cần thiết có thể vi phạm các quy định như GDPR hay CCPA, kéo theo các án phạt lớn và ảnh hưởng đến uy tín thương hiệu.
Tuy nhiên, các chuyên gia cho rằng thiết kế mặc định của các công cụ này lại hướng tới việc thu thập càng nhiều dữ liệu càng tốt. Trong khi đó, không phải doanh nghiệp nào cũng hiểu rõ cách chúng hoạt động hoặc kiểm soát chặt chẽ dữ liệu được gửi đi.
Hệ quả là một vòng luẩn quẩn: nền tảng muốn tối đa hóa dữ liệu để tăng hiệu quả quảng cáo, doanh nghiệp muốn tối ưu doanh thu, còn người dùng thì ngày càng mất kiểm soát thông tin cá nhân của mình.
Trong bối cảnh đó, câu hỏi không còn là “bạn có bị theo dõi hay không”, mà là “dữ liệu của bạn đang bị sử dụng đến mức nào”.(darkreading) https://www.darkreading.com/cyber-risk/meta-tiktok-steal-sensitive-pii
Theo một nghiên cứu từ Jscrambler, các pixel này có thể thu thập hàng loạt thông tin cá nhân mà người dùng không hề hay biết, thậm chí ngay cả khi họ đã từ chối chia sẻ dữ liệu. Điều đáng nói là cách hoạt động của chúng có nhiều điểm tương đồng với các phần mềm đánh cắp thông tin (infostealer) vốn thường gắn liền với hacker.
Những dữ liệu bị thu thập không chỉ dừng lại ở hành vi lướt web. Chúng có thể bao gồm thông tin nhận dạng cá nhân như họ tên, email, số điện thoại, vị trí, thậm chí cả dữ liệu liên quan đến thanh toán và thói quen mua sắm. Tất cả được tổng hợp lại để tạo thành hồ sơ chi tiết về từng người dùng, phục vụ cho việc quảng cáo nhắm mục tiêu.
Pixel theo dõi hoạt động ra sao và vì sao gây tranh cãi?
Về bản chất, pixel theo dõi là các đoạn mã JavaScript gắn với một hình ảnh “vô hình” chỉ 1 pixel. Khi bạn truy cập một trang web có tích hợp công cụ này, đoạn mã sẽ tự động kích hoạt và gửi dữ liệu về máy chủ của bên cung cấp, thường là các nền tảng quảng cáo.Điều gây tranh cãi là quá trình này có thể diễn ra ngay khi trang web vừa tải xong, trước cả khi người dùng kịp chọn “đồng ý” hay “từ chối” việc chia sẻ dữ liệu. Nói cách khác, nhiều lựa chọn về quyền riêng tư hiện nay chỉ mang tính hình thức.
Thực tế, để chạy quảng cáo hiệu quả, nhiều doanh nghiệp sẵn sàng tích hợp các pixel này vào website của mình. Theo thống kê, một tỷ lệ lớn website trên thế giới đang sử dụng công cụ theo dõi từ các nền tảng mạng xã hội. Điều này vô tình biến người dùng thành “nguồn dữ liệu sống” mà không hề nhận thức đầy đủ.
Không chỉ người dùng, chính các doanh nghiệp cũng phải đối mặt với rủi ro. Việc thu thập dữ liệu vượt mức cần thiết có thể vi phạm các quy định như GDPR hay CCPA, kéo theo các án phạt lớn và ảnh hưởng đến uy tín thương hiệu.
Khi lợi ích quảng cáo đối đầu quyền riêng tư
Các nền tảng như Meta Platforms và TikTok đều khẳng định rằng họ cung cấp công cụ và chính sách để bảo vệ người dùng, đồng thời trách nhiệm cấu hình pixel thuộc về phía doanh nghiệp sử dụng.Tuy nhiên, các chuyên gia cho rằng thiết kế mặc định của các công cụ này lại hướng tới việc thu thập càng nhiều dữ liệu càng tốt. Trong khi đó, không phải doanh nghiệp nào cũng hiểu rõ cách chúng hoạt động hoặc kiểm soát chặt chẽ dữ liệu được gửi đi.
Hệ quả là một vòng luẩn quẩn: nền tảng muốn tối đa hóa dữ liệu để tăng hiệu quả quảng cáo, doanh nghiệp muốn tối ưu doanh thu, còn người dùng thì ngày càng mất kiểm soát thông tin cá nhân của mình.
Trong bối cảnh đó, câu hỏi không còn là “bạn có bị theo dõi hay không”, mà là “dữ liệu của bạn đang bị sử dụng đến mức nào”.(darkreading) https://www.darkreading.com/cyber-risk/meta-tiktok-steal-sensitive-pii
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview