Mới đây, LastPass - trình quản lý mật khẩu phổ biến với hơn 25 triệu người dùng đã bị chỉ trích là bí mật thu thập dữ liệu của người dùng. Một báo cáo đã cho thấy rằng, ứng dụng Android của LastPass, tích hợp 07 trình theo dõi quảng cáo và phân tích đã thu thập dữ liệu của người dùng như loại thiết bị, phiên bản Android, người dùng có đang sử dụng gói miễn phí hay không và liệu đã kích hoạt bảo vệ sinh trắc học hay chưa.
Nhà nghiên cứu người Đức Mike Kuketz là người đã phát hiện vấn đề này. Ông nhận thấy rằng việc các ứng dụng xử lý dữ liệu nhạy cảm để tích hợp các mô-đun quảng cáo và phân tích là hoàn toàn không thể chấp nhận được. Tóm lại, mã code bên ngoài, độc quyền và không rõ ràng là không thể được tích hợp vào các ứng dụng xử lý dữ liệu nhạy cảm. Đôi khi chính các nhà phát triển ứng dụng, những người tích hợp các mô-đun này vào ứng dụng của họ thậm chí không biết những dữ liệu nào mà các mô-đun này thu thập và truyền đến các nhà cung cấp bên thứ ba.
Thông qua việc sử dụng Exodus - một nền tảng kiểm tra quyền riêng tư cho các ứng dụng Android, ông Kuketz nhận thấy rằng một khi ứng dụng Android của LastPass được khởi động, nó sẽ liên hệ ngay với các nhà cung cấp dịch vụ theo dõi. Ứng dụng này tích hợp 07 mô-đun theo dõi quảng cáo và phân tích bao gồm: Google Firebase Analytics, Segment, Google CrashLytics, AppsFlyer, Mixpanel và Google Analytics. Thậm chí, chúng có thể được kích hoạt trước khi người dùng tương tác với ứng dụng.
Theo Mike Kuketz, mặc dù các trình theo dõi này không thu thập các dữ liệu nhạy cảm như mật khẩu của người dùng, nhưng chúng theo dõi gần như mọi thao tác được thực hiện trên điện thoại của người dùng. Thông tin được thu thập bao gồm: địa chỉ IP của thiết bị, độ phân giải màn hình, múi giờ, ID quảng cáo của Google, thông tin về nhà cung cấp dịch vụ, cũng như ID tạo một lần của người dùng. Trong khi ứng dụng hoạt động, nó truyền siêu dữ liệu về các mật khẩu mới được tạo và đó là loại mật khẩu nào. Tuy nhiên, trình theo dõi không thu thập bất kỳ dữ liệu nội dung nào.
Không chỉ người dùng Android, ứng dụng LastPass cũng theo dõi vị trí của người dùng, dữ liệu sử dụng, thông tin liên hệ… trên thiết bị của người dùng iPhone đã cài đặt ứng dụng. Tất cả những thông tin này đều có thể được sử dụng hoặc bán lại cho các công ty quảng cáo của bên thứ 3.
Đáng chú ý, người dùng không nhận được yêu cầu cho phép một số dữ liệu của họ được truyền đến các nhà cung cấp bên thứ ba, và ông Kuketz đã chỉ trích ứng dụng này không cho phép người dùng tùy chọn không tham gia thu thập dữ liệu. Tuy nhiên, phát ngôn viên của LastPass cho biết rằng ứng dụng có cung cấp lựa chọn này.
Theo phát ngôn viên của LastPass, tất cả người dùng của LastPass, bất kể trình duyệt hay thiết bị, đều được cung cấp tùy chọn không tham gia phân tích trong Cài đặt quyền riêng tư LastPass. Tùy chọn này có tại đường dẫn: Cài đặt tài khoản > Hiển thị cài đặt nâng cao > Quyền riêng tư (Account Settings > Show Advanced Settings > Privacy).
LastPass đang tiếp tục xem xét các quy trình hiện có và thực hiện những điều cần thiết để tuân thủ tốt hơn, thậm chí vượt trên các yêu cầu hiện tại về các tiêu chuẩn bảo vệ dữ liệu của ứng dụng. Công ty cũng đã đưa ra tuyên bố về Cam kết của LastPass về Quyền riêng tư và Trải nghiệm Người dùng.
Người phát ngôn cũng đảm bảo rằng không có thông tin nhận dạng cá nhân nhạy cảm nào của người dùng hoặc hoạt động quản lý mật khẩu bị rò rỉ qua trình theo dõi, đồng thời nói thêm rằng trình theo dõi chỉ thu thập dữ liệu thống kê tổng hợp về việc sử dụng ứng dụng, sau đó được sử dụng để tối ưu hóa và cải thiện LastPass. Tuy nhiên, cũng cần lưu ý rằng, các trình theo dõi này cũng được tìm thấy trong một số trình quản lý mật khẩu được sử dụng rộng rãi khác.
Hiện tại, mặc dù báo cáo có thể làm bận tâm những người dùng có ý thức cao về quyền riêng tư, nhưng nó sẽ không làm mất đi những lợi ích của việc sử dụng trình quản lý mật khẩu - bao gồm tránh mắc phải những lỗi tạo mật khẩu phổ biến (như sử dụng lại mật khẩu, tạo mật khẩu quá đơn giản, lưu trữ mật khẩu ở dạng bản rõ, chia sẻ mật khẩu và thay đổi mật khẩu định kỳ mà không cân nhắc).
Người dùng muốn tăng gấp đôi khả năng bảo mật của mình có thể chọn nhiều giải pháp từ miễn phí đến trả phí, với một số trình quản lý mật khẩu thậm chí còn được tích hợp trực tiếp vào các giải pháp bảo mật đầy đủ tính năng. Lưu ý rằng, thêm một lớp bảo mật bổ sung dưới dạng xác thực đa yếu tố cũng là một lựa chọn đáng cân nhắc.
Trong một báo cáo mới đây, The Register cũng chỉ ra rằng LastPass không phải là trình quản lý mật khẩu duy nhất hiện nay có tích hợp trình theo dõi. Hai ứng dụng khác là Bitwarden và Dashlane đều chứa các trình theo dõi, với số lượng lần lượt là 2 và 4. Tuy vậy, nhiều người dùng LastPass đã bắt đầu tẩy chay ứng dụng và chuyển sang sử dụng các ứng dụng khác như 1Password và KeePass (mã nguồn mở), hiện chưa phát hiện có trình theo dõi người dùng.
Đỗ Đoàn Kết
09:00 | 19/11/2018
07:00 | 10/05/2021
07:00 | 23/03/2021
16:47 | 23/03/2017
10:00 | 03/03/2023
15:00 | 17/11/2012
08:00 | 12/03/2024
Mới đây, các nhà nghiên cứu từ Trung tâm Ứng phó khẩn cấp bảo mật AhnLab - ASEC (Hàn Quốc) phát hiện phần mềm độc hại mới có tên WogRAT, đang được các tác nhân đe dọa triển khai trong các cuộc tấn công lạm dụng nền tảng Notepad trực tuyến có tên là aNotepad để bí mật lưu trữ và truy xuất mã độc trên cả Windows và Linux.
08:00 | 19/01/2024
Các nhà nghiên cứu an ninh mạng của hãng bảo mật Malwarebytes (Mỹ) đã xác định được phiên bản cập nhật của phần mềm đánh cắp thông tin trên macOS có tên là Atomic Stealer (hoặc AMOS), cho thấy các tác nhân đe dọa phát triển phần mềm độc hại này đang tích cực nâng cao khả năng của nó. Trong bài viết này sẽ xem xét những thay đổi mới nhất của Atomic Stealer và việc phân phối gần đây các quảng cáo độc hại thông qua công cụ tìm kiếm Google.
09:00 | 09/01/2024
Một nhóm tin tặc có tên Cyber Toufan được cho là do nhà nước Palestine hậu thuẫn tuyên bố đã tấn công hơn 100 tổ chức của Israel thông qua các hoạt động xóa và đánh cắp dữ liệu. Đây là một phần của chiến dịch tấn công toàn diện mà nguyên nhân là việc căng thẳng chính trị ngày càng gia tăng trong khu vực.
14:00 | 29/11/2023
Ngày 28/11, DP World Australia - một trong những nhà điều hành cảng biển lớn nhất của Australia cho biết, tin tặc đã xâm nhập nhiều tập tin chứa thông tin cá nhân chi tiết của các nhân viên.
Công ty an ninh mạng Palo Alto Networks (Mỹ) chuyên cung cấp giải pháp tường lửa cảnh báo một lỗ hổng zero-day nghiêm trọng mới, với điểm CVSS tối đa 10/10. Nếu bị khai thác, kẻ tấn công có thể thực thi mã tùy ý với đặc quyền root mà không cần xác thực.
15:00 | 16/04/2024