Cảnh báo về sự kém an toàn của dữ liệu cá nhân trên đám mây

11:15 19/08/2016
Khi Max Schrems, nhà hoạt động bảo vệ quyền riêng tư người Áo, yêu cầu được nhìn thấy dữ liệu cá nhân được Facebook lưu trữ trên các hệ thống máy chủ của công ty công nghệ, ông nhận được qua email một CD-ROM chứa đựng bộ tài liệu gồm 1.222 trang.

Dữ liệu - nếu được in ra giấy và xếp nối tiếp các trang với nhau sẽ kéo dài đến gần 400m - hé lộ phần nào trách nhiệm quản lý dữ liệu riêng tư của Facebook đối với 1,65 triệu người dùng.

Thông tin dữ liệu lưu trữ bao gồm: số điện thoại và địa chỉ email của bạn bè và gia đình của Max Schrems; lịch sử mọi thiết bị được sử dụng để đăng ký dịch vụ; mọi sự kiện được mời tham dự; mọi người mà ông "kết bạn" (cũng như hủy kết bạn); và một kho thông điệp cá nhân. Thậm chí, Facebook còn lưu giữ bản sao những thông điệp mà Max Schrems đã xóa.

Chuyên gia Benjamin Caudill.

Nhưng Max (chỉ thỉnh thoảng sử dụng Facebook trong thời gian 3 năm) tin rằng Facebook còn giấu ông một lượng đáng kể thông tin cá nhân. Max nhận được hồ sơ dữ liệu khoảng 50 hạng mục, song ông tin rằng cá nhân mình có đến hơn 100 hạng mục. Max Schrems trình bày với hãng tin Anh BBC: "Facebook giữ lại dữ liệu nhận diện gương mặt của tôi - công  nghệ có thể xác định nhân dạng thông qua những hình ảnh của tôi. Họ không tiết lộ thông tin theo dõi về những hoạt động cá nhân của người dùng, ví dụ như là thời gian lướt trang web về ôtô thể thao hay thời gian đọc hết thông tin trên trang web".

Câu chuyện của Max Schrems cho thấy những thách thức mà chúng ta đang phải đối mặt trong kỷ nguyên số tràn ngập những ứng dụng nhắn tin, nền tảng xã hội, cỗ máy tìm kiếm. Và, mọi dữ liệu cá nhân thu thập được về chúng ta đều được lưu trữ kín đáo ở đâu đó trên "đám mây". Không ai biết được mọi dữ liệu này nằm chính xác ở đâu, được sử dụng như thế nào và liệu chúng có thật sự an toàn hay không?

Hơn một nửa kho lưu trữ đám mây trên thế giới nằm dưới sự kiểm soát của 4 tập đoàn chính. Trong đó, Amazon lớn nhất chiếm khoảng một phần ba thị phần với 13 trung tâm dữ liệu khổng lồ đặt tại Mỹ, 3 ở Nam Mỹ, 5 ở châu Âu, 11 ở khắp châu Á và 3 ở Australia. 3 nhà cung cấp dịch vụ đám mây lớn kế tiếp là Microsoft, IBM và Google - mỗi công ty đều có trung tâm dữ liệu trên toàn cầu. Các nhà cung cấp dịch vụ đám mây khổng lồ này, theo thói quen, thường sao chép dữ liệu người dùng trên các mạng của họ.

Trung tâm dữ liệu của Google ở Đài Loan.

Điều đó có nghĩa là, thông tin được tải lên đám mây ở Anh hay Mỹ sẽ được truyền đến một số hệ thống máy chủ đặt tại các thành phố lớn trên thế giới - từ Sydney ở Australia đến Thượng Hải của Trung Quốc. Giáo sư Dan Svantesson, chuyên gia về luật Internet thuộc Đại học Bond (Australia), nhận định: "Nếu dữ liệu chúng ta được truyền đến một quốc gia khác, vấn đề là những ai sẽ sử dụng chúng - các nhà cung cấp mạng hay cơ quan hành pháp?".

Benjamin Caudill, chuyên gia cố vấn an ninh mạng của Công ty Rhino Security Labs đặt trụ sở tại thành phố Seattle (Mỹ), cũng bày tỏ sự quan ngại về hoạt động phân bổ dữ liệu người dùng trên đám mây: "Chúng ta rất khó biết được dữ liệu được lưu trữ ở đâu. Ngay chính các công ty cũng nhiều khi không chắc chắn được vị trí chính xác của dữ liệu".

Caudill kể trường hợp một khách hàng của ông sử dụng dịch vụ đám mây Azure của Microsoft nghi ngờ bị hacker tấn công xóa hết mọi dữ liệu và bản sao lưu dự phòng. Sau nỗ lực tìm kiếm kiểm tra nhọc nhằn, hoá ra dữ liệu cho rằng đã biến mất thực ra lại được lưu trữ ở đâu đó trong chuỗi hệ thống máy chủ của Azure.

 Kể từ đó, khách hàng của Caudill không còn mấy tin tưởng các máy chủ của Microsoft nữa. Caudill cũng cho rằng "không ai biết các dịch vụ đám mây an toàn đến mức nào" và "cả Amazon lẫn Azure đều có một số lỗ hổng an ninh". Ví dụ tại trung tâm máy chủ của Google ở South Carolina, đội ngũ bảo vệ luôn tuần tra những cánh cửa và sử dụng máy quét mống mắt tại những lối vào khu lưu trữ dữ liệu. Mạng chiếu tia laser dưới tầng hầm cũng được sử dụng để dò tìm phát hiện kẻ xâm nhập bất hợp pháp. Song không ai biết chắc những bảo vệ này có thể vi phạm những quy định an ninh hay không?

Một người phát ngôn cho Microsoft nói với phóng viên hãng tin Anh BBC: "Microsoft có trách nhiệm bảo đảm an toàn dữ liệu khách hàng và cho phép họ ra quyết định về dữ liệu cá nhân. Chúng tôi khuyên khách hàng nên tham quan Microsoft Trust Center để tìm hiểu về dữ liệu được quản lý và giữ an toàn như thế nào".

Về phần mình, Amazon cam kết "khách hàng có quyền sở hữu và kiểm soát dữ liệu cá nhân. Họ sẽ chọn nơi lưu trữ dữ liệu và công ty sẽ không di chuyển dữ liệu trừ phi khách hàng quyết định di chuyển". Hiện nay, khả năng khách hàng tự chọn khu vực để lưu trữ dữ liệu ngày càng được các công ty công nghệ áp dụng, đặc biệt khi Quy chế Bảo vệ Dữ liệu Chung (GDPR) của Liên minh châu Âu (EU) sẽ có hiệu lực vào năm 2018.

Di An (tổng hợp)