Google đã đặt 2,6 tỉ người dùng Chrome trước nguy cơ bị xâm phạm dữ liệu riêng tư. Vài tuần trước, Google đã thừa nhận đã "vô tình" khiến hàng triệu người dùng bị theo dõi bởi các trang web. Hãng cho biết muốn thay đổi, muốn đặt sự riêng tư của người dùng lên hàng đầu nhưng việc các trang web theo dõi người dùng là điều hãng không thể kiểm soát được ít nhất là vào thời điểm này và điều đó dẫn đến sự "xói mòn về lòng tin". Thế nhưng DuckDuckGo thì cho rằng "chỉ khi Google đồng ý giảm thu thập dữ liệu người dùng và hạn chế quảng cáo định hướng theo hành vi người dùng" thì mọi thứ mới tốt lên.
Đó là mặc cho những cảnh báo bảo mật, Google đã phát hành một API mới có tên Idle Detection cho Chrome. API này cho phép trang web phát hiện và thông báo khi người dùng "idle" tức thiết bị đang ở trạng thái đang mở nhưng không sử dụng. Apple cảnh báo "đây là mối quan ngại rõ ràng về quyền riêng tư" trong khi Mozilla cho rằng "đây là cơ hội quá hấp dẫn để theo dõi người dùng".
Tuy nhiên, Google thì không lắng nghe, vẫn phát hành API và thậm chí còn cho rằng nó hữu ích. Hãng nói với Forbes: "Google mong đợi tính năng này chỉ được sử dụng bởi một phần nhỏ các trang web, yêu cầu trang web phải xin phép người dùng để truy cập dữ liệu. Nó được xây dựng dựa trên nền tảng bảo vệ quyền riêng tư, giúp các ứng dụng nhắn tin chỉ gởi thông báo đến thiết bị mà người dùng hiện đang sử dụng thay vì các thiết bị đang ở trạng thái idle".
Theo Brave: "Việc cho phép các trang web biết được khi nào người dùng đang duyệt trang web, màn hình thiết bị đang khóa hay những thứ tương tự thì cũng đồng nghĩa trang web sẽ có thể thu thập được dữ liệu nhạy cảm. Những thông tin như vậy rất có ích đối với những trang web hay script độc hại khi chúng muốn học hành vi của người dùng."
Cái sự "vô tình" mà Google thừa nhận là gì?
Đó là mặc cho những cảnh báo bảo mật, Google đã phát hành một API mới có tên Idle Detection cho Chrome. API này cho phép trang web phát hiện và thông báo khi người dùng "idle" tức thiết bị đang ở trạng thái đang mở nhưng không sử dụng. Apple cảnh báo "đây là mối quan ngại rõ ràng về quyền riêng tư" trong khi Mozilla cho rằng "đây là cơ hội quá hấp dẫn để theo dõi người dùng".
Tuy nhiên, Google thì không lắng nghe, vẫn phát hành API và thậm chí còn cho rằng nó hữu ích. Hãng nói với Forbes: "Google mong đợi tính năng này chỉ được sử dụng bởi một phần nhỏ các trang web, yêu cầu trang web phải xin phép người dùng để truy cập dữ liệu. Nó được xây dựng dựa trên nền tảng bảo vệ quyền riêng tư, giúp các ứng dụng nhắn tin chỉ gởi thông báo đến thiết bị mà người dùng hiện đang sử dụng thay vì các thiết bị đang ở trạng thái idle".
Theo Brave: "Việc cho phép các trang web biết được khi nào người dùng đang duyệt trang web, màn hình thiết bị đang khóa hay những thứ tương tự thì cũng đồng nghĩa trang web sẽ có thể thu thập được dữ liệu nhạy cảm. Những thông tin như vậy rất có ích đối với những trang web hay script độc hại khi chúng muốn học hành vi của người dùng."
Vivaldi cũng đồng tình với ý kiến của Brave khi nói: "Chúng tôi không hài lòng với các tác động đối với quyền riêng tư của API mới bởi nó có thể bị lạm dụng để theo dõi hành vi người dùng hay có thể bị lạm dụng để biết khi nào người dùng không để ý đến hoạt động bất thường của CPU trên máy tính. Có những tác động về quyền riêng tư mà người dùng không thể nhận ra."
Lần "vô tình" thứ N và sự thờ ơ
Thực tế Google đã nhiều lần "vô tình" tạo điều kiện cho các trang web theo dõi người dùng. Hồi đầu năm, Google đã triển khai FLoC - Federated Learning of Cohorts - một thuật toán học hành vi của một nhóm người dùng tương tự nhau. Trong đó người dùng được gom vào từng nhóm gọi là Cohorts dựa trên lịch sử duyệt web của họ, từ đó các nhà quảng cáo có thể chạy nội dung quảng cáo định hướng đến nhóm người dùng dựa trên mối quan tâm chung. Google đã thử nghiệm trên trình duyệt Chrome vào tháng 3 năm nay và FLoC thay thế cho các cookie phía thứ 3 - cũng là thứ mà Chrome sẽ ngưng hỗ trợ vào đầu năm 2023. FLoC đang được phát triển bởi bộ phận Privacy Sandbox bên cạnh nhiều công nghệ quảng cáo khác.
Thế nhưng Google đã được cảnh báo rằng hãng không thể vừa ẩn danh người dùng vừa phục vụ cho nhu cầu của các hãng quảng cáo được, nó sẽ là thảm họa theo dõi người dùng. Hiệp hội Electronic Foundation, DuckDuckGo và nhiều hãng làm trình duyệt khác đã lên tiếng phản đối bởi FLoC không chỉ vi phạm quyền riêng tư mà còn phản cạnh tranh. Tháng 6 năm nay thì các cơ quan quản lý chống độc quyền của EU đã tiến hành một cuộc điều tra chính thức để đánh giá liệu Google có vi phạm các quy tắc cạnh tranh hay không. Việc Google ngưng hỗ trợ cookie phía thứ 3 và thay thế bằng bộ công cụ Privacy Sandbox bao gồm tính năng FLoC cũng được đặt vào tầm ngắm.
Cảnh báo nhưng không nghe, Google đã bí mật cho hàng triệu người dùng tham gia thử nghiệm tính năng này để rồi lặng lẽ thừa nhận rằng những cảnh báo này đã trở thành sự thật, những rủi ro người dùng bị theo dõi chỉ trở nên tồi tệ hơn. Thậm chí đã có các trang web như Am I FLoCed? giúp người dùng Chrome xác định xem họ có phải là “chuột bạch” của Google với FLoC hay không.
DuckDuckGo đã cảnh báo Idle Detection API là "một ví dụ khác của Google nhằm đưa một API có các đặc tính bảo mật dữ liệu riêng tư kém vào web mà không có sự đồng thuận mà trái lại là sự phản đối kịch liệt từ các nhà làm trình duyệt khác. Idle Detection API không hoạt động theo hướng Google muốn tức là theo nghĩa hẹp mà sẽ phơi bày dữ liệu mới về hành vi của người dùng đến với các trang web. Dữ liệu này sau cùng có thể bị lạm dụng để giám sát và quảng cáo định hướng người dùng. Tính năng của hàm API này vượt quá những mối quan tâm về quyền riêng tư mà nó đề cập."
“Google vẫn đang theo đuổi ý định là làm sao có thể hiển thị quảng cáo nhưng vẫn đảm bảo quyền riêng tư, hãng đã có kế hoạch như công cụ Privacy Sandbox. Thế nhưng những kế hoạch này vẫn đang bị hoãn, trong khi đó họ tiếp tục phát triển những tính năng như Idle Detection API để theo dõi người dùng và mở ra những tình huống sử dụng mới cho các nhà quảng cáo,” Mozilla nói.
Mắc kẹt trong cái bẫy của chính mình
Quảng cáo
Mozilla nói rằng Chrome hiện là "trình duyệt lớn duy nhất không cung cấp các tính năng bảo vệ có ý nghĩa nào đối với việc theo dõi người dùng của các trang web và sẽ tiếp tục đặt người dùng trước rủi ro." Bảng trên là các nhãn riêng tư của các trình duyệt, có 2 mục là dữ liệu liên quan tới bạn và dữ liệu không liên quan, Google Chrome chiếm đến 63,5% thị phần trình duyệt và nó cũng thu thập hầu như mọi thứ từ dữ liệu vị trí, dữ liệu sử dụng web, lịch sử duyệt web, cho đến thông tin thanh toán. Safari và Edge ngang nhau, Mozilla ít hơn còn DuckDuckGo (trình duyệt trên iOS và Android) không thu thập dữ liệu cá nhân của người dùng.
Apple đã đẩy cuộc chiến về quyền riêng tư đi xa hơn, iOS 15 đã có thêm những tính năng giúp người dùng bảo vệ dữ liệu, chống bị theo dõi. Safari giờ đây đã mặc định chặn cookie theo dõi từ phía thứ 3 và đặc biệt là Private Relay - một thứ được mô tả như VPN nhưng cách hoạt động và mục đích sử dụng lại khác. VPN tạo ra mạng riêng ảo hay một đường hầm bảo mật giữa bạn và các trang web và máy chủ bạn truy cập, giúp che giấu danh tính, địa chỉ IP hay giả mạo vị trí của bạn bằng cách định tuyến lưu lượng truy cập qua một quốc gia khác. Dù vậy, các nhà cung cấp VPN vẫn có thể thấy mọi thứ bạn làm và họ biết bạn đang ở đâu. Vì vậy VPN đặt ra yếu tố "tin tưởng" đối với nhà cung cấp dịch vụ.
Trong khi đó, Private Relay khác ở chỗ không bên nào trong kết nối, kể cả Apple biết được địa chỉ IP hay những gì người dùng truy cập. Private Relay không giả mạo vị trí như VPN mà nó sẽ đổi địa chỉ IP của bạn thường xuyên. Private Relay cũng không thể hiện bạn đang kết nối qua proxy từ đó các trang web vốn hạn chế về VPN vẫn có thể hoạt động bình thường. Nói cho đơn giản, Private Relay chặn trang web theo dõi và lấy dữ liệu truy vết mà Chrome vẫn thu thập. Chrome thì không thể làm được điều này bởi nếu chặn hết, ngưng thu thập dữ liệu nhận dạng người dùng thì chẳng khác nào phá đi "nồi cơm" quảng cáo kỹ thuật số - thứ với Google là doanh thu chính.
Google cố gắng đi đường vòng bằng Privacy Sandbox nhưng mâu thuẫn giữa lợi ích của nhà quảng cáo và sự riêng tư của người dùng khó được giải quyết. Google tiếp tục nghĩ kế và giải pháp mới có tên "Privacy Budget" - tạm hiểu là một hạn mức riêng tư, tính năng này nhằm giám sát lượng dữ liệu mà Google thu thập từ người dùng. Như vậy thay vì xem sự riêng tư của người dùng là một điều bất khả xâm phạm và chỉ đơn giản là ngăn các trang web thu thập dữ liệu thì Google lại muốn biến sự riêng tư này thành một thứ mà hãng muốn đặt ra hạn mức thu thập, thu thập bao nhiêu, sâu bao nhiêu.
Ý tưởng ở đây là những trang web sẽ bị giới hạn những gì chúng có thể lấy từ "ngân hàng dữ liệu riêng tư" và tiền tệ của ngân hàng này chính là dữ liệu riêng tư của bạn. Một khi các trang web rút sạch tiền, ngân hàng dữ liệu riêng tư sẽ đóng cửa và chúng sẽ tạm thời không thể rút thêm dữ liệu. Thế nhưng cũng giống như FLoC, các phương pháp cách ly dữ liệu người dùng kiểu này không thể tồn tại lâu trong thế giới web thật. Như Mozilla đã giải thích: "điều cốt lõi ở đây là một lượng lớn dữ liệu nhận dạng người dùng vẫn có thể bị phơi bày trên thế giới web và dường như vẫn chưa có lối tắt nào để giải quyết vấn đề này."
Quảng cáo
Google đang bị nhốt trong cái bẫy của chính mình. Không giống như Mozilla, Brave, Microsoft, DuckDuckGo và Apple, Google cần phải chơi 2 mặt, vừa phải quan tâm đến dữ liệu riêng tư của người dùng nhưng vừa phải đánh đổi sự riêng tư để phục vụ nhu cầu của các nhà quảng cáo.
Mọi con đường đều dẫn tới La Mã
DuckDuckGo nói dù Google đã hết lần này đến lần khác hô hào rằng hãng quan tâm và tôn trọng quyền riêng tư người dùng nhưng như trường hợp của FLoC, Google đã khiến cho tính năng này trông có vẻ như giảm truy vết người dùng nhưng lại công bố nó đạt hiệu quả 95% như cookie phía thứ 3. Mục đích cuối cùng vẫn là định hướng quảng cáo người dùng dựa trên tuổi, giới tính, sắc tộc, thu nhập và nhiều yếu tố khác.
Google ban đầu khẳng định rằng FLoC không phải là một mối đe dọa như đang được tô vẽ mà nó giảm thiểu rủi ro người dùng để lộ dấu vết khi duyệt web nhưng rồi giải pháp này cho thấy nó nguy hiểm chẳng kém gì cookie. Vậy là Google chuyển sang Privacy Budget, hãng nói mục tiêu cuối cùng là xây dựng giải pháp hạn chế việc thu thập dữ liệu người dùng một cách hiệu quả mà không làm ảnh hưởng đến các chức năng của trang web hay phải cần dùng đến các thủ pháp theo dõi khác. Google cam kết công khai rằng không tư lợi và đang làm việc với các cơ quan quản lý, nhóm ngành để củng cố.
Tuy nhiên theo Brave thì "phương pháp tiếp cận của Google là duy trì một mức chấp nhận được đối với các hoạt động thu thập và theo dõi người dùng nhưng dù có ý nghĩa tốt đến đâu thì nó vẫn trái ngược với mục tiêu của một thế giới web thật sự tôn trọng quyền riêng tư." Brave tiếp tục cho rằng giải pháp Privacy Budget của Google sẽ không thể bảo vệ dữ liệu riêng tư hiệu quả và Firefox cũng đồng tình.
Liệu có nên từ bỏ Chrome? Điều này tùy vào giá trị dữ liệu riêng tư của bạn. Nếu không cảm thấy có vấn đề gì khi Google thu thập và bán dữ liệu của bạn thì Chrome vẫn là lựa chọn trình duyệt tốt. Về phần Google, hãng nói rằng "Chúng tôi muốn ngăn chặn việc người dùng bị theo dõi tràn lan trên thế giới web." Khi bạn kiểm soát một trình duyệt có đến 2,6 tỉ người dùng, bạn nắm giữ nút giao giữa người dùng và nhà quảng cáo và các trang web và khi bạn nắm giữ công cụ tìm kiếm phổ biến nhất cùng các tracker đầu cuối phổ biến nhất trên thế giới web thì việc"ngăn chặn tình trạng người dùng bị theo dõi tràn lan" hoàn toàn trong khả năng của bạn nhưng Google thì không thể làm vậy.
Google cho biết 72% người dùng cảm thấy hầu như những gì họ làm trên mạng đều bị theo dõi và 81% nói rằng việc thu thập dữ liệu cá nhân ẩn chứa nhiều rủi ro hơn là lợi ích, vì vậy Google nói cần phải thay đổi. Thế nhưng Google nói nhiều hơn làm, hãng vẫn đang là bên khai thác tracker nhiều nhất như bảng thống kê trên.
Theo: Forbes
