Cảnh sát thu thập dữ liệu số của người dùng như thế nào?

Thảo luận trong 'Cyber Security Stories' bắt đầu bởi WhiteHat News #ID:2017, 10/03/21, 01:03 PM.

  1. WhiteHat News #ID:2017

    WhiteHat News #ID:2017 VIP Members

    Tham gia: 20/03/17, 10:03 AM
    Bài viết: 351
    Đã được thích: 111
    Điểm thành tích:
    43
    Danh sách các cuộc gọi. Lịch sử tìm kiếm web. Theo dõi vị trí. Các mệnh lệnh cho loa thông minh. Tất cả đã trở thành công cụ quan trọng phục vụ các cơ quan thực thi pháp luật mà người dùng không hề biết.
    Business-Digital-Trail-Police_2.jpg
    Nguồn: Tracy J; Getty Images
    Vào tháng 8, Williams, một cộng sự của ngôi sao R&B R. Kelly từng phạm tội cưỡng hiếp, bị cáo buộc sử dụng chất nổ để phá hủy xe của một nhân chứng. Mọi hành vi của Williams bao gồm trước khi xảy ra vụ nổ đều bị theo dõi mà y không hề hay biết. Khi cảnh sát bắt giữ Williams, bằng chứng được trích dẫn trong bản khai của Bộ Tư pháp chủ yếu được lấy từ điện thoại và các hành vi trực tuyến của y: tin nhắn văn bản tới nạn nhân, bản ghi trên điện thoại di động và lịch sử tìm kiếm.

    Các nhà điều tra đã yêu cầu Google cung cấp thông tin tất cả người dùng đã tìm kiếm địa chỉ của nạn nhân vào khoảng thời gian xảy ra vụ nổ. Cảnh sát thu hẹp phạm vi tìm kiếm và xác định được Williams, sau đó ra lệnh điều tra hai tài khoản Google có liên quan đến nghi phạm này. Các tìm kiếm khác như “đặc tính kích nổ” của nhiên liệu diesel, danh sách các quốc gia không có thỏa thuận dẫn độ với Mỹ và video trên YouTube về các nạn nhân của R. Kelly phát biểu với báo chí cũng được tìm thấy. Tuy nhiên, Williams không nhận tội.

    Dữ liệu được thu thập vì một mục đích nào đó bao giờ cũng bị khai thác để phục vụ cho một mục đích khác. Ví dụ: dữ liệu lịch sử tìm kiếm dùng để cải thiện các thuật toán đề xuất hoặc xây dựng hồ sơ trực tuyến, không phải để bắt tội phạm. Các thiết bị thông minh như loa, TV và thiết bị đeo tay lưu giữ các thông tin chi tiết chính xác về cuộc sống của người dùng đến mức chúng được coi là bằng chứng buộc tội và minh oan trong các vụ án giết người. Loa thông minh không cần phải nghe lén các vụ phạm tội hoặc lời thú tội vẫn có thể hỗ trợ đắc lực các nhà điều tra. Chúng lưu giữ tất cả các mệnh lệnh theo thời gian, cùng thông tin chi tiết về vị trí và danh tính của người dùng. Các nhà điều tra có thể truy cập những bản ghi này và từ đó xác minh nơi ở của kẻ tình nghi hay thậm chí vạch trần lời nói dối của thủ phạm.

    Một số công ty thuộc nhóm Big Tech cam kết ủng hộ phong trào cải cách cảnh sát nhưng vẫn bán các thiết bị và ứng dụng cho phép chính phủ truy cập vào nhiều dữ liệu riêng tư của nhiều người dùng hơn so với các phương pháp truyền thống.

    Một báo cáo tháng 11 trên tạp chí Vice cho thấy dữ liệu vị trí của người dùng Muslim Pro – một ứng dụng nổi tiếng dành cho cộng đồng người Hồi giáo có thể đã bị bán cho các cơ quan chính phủ. Bất kỳ ứng dụng nào cũng yêu cầu dữ liệu định vị như ứng dụng dự báo thời tiết hoặc ứng dụng theo dõi thói quen tập thể dục. Báo cáo của Vice cho thấy X-Mode, một công ty môi giới dữ liệu, đã thu thập dữ liệu của người dùng Muslim Pro để đưa ra lời nhắc đến giờ cầu nguyện, sau đó bán dữ liệu cho công ty khác, bao gồm các cơ quan chính phủ. Apple và Google đều cấm các nhà phát triển chuyển dữ liệu sang X-Mode, nhưng công ty này đã kịp thu thập dữ liệu từ hàng triệu người dùng.
    muslimproprivacy.jpg
    Nguồn: Internet
    Vấn đề không nằm ở bất kỳ ứng dụng riêng lẻ nào mà là một hệ thống thu thập dữ liệu rất phức tạp và được giám sát chặt chẽ. Tháng 12/2020, Apple bắt đầu yêu cầu các nhà phát triển nêu rõ các chính sách quyền riêng tư của ứng dụng thông qua tính năng “nutritional label”. Thông thường, sau khi tải về ứng dụng, người dùng nhấp “Đồng ý” là họ đã “đồng ý” với hầu hết các hình thức thu thập dữ liệu nhưng các chính sách bảo mật vốn khó hiểu và người dùng thường không biết họ đang chấp thuận điều gì.

    Một bản tóm tắt dễ hiểu như nutrition label của Apple rất hữu ích, nhưng ngay cả các nhà phát triển cũng không biết dữ liệu thu thập từ ứng dụng của họ cuối cùng sẽ được lưu giữ ở đâu. (Nhiều nhà phát triển được Vice liên hệ thừa nhận họ thậm chí không biết X-Mode đã truy cập dữ liệu người dùng).

    Mối quan hệ giữa giám sát thương mại và giám sát của chính phủ ngày càng lộ rõ khi nhiều người dùng để thiết bị ở chế độ luôn hoạt động và những lo ngại về quyền riêng tư bị gạt đi chỉ qua một cú nhấp chuột “Tôi đồng ý”. Cuộc đấu tranh nổ ra trên toàn nước Mỹ về bình đẳng giữa các sắc tộc vào mùa hè năm 2020 đã khiến mối quan hệ hợp tác thầm lặng đó trở nên cực kỳ rõ ràng. Bất chấp sự thiếu đa dạng về sắc tộc trong đội ngũ nhân viên, sự thờ ơ với chủ nghĩa dân tộc da trắng và ngược đãi nhân viên có màu da khác, một số công ty công nghệ vẫn đua nhau ủng hộ công khai phong trào Black Lives Matter (Người da màu đáng được sống) và xem xét lại mối quan hệ của họ với việc thực thi pháp luật.
    njczcoshjn22ti5kyo3rph2zswz6zntpmqh8ylzeqxywzkc40az75ylpcz2jyz0y.jpg
    Nguồn: Internet
    Amazon vào mùa hè 2020 đã cam kết chi hàng triệu USD cho các nhóm vì phong trao bình đẳng sắc tộc và cam kết sẽ tạm dừng (nhưng không dừng) việc bán công nghệ nhận dạng khuôn mặt cho cảnh sát sau khi duy trì hành động này trong nhiều năm. Nhưng công ty này cũng ghi nhận yêu cầu về dữ liệu người dùng ngày càng gia tăng từ cảnh sát, bao gồm cả nhật ký do loa thông minh của hãng lưu giữ.

    Google ủng hộ phong trào bình đẳng giữa các chủng tộc thông qua các khoản đóng góp và các hình vẽ đặc biệt trên Google Doodle, nhưng các cơ quan thực thi pháp luật ngày càng dựa vào “trát hàng rào địa lý”. Trong những trường hợp này, cảnh sát yêu cầu Google hoặc công ty công nghệ khác cung cấp dữ liệu trên tất cả các thiết bị trong khu vực gần hiện trường vụ án và trong khoảng thời gian diễn ra vụ án. Google trả về danh sách người dùng ẩn danh giúp cảnh sát thu hẹp phạm vi nghi phạm, sau đó cảnh sát tiếp tục gửi yêu cầu về dữ liệu của nghi phạm.

    Với trát từ khóa tìm kiếm, cảnh sát sẽ nhận được dữ liệu ẩn danh về một nhóm người. Từ năm 2017 đến năm 2018, Google cho biết số lượng trát hàng rào địa lý mà hãng nhận được tăng 1500%. Apple, Uber và Snapchat cũng đã nhận được yêu cầu tương tự về dữ liệu của nhiều người dùng ẩn danh.

    Các tổ chức dân quyền đã kêu gọi Google tiết lộ mức độ đáp ứng của hãng này với các trát hàng rào địa lý và trát từ khóa tìm kiếm. Một thẩm phán trong một vụ án sơ thẩm ở Chicago nhận định hoạt động này có phạm vi rộng quá mức cần thiết, đồng thời đặt câu hỏi liệu nó có vi phạm các biện pháp bảo vệ của Tu chính án thứ tư chống lại các cuộc khám xét xâm phạm hay không. Tương tự, một chuyên gia điều tra số chuyên trích xuất dữ liệu từ các thiết bị IoT như loa và thiết bị đeo tay đặt câu hỏi liệu có thể điều chỉnh việc tìm kiếm hay không. Ví dụ: trong khi điều tra dữ liệu từ loa thông minh, dữ liệu có thể liên kết với máy tính xách tay, sau đó đến điện thoại thông minh rồi đến TV thông minh. Việc kết nối các thiết bị này được quảng cáo là tạo ra sự tiện lợi cho người tiêu dùng, nhưng cũng tạo cơ hội cho các cơ quan thực thi pháp luật truy cập dữ liệu.

    Các lệnh này cho phép cảnh sát có nhiều cơ hội hơn để truy cập thông tin cá nhân của người dùng. Trong một số trường hợp, cách ứng dụng thu thập dữ liệu biến chúng thành công cụ giám sát có giá trị tương đương với thông tin cảnh sát có thể thu thập ngay cả khi chúng bị ràng buộc với lệnh truyền thống.

    Khuyên mọi người ngừng mua thiết bị IoT hoặc các công ty công nghệ ngừng chia sẻ dữ liệu với chính phủ không phải là giải pháp. Nhưng “sự công bằng” đòi hỏi người dùng phải nhận thức được những manh mối kỹ thuật số mà họ để lại khi sử dụng các thiết bị điện tử và cách thức các cơ quan nhà nước tận dụng hệ thống thu thập dữ liệu và cả sự thiếu hiểu biết của chính chúng ta.

    Theo Wired
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan