Nhấp chuột, ra tiền


Trong thời mà dữ liệu người dùng là mỏ vàng cho các hãng công nghệ, thỉnh thoảng lại có bê bối một tên tuổi nào đó thu thập hoặc sử dụng trái phép chỗ thông tin quý giá này. Cái tên dính xìcăngđan mới nhất lại đặc biệt gây chú ý, bởi nó là một phần mềm lẽ ra phải bảo vệ người dùng, và bởi nó cho thấy từng cú click chuột của ta, dù là vu vơ, cũng vô cùng đáng giá với người cần chúng.

Nhấp chuột, ra tiền
Dữ liệu người dùng là mỏ vàng cho các hãng công nghệ. Ảnh: VOX

Đầu năm nay, phần mềm diệt virus phổ biến Avast trở thành tâm điểm của chỉ trích sau khi một bài điều tra công phu do hai tạp chí tin học lớn của Mỹ là Motherboard PCMag tiến hành phanh phui việc phần mềm này âm thầm thu thập và bán dữ liệu lướt web “chi tiết đến từng cú click chuột” của hàng trăm triệu người dùng trên toàn thế giới. 

Khách hàng của Avast là những tập đoàn công nghệ lớn như Google, Microsoft, Pepsi, IBM…, những đối tác sẵn sàng chi hàng triệu USD để sở hữu dữ liệu về hành vi của người dùng trên mạng Internet.

Không gì là bí mật

Chuyện thu thập dữ liệu lướt web không hề mới, và trong đa số trường hợp là hoàn toàn hợp pháp. Từ lúc mở trình duyệt cho đến lúc đóng lại, ta để lại vô số “dấu chân” trên mạng: tìm kiếm gì, click vào những đường link nào, truy cập Internet từ đâu, sử dụng điện thoại hay máy tính bàn…

Photo by George Becker on Pexels.com

Chưa dừng lại ở đó, thông tin mà trình duyệt gửi lên trang web còn bao gồm dòng CPU hay card đồ họa của máy, hệ điều hành, độ phân giải màn hình, thời lượng pin còn lại của thiết bị… theo trang Gizmodo. Nếu muốn, các trang web còn có thể theo dõi không chỉ những thông tin được nhập vào từ bàn phím mà cả chuyển động chuột của người dùng: di chuyển sang trái, sang phải, dừng lại ở một khu vực nào đó trong bao nhiêu giây, tốc độ rê chuột nhanh hay chậm, và đương nhiên là click vào những đâu trên màn hình.

Những thông tin vụn vặt này, đứng một mình, tưởng chừng như vô hại và hoàn toàn ẩn danh. Suy cho cùng, nếu một trang web biết tôi sử dụng trình duyệt Microsoft Edge và sống ở New York thì đã sao chứ, miễn là danh tính tôi vẫn được giữ bí mật, đúng không?

Lập luận này đúng nhưng chưa đủ. Một tập hợp đủ nhiều các dữ liệu ẩn danh về một người dùng có thể được kết hợp để tạo ra một “dấu vân tay” độc nhất vô nhị về người dùng đó. Nói cách khác, khả năng có một người dùng thứ hai cũng sử dụng Edge, đến từ New York, có các thông số về CPU, màn hình, ngôn ngữ, font chữ, plugins được cài đặt… giống hệt nhau là rất hiếm.

Nhờ cách “nhận diện” đặc biệt này mà dù không biết chút gì về thông tin cá nhân của khách hàng, một trang web vẫn có thể đoán được người đang xem trang của họ và một người đã từng ghé thăm trước đó một tuần là cùng một người, từ đó hiển thị các quảng cáo, khuyến mãi phù hợp và cá nhân hóa.

Khi các thông tin này được một bên thứ ba thu thập và tổng hợp, một lịch sử chi tiết về hành vi trên mạng từ trang web này đến trang web khác dần thành hình, tạo nên một bức tranh hoàn chỉnh về người dùng đó – thông tin mà bất cứ công ty nào cũng muốn sở hữu để tăng hiểu biết về khách hàng và thị trường.

Dữ liệu được bán ra sao

Trở lại câu chuyện của Avast, công ty này bị cáo buộc thu thập thông tin về lịch sử duyệt web của người dùng thông qua chương trình diệt virus được cài đặt trên thiết bị của họ. Dữ liệu thô sau đó được Jumpshot – một công ty con của Avast – xử lý và đóng gói thành các “mặt hàng” hoàn chỉnh để chào bán cho đối tác, theo các tài liệu nội bộ do Motherboard PCMag ghi nhận được trong quá trình điều tra. Avast hiện có hơn 435 triệu người dùng thường xuyên mỗi tháng, trong khi Jumpshot tuyên bố nắm trong tay dữ liệu từ 100 triệu thiết bị khác nhau.

Mặc dù Avast khẳng định việc thu thập dữ liệu có sự đồng thuận của người dùng theo hình thức “opt-in” (ai chủ động cho phép thì dữ liệu của họ mới được thu thập), nhiều người dùng được hỏi cho biết họ không hề hay biết dữ liệu của mình được bán cho bên thứ ba. Điều này đặt ra câu hỏi liệu Avast có hoàn toàn minh bạch trong việc thông tin với người dùng về cách thức cũng như mục đích của việc thu thập dữ liệu này.

Dữ liệu được Jumpshot chào hàng gồm các tìm kiếm Google và ứng dụng bản đồ Google Maps, lịch sử truy cập hồ sơ LinkedIn (mạng xã hội kinh doanh và tuyển dụng) của các công ty, xem video trên YouTube, và truy cập các trang web có nội dung khiêu dâm… Trong thông cáo báo chí hồi tháng 7-2019, Jumpshot tuyên bố là “công ty duy nhất mở khóa dữ liệu được bảo mật” và hoạt động với phương châm “cung cấp cho các nhà tiếp thị cái nhìn sâu hơn vào toàn bộ hành trình trực tuyến của khách hàng”.

Một sản phẩm đặc biệt được Jumpshot đặt tên là “All Clicks Feed” (bản tin mọi cú nhấp chuột) cung cấp cho đối tác thông tin về toàn bộ những lần nhấp chuột của tất cả người dùng trong khi thao tác trên từng trang web. Sản phẩm cũng bao gồm dự đoán về giới tính và độ tuổi của từng người dùng “dựa trên hành vi tìm kiếm”. Một đoạn tweet trên tài khoản Twitter của Jumpshot quảng cáo công ty này thu thập “Mọi tìm kiếm. Mọi cú nhấp chuột. Mọi đơn hàng mua sắm. Trên mọi trang web”.

Mức giá để sở hữu những thông tin này tất nhiên cũng không hề rẻ. Bản sao một bản hợp đồng mà Motherboard có trong tay giữa Jumpshot và Công ty tiếp thị Omnicom Media Group của Mỹ cho thấy Omnicom đã trả 2.075.000 USD để tiếp cận dữ liệu “All Clicks Feed” của người dùng tại 14 quốc gia trong đó có Mỹ, Anh, Úc, và New Zealand trong năm 2019. Bản hợp đồng cũng bao gồm thỏa thuận mua dữ liệu cho các năm 2020, 2021 với giá tăng thêm 50.000 USD mỗi năm.

Và sử dụng như thế nào?

“(Những gì Jumpshot chào bán) rất chi tiết và là dữ liệu tuyệt vời cho các công ty, vì chúng ghi nhận mọi hành vi từ thiết bị người dùng với các mốc thời gian cụ thể” – nguồn tin không nêu tên của Motherboard nhận xét. “Khi người dùng cấp phép (thu thập dữ liệu cho phần mềm diệt virus Avast)…, mọi hoạt động trên Internet của họ đều được báo cáo về cho Jumpshot. Từ những trang web mà thiết bị của họ truy cập cho đến thứ tự và thời gian diễn ra việc truy cập đó” – sổ tay lưu hành nội bộ của Avast viết.

Từ góc nhìn khách hàng, Home Depot, nhà bán lẻ thiết bị gia đình hàng đầu nước Mỹ, cho biết hãng thỉnh thoảng sử dụng thông tin từ các bên cung cấp thứ ba để cải thiện kinh doanh, sản phẩm và dịch vụ. “Chúng tôi đặt ra yêu cầu đối với các nhà cung cấp này là họ phải có quyền chia sẻ thông tin này với chúng tôi – người phát ngôn Home Depot khẳng định với Motherboard – Trong trường hợp này, thứ chúng tôi nhận được là thông tin khách hàng đã được ẩn danh và không thể dùng để xác định danh tính từng khách hàng riêng lẻ”.

Trên website của công ty, Jumpshot liệt kê nhiều ví dụ về cách khách hàng sử dụng sản phẩm do công ty này cung cấp. Cụ thể, Tập đoàn truyền thông Condé Nast (quản lý nhiều thương hiệu tạp chí nổi tiếng như Vogue, Vanity Fair, Wired…) sử dụng dữ liệu của Jumpshot để đánh giá độ hiệu quả của những mẩu quảng cáo trên các tạp chí của mình.

Dữ liệu của Jumpshot có thể báo cáo tường tận hành trình mua sắm của một người dùng từ khi họ nhìn thấy mẩu quảng cáo, tiến hành tìm kiếm sản phẩm trên Google, nhấp vào đường link dẫn đến một trang thương mại điện tử, ví dụ như Amazon, bỏ món hàng vào giỏ hàng và tiến hành thanh toán.

Các khách hàng hoạt động trong lĩnh vực tài chính thì quan tâm hơn đến danh sách 10.000 tên miền mà người dùng Avast truy cập nhiều nhất – thông tin họ có thể dùng để đưa ra các dự báo về xu hướng thị trường, theo sổ tay nội bộ của công ty.

Không hề ẩn danh

Trên mạng Internet, không có gì thật sự miễn phí. Khi đặt chuột “ký” vào nút “Tôi đồng ý với điều khoản và điều kiện” của các sản phẩm, dịch vụ trên mạng mà không tốn đến 5 giây suy nghĩ, ta tiết kiệm được thời gian đáng lẽ phải dành để thật sự đọc chúng, nhưng lại vô tình dâng hiến cho các công ty này thứ còn quý giá hơn thời gian: dữ liệu về hoạt động trên mạng của bản thân. Nhiều bài viết và nghiên cứu đã chỉ ra rằng những dữ liệu tưởng chừng ẩn danh đang được rao bán tràn lan có thể được sử dụng để định danh đích xác một người dùng cụ thể. Trong một thử nghiệm năm 2006, các phóng viên báo New York Times đã xác định được nhân thân của một người từ những dữ liệu ẩn danh do Công ty AOL cung cấp. Một nghiên cứu năm 2017 của Đại học Stanford cũng cho thấy việc định danh người dùng từ dữ liệu duyệt web ẩn danh là khả thi. Với độ chính xác của từng cú nhấp chuột vào một đường link lên đến từng milli giây, khách hàng sử dụng dữ liệu của Jumpshot có thể dùng nó để khớp với dữ liệu truy cập website của chính mình và lần lại dấu chân người dùng đi từ trang web này đến trang web khác, thậm chí gắn nó với một người dùng đã đăng ký tên, tuổi đầy đủ trong kho dữ liệu thành viên của công ty tương ứng.

HOA KIM – Tuoitre.vn

Thank you so much

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s