Ứng dụng bàn phím AI.type làm rò rỉ hơn 31 triệu thông tin người dùng

Một nhóm các nhà nghiên cứu bảo mật tại Trung tâm An ninh Kromtech đã phát hiện ra một lượng lớn dữ liệu cá nhân, thuộc hơn 31 triệu người dùng (31,293,959) ứng dụng bàn phím ảo phổ biến là AI.type, bị rò rỉ trực tuyến. Mọi người khác có thể dễ dàng tải xuống mà không có đòi hỏi bất kỳ mật khẩu hay yêu cầu nào. Đây là lời nhắc nhở cho những anh em thường xuyên tải ứng dụng mà không xem kĩ yêu cầu nói chung cũng như những ai dùng bàn phím của bên thứ ba nói riêng.

Trong thời đại kỹ thuật số, một trong những câu nói phổ biến nhất là, nếu bạn không trả tiền, thì bạn không phải khách hàng, mà bạn là sản phẩm. Việc tải xuống ứng dụng trên smartphone ngày nay, hầu hết người dùng có thể không nhận ra nhà phát triển đang thu thập rất nhiều dữ liệu cá nhân của bạn. Rất nhiều nhà phát triển ứng dụng đang thực hiện các hành động đánh cắp thông tin người dùng và đây là một ví dụ không thể tốt hơn để anh em nhận ra điều này.

Ai.type được thành lập vào năm 2010, là một bàn phím trên màn hình có thể tùy chỉnh và tuỳ biến cá nhân hóa cho điện thoại di động và máy tính bảng, và đã có hơn 40 triệu người dùng trên toàn thế giới. Một cơ sở dữ liệu MongoDB đã bị định cấu hình sai, thuộc sở hữu của AI.type, startup từ Tel Aviv (Israel), đã phơi bày toàn bộ 577 GB cơ sở dữ liệu trực tuyến bao gồm rất nhiều thông tin sẽ khiến chúng ta đề phòng hơn rất nhiều mà những người dùng ứng dụng AI.type không thể ngờ tới.

"... họ dường như thu thập mọi thứ từ địa chỉ liên lạc đến cách bấm phím" - Mohit Kumar, Founder và CEO của The Hacker News and The Hackers Conference."

Cơ sở dữ liệu bị rò rỉ của hơn 31 triệu người dùng bao gồm:

• Họ tên, số điện thoại, và địa chỉ email
• Tên thiết bị, độ phân giải màn hình và chi tiết sản phẩm
• Phiên bản Android, số IMSI và số IMEI
• Tên mạng di động, quốc gia và thậm chí cả các ngôn ngữ được người dùng cho phép
• Địa chỉ IP, cùng với vị trí GPS.
• Liên kết thông tin liên quan đến hồ sơ truyền thông xã hội, bao gồm ngày sinh, email, ảnh.

Khi các nhà nghiên cứu thử nghiệm cài đặt Ai.Type và kết quả đã khiến họ khá bất ngờ, rằng người dùng phải cho phép 'Full Access' tất cả dữ liệu của họ được lưu trữ trên iPhone thử nghiệm, bao gồm tất cả dữ liệu bàn phím trong quá khứ và hiện tại. Cơ sở dữ liệu bị rò rỉ cũng cho thấy ứng dụng bàn phím ảo trên cũng đánh cắp danh bạ liên hệ của người dùng, bao gồm tên và số điện thoại của những người liên lạc (hơn 373 triệu bản ghi được phát hiện). Các nhà nghiên cứu tiếp tục đặt câu hỏi rằng "tại sao lại muốn gõ bàn phím và biểu tượng cảm xúc thì phải cần thu thập toàn bộ dữ liệu của điện thoại hoặc máy tính bảng của người dùng?"

Ngay cả những vụ vi phạm dữ liệu gần đây, chúng ta đã thấy rằng một khi dữ liệu cá nhân của chúng ta rơi vào tay bọn tội phạm mạng, điều này sẽ rất nguy hiểm và sẽ ảnh hưởng không nhỏ đến cuộc sống của chúng ta. Bọn mình cũng khuyên anh em nên sử dụng bàn phím tích hợp sẵn trong hệ thống nếu có thể, hạn chế dùng bàn phím bên thứ 3 vì đây là thành phần rất nhạy cảm trong hệ điều hành. Hy vọng Windows cũng sẽ sớm có bàn phím Telex tích hợp trong tương lai gần.

Hình ảnh minh hoạ bàn phím ảo trên Android​

Tham khảo: Thehackernews​