Những mối nguy hiểm về dữ liệu cá nhân khi chơi các game / app trên Facebook

Facebook khá là vui và có tính lan tỏa rất rộng do người này chơi xong share lên tường nhà của mình, người khác thấy thú vị lại tiếp tục chơi. Tuy nhiên, tiềm ẩn sau những game này là các nguy cơ về bảo mật và xâm phạm quyền riêng tư vì bạn đã vô tình cấp quyền cho app được truy cập vào dữ liệu Facebook của mình.

Ví dụ như game OMG mới nổi gần đây trên Facebook chẳng hạn (nó thuộc loại Instant Game, một hình thức chơi game nhanh ngay trên Facebook), xem thử các quyền mà trò chơi này yêu cầu thì chúng ta thấy được nó đòi các quyền sau:

• Tên và ảnh đại diện của bạn, và mặc định khi có quyền này thì app cũng sẽ lấy được địa chỉ email bạn đăng kí với Facebook
• Bạn bè và những mối liên hệ của bạn trên Facebook
• Ngôn ngữ, múi giờ, hai cái này thì không vấn đề gì
• Liên kết dòng thời gian: quyền này có nghĩa là app / game được phép truy cập tới những thứ bạn đăng trên timeline của mình, miễn là bạn có để chế độ xem public là app có thể thấy
• Trạng thái thanh toán trên Messenger: cái này ở Việt Nam không xài được nên cũng không sao

​

Tên và ảnh đại diện thì chưa phải là quá nghiêm trọng, nhưng dữ liệu về bạn bè và timeline lại là chuyện khác. Giả sử game OMG có ý đồ xấu, sau khi có được quyền truy cập vào những dữ liệu này, nhà phát triển có thể viết 1 script tự động rút hết mọi thông tin về các bài post bạn đã đăng, những tấm ảnh bạn đã post, các video bạn từng chia sẻ và tất nhiên là lấy tiếp link đến những người bạn của bạn trên Facebook. Việc này không hề khó làm, bất kì một lập trình viên bình thường nào cũng có thể thực hiện chứ chẳng cần phải là hacker gì cao siêu.

Những thông tin đó của bạn có thể tiếp tục dùng để bán cho những đối tác quảng cáo (họ xài địa chỉ email để chạy quảng cáo định hướng trên chính Facebook hoặc các nền tảng quảng cáo khác), những bên làm dịch vụ thu thập dữ liệu (data collection) hoặc những công ty muốn nhắm đến bạn cho một chiến dịch marketing nào đó.

Dữ liệu từ dòng thời gian của bạn còn có thể dùng để phân tích hành vi, thói quen của bạn. Ví dụ, mình crawl dữ liệu về thấy rằng bạn hay share về iPhone, iPad, vậy là mình có thể tạm kết luận bạn thích đồ Apple. Sau đó mình có thể thiết lập các mẫu quảng cáo về phụ kiện Apple, bán đồ Apple giá rẻ, thanh lý đồ Apple... rồi nhắm tới bạn như là khách hàng tiềm năng của mình. Khả năng bạn click quảng cáo sẽ cao hơn nếu mẫu quảng cáo đó nói đúng sở thích của bạn.

Lại một lần nữa, chẳng cần phải là hacker hay các công ty lớn, việc thu thập, phân tích sở thích giờ đã trở nên phổ biến và dễ tiếp cận nhờ các công cụ, thuật toán machine learning đang ngày càng nở rộ. Chỉ cần có dữ liệu là xong, mà dữ liệu thì bạn đã cấp miễn phí và thoải mái cho app rồi.

Nói như vậy không có nghĩa là game hay app nào trên Facebook cũng xấu, và không phải app nào cũng sẽ dùng dữ liệu của bạn trái phép để quảng cáo và làm những thứ như mình giả định ở trên. Vẫn có những nhà phát triển tốt, họ yêu cầu những thông tin đó chỉ để phục vụ cho app của mình và mang lại trải nghiệm tốt hơn mà thôi. OMG cũng thế, tính đến giờ mình chưa thấy họ có ý đồ gì xấu. Tuy nhiên mọi thứ vẫn còn mập mờ trong tương lai sắp tới, và mình thì có phương châm là không tin bố con thằng nào cả.

Còn chuyện mất nick vì chơi các game Facebook thì mình chưa tìm thấy bằng chứng đáng tin cậy nào. App có thể lấy được một số token và một số quyền nhất định, không có quyền nào được phép đổi password, đổi email đăng kí hay những thứ có thể làm bạn bị... mất nick. Cùng lắm là bạn đi spam tin nhắn hay spam quảng cáo cho game trên timeline của bạn bè mà thôi. Trừ khi bạn cấp quyền cho app làm hết mọi thứ này, nhưng mình tin rằng Facebook không mở quyền đổi pass, đổi email ra ngoài cho app bên thứ 3 sử dụng.

Có một thứ mà anh em cần lưu ý, đó là chuyện mất nick vẫn có thể xảy ra, nhưng thường là do bị lừa đảo click vào link độc hại rồi tự khai password cho hacker, hoặc đặt password quá dễ đoán nên bị login tài khoản rồi đổi mật khẩu, chiếm quyền sử dụng. Những lý do này thì chẳng liên quan gì đến vấn đề quyền truy cập mà chúng ta đang trao đổi trong bài này.

Nhân tiện app OMG cũng chẳng có gì gọi là logic dự đoán, nó chỉ chạy random màu và các câu nhận xét thôi. Nhìn vài người thấy kết quả lặp đi lặp lại là biết rồi.

Để xem các game nào đang có quyền truy cập vào dữ liệu của bạn, bạn hãy làm như sau:

1. Trên app Facebook > nhấn vào nút Menu ở góc dưới bên phải màn hình
2. Vào Cài đặt & Quyền riêng tư > Cài đặt
3. Vào Trò chơi tức thời (Instant Game)
4. Trong tab Hoạt động, bạn sẽ thấy các game còn đang được truy xuất dữ liệu của bạn
5. Chọn game nào đó bạn muốn gỡ bỏ, sau đó nhấn nút Xóa

Lưu ý là khi bạn xóa game thì từ giờ trở đi game / app không còn truy cập vào dữ liệu của bạn được nữa, nhưng dữ liệu trước đó có thu thập thì vẫn tồn tại vì những dữ liệu này đã được lưu trên hệ thống riêng của nhà phát triển app, không còn trên Facebook nữa. Nói cách khác, nếu bạn lỡ dại cấp quyền cho app độc hại, bạn vẫn sẽ bị thu thập thông tin như thường.