Nhà sản xuất điện thoại BLU đang giải quyết các khoản phí cho phép một đối tác tại Trung Quốc thu thập dữ liệu của khách hàng, bao gồm nội dung đầy đủ các tin nhắn văn bản, vị trí thời gian thực, số điện thoại, danh bạ và ứng dụng đã cài đặt…

Nhà sản xuất điện thoại cho phép đối tác thu thập dữ liệu của khách hàng
Điện thoại BLU

Theo một thỏa thuận với Ủy ban thương mại liên bang Mỹ, BLU đã đồng ý thực hiện một “chương trình bảo mật dữ liệu toàn diện” để ngăn chặn rò rỉ bảo mật tương tự trong tương lai. Cả công ty, hãng đồng chủ sở hữu và Chủ tịch Samuel Ohev-Zion đều bị cấm không trình bày sai mức độ mà họ bảo vệ quyền riêng tư và bảo mật thông tin cá nhân. Công ty sẽ tiếp tục chịu sự đánh giá của bên thứ ba về chương trình bảo mật hai năm một lần trong 20 năm và phải tuân thủ các yêu cầu giám sát và tuân thủ hồ sơ.

Việc giải quyết bắt nguồn từ nghiên cứu được công bố vào tháng 11 năm 2016 bởi công ty bảo mật Kryptowire. Công ty phát hiện ra rằng nhà sản xuất điện thoại BLU đã thu thập dữ liệu của khách hàng cá nhân và truyền một lượng lớn đến AdUps Technologies – một nhà cung cấp firmware Thượng Hải đang chạy trên các thiết bị bị ảnh hưởng. Kryptowire cho biết AdUps thu thập dữ liệu để giúp các nhà sản xuất và nhà cung cấp dịch vụ điện thoại theo dõi hành vi của khách hàng của họ vì mục đích quảng cáo.

Trong một đơn khiếu nại, các nhà quản lý FTC cho biết AdUps cung cấp quảng cáo, khai thác dữ liệu và FOTA — viết tắt cho “firmware over the air” — dịch vụ cập nhật cho thiết bị di động và Internet of Things.

Luật sư FTC viết: “BLU ký hợp đồng với AdUps để công ty có trụ sở tại Trung Quốc thực hiện các dịch vụ cập nhật FOTA trên thiết bị của họ. Những người trả lời đã không yêu cầu ADUPS thực hiện bất kỳ dịch vụ nào khác”.

Bất chấp nhiệm vụ hạn chế, AdUps đã thu thập rất nhiều thông tin khách hàng, bao gồm:

  • nội dung đầy đủ của tin nhắn văn bản
  • dữ liệu vị trí cellular-tower trong thời gian thực
  • nhật ký cuộc gọi và tin nhắn văn bản có số điện thoại đầy đủ
  • danh sách liên lạc
  • danh sách các ứng dụng được sử dụng và cài đặt trên mỗi thiết bị

Đơn khiếu nại của FTC cho biết AdUps đã thu thập tin nhắn văn bản và truyền chúng trở lại máy chủ của công ty cứ 72 giờ một lần trong khi thu thập dữ liệu vị trí trong thời gian thực và truyền dữ liệu đến máy chủ sau 24 giờ.

Theo báo cáo Kryptowire năm 2016, BLU thông báo cho khách hàng rằng AdUps đã ngừng hoạt động thu thập dữ liệu của mình. Luật sư FTC cho biết tuy nhiên ngay sau đó, BLU “tiếp tục cho phép AdUps hoạt động trên các thiết bị cũ của mình mà không giám sát đầy đủ”.

Hành động FTC đã không đề cập đến một báo cáo tiếp theo từ Kryptowire vào năm 2017. Nó cho biết ba mô hình điện thoại BLU vẫn tiếp tục thu thập dữ liệu của khách hàng cá nhân nhưng giới hạn hơn và gửi chúng đến các máy chủ đặt tại Trung Quốc. Ví dụ, Kryptowire nói rằng hai mô hình – Grand M và Life One X2 – đã gửi số điện thoại, IMEI, IMSIs, địa chỉ MAC Wi-Fi, số sê-ri thiết bị và danh sách các ứng dụng đã cài đặt cũng như ID và cellular-tower. Hãng bảo mật cho biết BLU Advance 5.0 có khả năng thực thi mã và ghi nhật ký có thể được các ứng dụng của bên thứ ba sử dụng.

Một giám đốc điều hành BLU đã trả lời bản cập nhật Kryptowire vào thời điểm đó bằng cách nói rằng việc thu thập dữ liệu của khách hàng là tiêu chuẩn cho các chức năng không dây. Giám đốc tiếp thị của BLU Carmen Gonzalez đã viết trong phản hồi: “Điều này phù hợp với mọi nhà sản xuất thiết bị điện thoại thông minh khác trên thế giới. Không có gì quan trọng đang được thu thập”. Cô viết và cô cũng khẳng định rằng BLU “chắc chắn không ảnh hưởng đến quyền riêng tư hoặc bảo mật của bất kỳ người dùng nào.”

Tại thời điểm cập nhật Kryptowire, Amazon cho biết họ đã đình chỉ việc bán các điện thoại BLU. Một tìm kiếm nhanh cho thấy một loạt các điện thoại BLU có sẵn từ các nhà bán lẻ trực tuyến.

> Giải pháp bảo mật toàn diện dành cho website, đăng ký miễn phí 14-ngày tại đây <