Phỏng vấn người đã đệ đơn khiếu nại Facebook về việc tiết lộ dữ liệu thông tin sức khỏe

Nhằm hỗ trợ và đồng hành cùng doanh nghiệp đẩy lùi hậu quả của đại dịch Covid-19, CyStack hỗ trợ: miễn phí 3 tháng bảo mật website & server với phần mềm Cloud Security. > Đăng ký ngay.

Phỏng vấn người đã đệ đơn khiếu nại Facebook về việc tiết lộ dữ liệu thông tin sức khỏe

Facebook (FB) vừa thêm tùy chọn ẩn danh cho các bài đăng (post) liên quan đến vấn đề sức khỏe cho nhóm hỗ trợ trên Facebook. Nhưng trước tình hình những vụ việc rò rỉ thông tin trên Facebook từ trước tới nay, người ta bắt đầu đặt ra câu hỏi: Liệu có còn điều gì khác được đăng lên Facebook trong chế độ ẩn danh hay không?

Qua các cuộc điều tra, cuối cùng Chính phủ cũng có thể đưa ra các quyết định về quyền riêng tư và bảo mật dữ liệu trong công nghệ. Trong cộng đồng mạng thường tồn tại một sự tin tưởng về sức mạnh của quyền riêng tư ở một mức độ nhất định. Tuy nhiên, dường như niềm tin này lại đang bị lại đặt nhầm chỗ.

Theo báo cáo thu nhập Quý 1 năm 2019 của Facebook, trang mạng xã hội lớn nhất hành tinh này đã tổn thất gần 5 tỉ đô gồm các chi phí liên quan đến các cuộc điều tra của Ủy ban thương mại Liên Bang (FTC). Các cuộc điều tra này được xem là rất quan trọng bởi chúng giúp đánh giá quyền riêng tư khi sử dụng công nghệ trong tương lai. Đặc biệt, đối với lĩnh vực y tế thì vấn đề này lại càng bức thiết bởi một số công ty công nghệ đang nắm giữ loại thông tin nhạy cảm nhất: dữ liệu bệnh nhân.

Cuộc phỏng vấn với nhà hoạt động xã hội Andrea Dowing

Phóng viên đã có một cuộc nói chuyện với bà Andrea Dowing, chủ một trang blog về ung thư vú có tên Brave Bosom. Bà cũng là một trong những nhà hoạt động đã phát hiện ra lỗi bảo mật của dữ liệu nhóm trên Facebook.

Khác với việc tập trung vào bảo mật thông tin quy mô lớn của FTC, công việc của Andrea là giải quyết vấn đề của các hội nhóm trên Facebook. Bà cho biết tất cả các hội nhóm đang hoạt động trên Facebook, cho dù là nhóm riêng tư hay bí mật, cũng đều có “cửa sau” để tội phạm có thể chiếm dụng thông tin thành viên trong nhóm cũng như các thông tin cá nhân khác. Đối với các hội nhóm liên quan đến sức khỏe hay chính trị, điều này thực sự là một vấn đề nghiêm trọng.

Dưới đây là nội dung cuộc phỏng vấn.

Tiếp cận vấn đề bảo mật thông tin

Q: Điều gì đã khiến bà quyết định điều tra về vấn đề bảo mật thông tin cá nhân của hội viên trong các nhóm trên Facebook?

A: Tôi đã tham gia vào các nhóm hỗ trợ trên Facebook kể từ năm 2012. Nhóm lớn nhất mà tôi từng tham gia vận hành là vào khoảng năm 2013, 2014, sau khi biết rằng mình có nguy cơ cao mắc bệnh ung thư vú do đột biến gen (đột biến BRCA). Từ trải nghiệm cá nhân của mình, tôi hiểu nếu ai đó chẳng may mang trong mình đột biến hiếm này, điều tất yếu họ sẽ làm là tìm tới một hội nhóm lớn để chia sẻ và thảo luận về căn bệnh quái ác đó. Và cuối cùng thì tất cả các bệnh nhân sẽ cùng tìm đến các hội nhóm trên Facebook.

Việc đầu tiên tôi làm với tư cách là một nhà hoạt động có đột biến BRCA là viết về một vụ việc đã được đưa ra Tòa án Tối cao trước khi chuyển xuống Tòa án Liên Bang năm 2013: Hiệp hội bệnh học phân tử và Công ty dược phẩm Myriad Genetics. Vụ kiện này là vô cùng  quan trọng cho các nghiên cứu về ung thư. Các kết quả đã chỉ ra rằng các gen có nguồn gốc từ thiên nhiên vì vậy không thể cấp bằng sáng chế cho Myriad Genetics. Cũng như việc thông tin về gen được bảo mật, với cương vị một phát ngôn viên truyền thông cho những người mắc bệnh ung thư vú, tôi muốn đảm bảo quyền riêng tư của bệnh nhân và thông tin bộ gen của họ không bị xâm phạm.

Trong quá trình theo dõi vụ án, tôi đã tìm hiểu về việc chia sẻ thông tin và cách thực hiện các bài xét nghiệm di truyền BRCA cũng như mánh kiếm lời của các công ty chuẩn đoán bệnh. Sau khi vụ án kết thúc, các cuộc bàn luận tiếp tục được đăng tải trên rất nhiều hội nhóm Facebook và nhu cầu kiểm tra gen cũng tăng theo.

Mọi người bắt đầu nhận thức rõ hơn về những bài kiểm tra gen này. Họ bắt đầu tìm đến các cố vấn về di truyền cũng như đặt ra các câu hỏi khó và chuyên sâu hơn cho các bác sĩ.

Động lực tiếp cận vấn đề bảo mật thông tin trên các nhóm Facebook

Q: Động lực nào đã khiến bà tiếp cận vấn đề này từ góc độ công nghệ và động lực nào đã làm bà muốn khám phá?

A: Tôi bắt đầu sự nghiệp tại một công ty ở thung lũng Silicon tên là Salesforce. Tôi yêu công nghệ và tôi rất thích thú với các hoạt động tích hợp dữ liệu, APIs (Giao diện lập trình ứng dụng) và các luồng dữ liệu. Khi làm việc với các nhà phát triển, tôi luôn luôn suy nghĩ về cách dữ liệu được vận hành.

Tôi đã bắt đầu quan tâm các nhóm Facebook khoảng 1 năm trước, khi đó Cambridge Analytica đang bị điều tra về vụ bê bối rò rỉ dữ liệu riêng tư. Tôi đã cảm thấy vô cùng thú vị khi biết rằng bạn có thể xác định chính xác được sở thích, thông tin cá nhân và mức độ riêng tư của chúng. Thực tế là những nhà tiếp thị có lẽ cũng nắm được những thông tin này nhưng câu hỏi đặt ra là việc nắm giữ thông tin dữ liệu người dùng có phù hợp với đạo lý hay không? Và đây cũng chính câu hỏi mà công nghệ nhìn chung đang cần phải trả lời.

Q: Facebook có thể cho ta biết được những gì? Việc các nhà tiếp thị có thể thiết lập các nhóm tùy chỉnh liên quan với các nhóm kín trên Facebook như thế nào?

A: Thông qua việc đọc các blog và bài viết về công nghệ, tôi nhận ra rằng từ một nhóm bên ngoài, ta có thể khai thác tên các thành viên trong nhóm, địa chỉ, nghề nghiệp, email, bệnh lí, vv.

Với các nhà tiếp thị, điều này rất đơn giản. Họ đã quá quen thuộc với các dữ liệu được tùy biến cho mỗi người dùng công nghệ. Họ muốn kết nối với những người quan tâm đến sản phẩm của mình.  Tuy nhiên, với một bệnh nhân đang muốn tìm một nơi để chia sẻ về tình trạng bệnh lý của mình thì họ rất dễ trở thành đối tượng bị tấn công. Và họ cũng không biết đặt câu hỏi như thế nào là đúng.

Cách đưa ra câu hỏi để đảm bảo tính chính xác

Q: Những câu hỏi như thế nào là đúng?

A: Những câu hỏi về lượng thông tin và nó có khiến người khác bị tổn thương hay không.

  1. Xem xét API của Facebook, tôi có thể phân biệt được tài khoản của một nhà phát triển.
  2. Tôi nhận ra rằng một nhóm API sở hữu tài liệu và thông tin người dùng từ tất cả các nhóm bao gồm danh sách của tất cả thành viên, email, địa chỉ nhà ở,… và các nhóm kín cũng không phải ngoại lệ.
  3. Tôi cũng xem xét các thông tin mà một người có thể bị khai thác theo lí thuyết và nó có gây hại cho họ hay không.

Bên cạnh đó, vấn đề đáng lo ngại hơn là: Một nhà phát triển có thể khai thác được những gì từ Facebook? Ví dụ, liệu có thể dò được thông tin của tất cả các phụ nữ trong một nhóm kín và tìm ra địa chỉ Email của họ hay không?

Câu trả lời là, hoàn toàn có thể tìm được thông tin, bao gồm cả thông tin cá nhân của người khác trên Facebook. Đối với các nhóm về sức khỏe, điều này có nghĩa là thông tin sức khỏe cá nhân có thể dễ dàng tra cứu được. Và điều đáng sợ nhất là bất cứ ai cũng có thể dễ dàng tấn công API trên Facebook chỉ bằng cách tạo một tài khoản nhà phát triển (developer account).

Đánh giá mức độ dễ dàng tiếp cận thông tin cá nhân

Q: Việc tiếp cận thông tin riêng tư có dễ không? Và điều gì tạo nên một cuộc tấn công dữ liệu?

A: Người ta thường cho rằng, những gì khai thác được gì từ các thông tin cá nhân khá hạn chế trừ khi ở cương vị của người khai thác. Nhưng tôi biết rằng, nếu các thông tin rơi vào tay của những kẻ xấu thì tổn hại trực tiếp đến chủ nhân là khôn lường.

Nếu để ý kỹ, bạn sẽ nhận ra trong các nhóm hỗ trợ bệnh nhân, các chuyên gia tư vấn thường tránh nói về các nhóm kín trên Facebook cũng như tầm quan trọng của chúng đối với quyền riêng tư của bệnh nhân. Hầu hết thành viên không thực sự biết rằng các nhóm này không an toàn và dù là nhóm kín nhưng việc đăng công khai tình trạng sức khỏe lại không hề được bảo mật.

Càng nghiên cứu, tôi lại càng thấy vấn đề này đáng sợ hơn. Và tôi đã tìm tới một chuyên gia bảo mật tên là Fred Trotter và nghĩ tới việc công khai với báo chí. Tôi muốn xác minh rằng điều mình tìm ra có phải là mối đe dọa hiện hữu cho bảo mật hay không. Bên cạnh đó, tôi cũng cần một cái nhìn khách quan để đánh giá báo cáo vi phạm bảo mật cũng như mẫu rủi ro mà tôi đã đưa ra.

Q: Mẫu đó như thế nào?

A: Nhìn vào phạm vi của lỗ hổng và loại thông tin có thể tìm kiếm, tôi thấy rằng ta có thể viết code để tìm một chứng bệnh cụ thể. Khi kết hợp với báo cáo, tôi có thể vạch ra công cụ mối đe dọa mẫu, và đặt ra những câu hỏi như:

  1. Nếu thông tin của bạn bị khai thác, thì lỗ hổng đó là gì??
  2. Làm thế nào bạn có thể tái tạo mối đe dọa đối với an ninh hoặc tấn công an ninh?
  3. Thiệt hại chủ yếu là gì nếu cuộc tấn công xảy ra?

Trong một nhóm như nhóm Facebook BRCA của tôi thì quá trình nhận thức về các mối đe dọa xuất hiện rời rạc. Tuy nhiên, mối đe dọa là có thật lại luôn hiện hữu do những kẻ săn thông tin và các công ti dược phẩm hay thậm chí là những nhà tuyển dụng cũng muốn khai thác những thông tin này để từ chối thuê việc hoặc từ chối các dịch vụ chăm sóc sức khỏe cho những người như chúng tôi.

Lời khuyên từ chuyên gia bảo mật

Q: Lời khuyên của chuyên gia bảo mật Fred là gì?

A: Ông ấy khuyên tôi không nên công khai chuyện này. Khi chạy mẫu rủi ro dữ liệu người dùng, không phải tất cả mọi người trên nền tảng đó có thể nhận thức được nó. Với cộng đồng của tôi, như vậy là phạm pháp và có thể đe dọa cuộc sống của nhiều người.

Q: Tại sao nó lại nguy hiểm và đe dọa cuộc sống của mọi người?

A: Thực tế, có những nhóm dễ bị tổn thương, rủi ro nguy hiểm cao hơn các nhóm khác. Về lý thuyết, tôi không thể lí giải được điều này. Vì vậy, tôi đã đặt ra nhiệm vụ đi tìm hiều một nhóm người đồng tính nam sống tại Iran.

Nếu chẳng may chính phủ dò được thông tin Facebook của tôi, họ có thể xác định được thành viên trong nhóm này và giết họ.

Q: Có nhóm nào như vậy chưa?  Có trường hợp nào mà những lỗ hổng bảo mật này bị khai thác để tấn công?

A: Đã có những trường hợp như vậy. Ví dụ,  Illmob, một nhóm hacker đã bị bại lộ và các thành viên đều bị mất việc. Hay như một nhóm người bị bức hại tàn bạo ở Rohingya, Myanmar. Câu hỏi đặt ra cũng là chính phủ đang sử dụng Facebook như thế nào để truy lùng họ.

Điều Facebook sẽ làm gì khi được thông tin về lỗ hổng bảo mật

Q: Vậy người ta sẽ làm gì khi phát hiện những lổ hổng như vậy?

A: Chúng tôi đã viết một báo cáo về lỗ hổng. Matt Might có một cậu con trai mắc bệnh hiếm và có kiến thức về bảo mật mạng. Khi chúng tôi đã gửi bản báo cáo đi, phản ứng đầu tiên của họ là không có gì cần phải lo lắng cả. Họ từ chối xét đó là vấn đề trách nhiệm pháp lý. Nếu họ nhận trách nhiệm pháp lý, họ sẽ làm theo luật về bảo mật thông tin sức khỏe. Như trách nhiệm chấp hành luật và các điều khoản của Ủy ban Thương mại Liên bang. Và nếu thông tin được tiết lộ, họ cần phải cảnh báo những người bị ảnh hưởng.

Q: Lỗ hổng này phải chăng vẫn tồn tại?

A: Facebook đã đóng mô hình API này vào 4/4 và thay đổi thiết lập quyền riêng tư vào tháng 7 năm ngoái. Họ đã tiết chế được phần sơ hở nhất nhưng chưa thực sự vá được lỗ hổng. Họ đã không làm theo những điều khoản xử lý một vụ xâm phạm bảo mật thông tin.

Q: Bà sẽ dự định làm gì tiếp theo?

A: Với tôi, điều tôi luôn tâm niệm là phải làm sao để nhóm của tôi có được mội môi trường an toàn. Tôi muốn tránh xa khỏi Facebook. Và để có niềm tin, cần có sự bảo mật. Chúng tôi muốn có những kế hoạch dự phòng cho các dữ liệu, trước hết xuất phát từ các thành viên trong nhóm và sau đó lan rộng tới các nhóm khác nữa.

Hãy hỏi mình rằng: Liệu sự an toàn của bạn và những nguy hại tiềm năng có quan trong hơn những tiện ích?

Q: Thông điệp bà muốn gửi tới mọi người là gì?

A: Tôi muốn mọi người hiểu tầm quan trọng của việc tránh xa các hội nhóm này trên Facebook. Tôi muốn chia sẻ điều chúng tôi biết với mọi người. Nếu bạn đang là một bệnh nhân, bạn sẽ cố gắng làm mọi thứ để tiếp tục sống. Vô hình chung, bạn kéo những người xung quanh lên con thuyền định mệnh với mình.

Tác hại của việc lộ thông tin sức khoẻ trên Facebook

Trong cuộc sống, không phải lúc nào những phát minh được gọi là tiện ích công cộng cũng phục vụ và bảo vệ các thông tin riêng tư của người sử dụng. Do đó, việc tiếp cận và làm bạn với công nghệ đôi khi cũng có những góc khuất. Theo bà Downing, thường thì các bệnh nhân sẽ không nhận thức được việc thông tin của mình đang bị đánh cắp mỗi ngày. Thậm chí với cả những nhóm liên quan đến sức khoẻ với những quy định, điều kiện đặc biệt để bảo vệ thông tin của các thành viên thì sự bảo mật thông tin cũng chưa thực sự hoạt động. Mặc dù vấn đề với việc rò rỉ thông tin đã được giải quyết, nhưng bảo mật thông tin và trách nhiệm giải quyết vẫn còn là một câu hỏi lớn.

Inside Digital Health