MinhSec
Writer
Một báo cáo mới đang khiến cộng đồng công nghệ và bảo mật phải chú ý, khi chỉ ra rằng các “ông lớn” như Google, Microsoft và Meta có thể đang phớt lờ quyền riêng tư của người dùng trên quy mô lớn.
Theo nghiên cứu từ webXray, hàng trăm dịch vụ quảng cáo trực tuyến vẫn âm thầm cài cookie theo dõi ngay cả khi người dùng đã chủ động từ chối chia sẻ dữ liệu cá nhân thông qua tính năng Global Privacy Control (GPC).
Cụ thể, báo cáo kiểm toán quyền riêng tư tại California cho thấy khoảng 55% các website vẫn tiếp tục cài cookie quảng cáo, bất chấp việc người dùng đã gửi tín hiệu từ chối. Điều này đồng nghĩa với việc một lượng lớn dữ liệu cá nhân vẫn bị thu thập mà không có sự đồng ý hợp pháp.
Báo cáo ước tính tổng mức trách nhiệm pháp lý tiềm ẩn từ các vi phạm này có thể lên tới 5,8 tỷ USD một con số cho thấy mức độ nghiêm trọng của vấn đề.
Các chuyên gia bảo mật khuyến cáo rằng doanh nghiệp cần thay đổi cách tiếp cận, từ việc xử lý yêu cầu từ chối ngay tại máy chủ, đến kiểm soát chặt chẽ các tập lệnh theo dõi và thường xuyên kiểm tra lưu lượng truy cập để đảm bảo tuân thủ quy định.
Theo nghiên cứu từ webXray, hàng trăm dịch vụ quảng cáo trực tuyến vẫn âm thầm cài cookie theo dõi ngay cả khi người dùng đã chủ động từ chối chia sẻ dữ liệu cá nhân thông qua tính năng Global Privacy Control (GPC).
Cụ thể, báo cáo kiểm toán quyền riêng tư tại California cho thấy khoảng 55% các website vẫn tiếp tục cài cookie quảng cáo, bất chấp việc người dùng đã gửi tín hiệu từ chối. Điều này đồng nghĩa với việc một lượng lớn dữ liệu cá nhân vẫn bị thu thập mà không có sự đồng ý hợp pháp.
Cách các hệ thống theo dõi “vượt rào” quyền riêng tư
Về mặt kỹ thuật, khi người dùng bật GPC, trình duyệt sẽ gửi tín hiệu yêu cầu các website ngừng thu thập và chia sẻ dữ liệu. Tuy nhiên, báo cáo cho thấy nhiều hệ thống quảng cáo đã bỏ qua hoàn toàn tín hiệu này.
- Với Google, hệ thống quảng cáo vẫn trả về cookie theo dõi “IDE” có thời hạn lên tới 2 năm, ngay cả khi nhận được yêu cầu từ chối.
- Microsoft cũng có hành vi tương tự khi tiếp tục cài cookie “MUID” trên thiết bị người dùng.
- Trong khi đó, công cụ theo dõi của Meta thậm chí không có cơ chế kiểm tra tín hiệu GPC, mà tự động thu thập dữ liệu như bình thường.
Nguy cơ pháp lý và cảnh báo cho toàn ngành
Theo quy định của California Consumer Privacy Act (CCPA), việc phớt lờ tín hiệu từ chối như GPC là hành vi vi phạm pháp luật. Các cơ quan quản lý tại California đã nhiều lần nhấn mạnh điều này và bắt đầu áp dụng các biện pháp xử phạt mạnh tay.Báo cáo ước tính tổng mức trách nhiệm pháp lý tiềm ẩn từ các vi phạm này có thể lên tới 5,8 tỷ USD một con số cho thấy mức độ nghiêm trọng của vấn đề.
Các chuyên gia bảo mật khuyến cáo rằng doanh nghiệp cần thay đổi cách tiếp cận, từ việc xử lý yêu cầu từ chối ngay tại máy chủ, đến kiểm soát chặt chẽ các tập lệnh theo dõi và thường xuyên kiểm tra lưu lượng truy cập để đảm bảo tuân thủ quy định.
Quyền riêng tư: Vẫn là “cuộc chiến chưa hồi kết”
Những phát hiện mới một lần nữa đặt ra câu hỏi lớn về mức độ thực sự của quyền riêng tư trên internet. Dù người dùng đã chủ động bảo vệ dữ liệu của mình, các cơ chế theo dõi vẫn có thể “lách luật” và hoạt động phía sau.Trong bối cảnh đó, việc nâng cao nhận thức, siết chặt quy định và minh bạch hóa cách thu thập dữ liệu sẽ là yếu tố then chốt để bảo vệ người dùng trong kỷ nguyên số. Nguồn: cybersecuritynews
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
