Rủi ro của nút "đăng nhập"
Ví dụ với nền tảng iCIMS. Nó có 2,4 triệu người dùng và được các công ty lớn như Microsoft, Uber, UPS, Target và IBM đùng để tuyển nhân sự. Vấn đề nằm ở chỗ khi tải lý lịch trực tuyến lên Google Drive, một thông báo sẽ xuất hiện: "Điều này sẽ cho phép iCIMS xem và tải xuống tất cả tệp Google Drive của bạn". Nhiều người có thể không để ý và bỏ qua, nhưng trên Google Drive không chỉ có những tài liệu được lưu trữ mà còn có ảnh, video, tờ khai thuế và nhiều thông tin cá nhân nhạy cảm khác. Chỉ bằng cách tải lên một hồ sơ xin việc, người dùng phải đánh đổi bằng quá nhiều dữ liệu riêng tư.
Al Smith, Giám đốc công nghệ của iCIMS, cho biết hiện tại họ không lục lọi các tệp thông tin của người dùng ngoài những gì họ tải lên nền tảng. Tuy nhiên, các chuyên gia công nghệ nhận ra, nền tảng này vẫn đang yêu cầu quyền truy cập vào tất cả tệp trên Google Drive. Smith lập luận đây là "kết nối tiêu chuẩn do Google quản lý" và là cách duy nhất để chia sẻ tệp Drive khi iCIMS tạo trang web của mình.
Một phát ngôn viên của Google nói với WSJ rằng người dùng vẫn có quyền "lựa chọn và kiểm soát" việc chia sẻ dữ liệu trong phần điều khoản, nhưng thực tế mọi người chỉ bấm đồng ý mà chẳng mấy quan tâm đến những trang văn bản chi chít chữ.
Rủi ro đầu tiên của việc đăng nhập bằng Facebook, Google là nhiều website, ứng dụng giả mạo có thể dễ dàng đánh cắp tài khoản, mật khẩu của người dùng. Thứ hai, bất kỳ ai xâm nhập vào tài khoản Google hoặc Facebook của người dùng cũng sẽ có quyền truy cập vào những ứng dụng, website mà họ đã đăng nhập. Thứ ba, Google, Facebook vẫn có thể thông qua các quyền "đã được người dùng cho phép" khi đăng nhập để theo dõi kể cả lúc họ không dùng đến nền tảng.
Khi nào nên cho phép đăng nhập?
Theo Bogdan Botezatu, Giám đốc nghiên cứu và báo cáo về mối đe dọa tại công ty bảo mật Bitdefender, không phải lúc nào việc yêu cầu đăng nhập cũng là xấu. Nếu đó là một trang web hoặc dịch vụ hợp pháp, người dùng không cần lo lắng quá nhiều.
Ví dụ, một số người vẫn đăng nhập Zoom qua tài khoản Google. Ứng dụng sẽ yêu cầu quyền truy cập và lịch và thực hiện một số lệnh tự động. "Nhưng một vấn đề hóc búa là làm sao bạn biết khi nào việc cho phép đăng nhập này là nên và không nên?", Jen Caltrider, người dẫn dắt dự án về quyền riêng tư tại tổ chức phi lợi nhuận Mozilla, đặt câu hỏi. Kể cả là chuyên gia trong lĩnh vực này nhưng không phải ai cũng chắc chắn 100% về lựa chọn của mình.
Ngày càng nhiều công ty che giấu họ đang kinh doanh dựa trên việc thu thập dữ liệu người dùng. Năm 2018, Google từng bị lên án về việc hàng trăm ứng dụng tìm cách truy cập vào nội dung Gmail của mọi người để cung cấp các dịch vụ như so sánh giá và lập lịch trình du lịch tự động. Thậm chí, các ứng dụng huấn luyện máy học và nhân viên của công ty cũng có thể đọc email của người dùng. Facebook còn vi phạm chính sách nhiều hơn. Năm 2019, công ty phải nộp phạt 5 tỷ USD sau khi Ủy ban Thương mại Liên bang điều tra việc đối tác Cambridge Analytica truy cập vào dữ liệu cá nhân của người dùng.
Cách kiểm tra xem đã đăng nhập ở đâu
Cả Google và Facebook đều cho phép người dùng kiểm tra lại họ đã đăng nhập tài khoản ở những website, ứng dụng nào. Người dùng nên thường xuyên cập nhật và quản lý danh sách này.
Với Google, người dùng có thể xem danh sách trong phần trung tâm kiểm soát. Tất cả ứng dụng từ bên thứ ba đã đăng nhập bằng tài khoản đều được hiển thị. Họ có quyền thu hồi quyền đăng nhập từ trung tâm này.
Với Facebook, người dùng có thể đăng nhập tài khoản, mở phần cài đặt ứng dụng và trang web được liên kết và xóa tài khoản khỏi nơi đã đăng nhập. Ngoài ra, mạng xã hội còn cung cấp tính năng tự động vô hiệu hóa các kết nối sau 90 ngày không hoạt động.
Ý kiến ()