Mới đây, cộng đồng mạng tại Việt Nam xôn xao trước việc Zalo cập nhật các điều khoản dịch vụ mới, đi kèm "tối hậu thư" 45 ngày. Nếu không đồng ý, tài khoản sẽ bị xóa hoặc hạn chế.
Bên cạnh đó, Luật Bảo vệ dữ liệu cá nhân cũng bắt đầu có hiệu lực từ ngày 1/1. Những thay đổi này khiến người dân trở nên chú ý hơn đến dữ liệu cá nhân khi sử dụng mạng xã hội.
Phóng viên Dân trí đã có cuộc trò chuyện với chuyên gia an ninh mạng Ngô Minh Hiếu (Hiếu PC) để chia sẻ thêm về vấn đề trên dưới góc nhìn chuyên môn.
* Dưới góc độ an ninh mạng, việc một ứng dụng nhắn tin sở hữu "bức chân dung định danh" quá chi tiết (gồm CCCD và hình ảnh cá nhân) tiềm ẩn rủi ro gì nếu xảy ra sự cố lộ lọt dữ liệu thưa ông?
- Nếu một nền tảng nhắn tin nắm “bộ hồ sơ định danh” gồm CCCD và ảnh chân dung (thậm chí có cả dữ liệu sinh trắc học như khuôn mặt/giọng nói), thì khi lộ lọt sẽ thành rủi ro dài hạn vì đây là dữ liệu khó “đổi” như mật khẩu. Luật cũng đã coi dữ liệu sinh trắc học là một nhóm dữ liệu cần bảo vệ chặt, hạn chế truy cập và giám sát.
Ở góc nhìn tội phạm mạng, “combo” này rất béo bở để kẻ gian thực hiện kế hoạch lừa đảo, mạo danh hoặc dựng kịch bản social engineering khiến nạn nhân tin “đúng người thật”. Với những nền tảng ở mức hàng chục triệu người dùng hàng tháng, chỉ cần một phần nhỏ dữ liệu bị lộ đã là “mỏ vàng” cho kẻ xấu.
Hiếu PC nhận định các dữ liệu như CCCD hay ảnh chân dung có thể trở thành "mỏ vàng" cho kẻ gian nếu không được kiểm soát chặt chẽ (Ảnh: Hiếu PC).
Nói về Zalo, đầu tháng 1, nền tảng này đã chuyển từ yêu cầu ảnh giấy tờ sang xác minh gương mặt và giọng nói qua video call. Giải pháp này giúp giảm rủi ro “lộ ảnh CCCD”, nhưng lại phát sinh bài toán mới về dữ liệu sinh trắc học.
Zalo cần phải đảm bảo bảo mật thông tin, an ninh thông tin cho các dữ liệu và phải báo cáo, chịu trách nhiệm khi có sự cố lộ lọt dữ liệu xảy ra.
* Mới đây, Zalo lý giải việc thu thập dữ liệu là để "phục vụ người dùng tốt hơn". Theo ông, có ranh giới nào giữa việc "cá nhân hóa trải nghiệm" và "xâm phạm đời tư" mà các nền tảng thường lờ đi không?
Ranh giới nằm ở 2 chữ: cần thiết và đúng mục đích. Cá nhân hóa hợp lý là “thu đúng phần cần để chạy tính năng bạn dùng”. Trong khi đó, xâm phạm là “thu cho tiện phía doanh nghiệp”, gom luôn dữ liệu nhạy cảm dù không liên quan trải nghiệm.
Dữ liệu khi đi từ “một ứng dụng nhắn tin” sang công ty liên kết hoặc đối tác có thể tạo ra rủi ro kiểu “vết dầu loang” (Ảnh: Hiếu PC).
Luật đã đóng khung nguyên tắc: đồng ý theo từng mục đích, không được ép đồng ý lan man. Cá nhân hóa không thể là “cái cớ” để biến người dùng thành nguồn dữ liệu vô hạn.
* Một trong những điểm mới trong Luật bảo vệ dữ liệu cá nhân là quyền yêu cầu xóa dữ liệu. Nếu một người dùng quyết định ngừng sử dụng một mạng xã hội, làm thế nào để họ chắc chắn rằng những hình ảnh, tin nhắn cũ của họ đã thực sự biến mất khỏi máy chủ của nhà cung cấp?
- Về pháp lý, luật yêu cầu việc xóa, hủy phải thực hiện bằng biện pháp an toàn, ngăn khôi phục trái phép; và nếu không thể xóa vì lý do chính đáng thì phải thông báo. Dù vậy trên thực tế, người dùng khó tự kiểm chứng “máy chủ đã xóa 100%” nếu không có kiểm toán độc lập.
Có một giải pháp thực dụng và dễ thực hiện hơn đó là xóa dữ liệu trong ứng dụng, đồng thời gửi yêu cầu xóa hoặc rút lại sự đồng ý theo cơ chế nhà cung cấp. Bên cạnh đó, người dùng cũng có thể tắt toàn bộ cơ chế sao lưu nếu không sử dụng.
* Công nghệ Deepfake hiện đã đạt tới độ chân thực "kinh khủng". Việc lộ ảnh chân dung và số định danh từ các bản cập nhật điều khoản này sẽ vô tình tiếp tay cho tội phạm lừa đảo công nghệ cao như thế nào thưa ông?
- Deepfake và voice cloning (nhân bản giọng nói- PV) đang trở thành công cụ của những đối tượng lừa đảo. Kẻ gian có thể gọi video giả mạo, giả người thân hoặc đồng nghiệp để thúc chuyển tiền hoặc lấy OTP.
Các chiêu trò lừa đảo như Deepfake và voice cloning diễn ra ngày càng tinh vi (Ảnh: GlobalNews).
Khi đã có ảnh chân dung và thông tin định danh, kẻ xấu dễ dàng dựng “hồ sơ nhân vật” thuyết phục hơn; thậm chí dùng để vượt quy trình xác minh danh tính (KYC) ở một số dịch vụ nếu nạn nhân hoặc đơn vị kiểm tra lỏng lẻo.
* Ông từng nói "không có ứng dụng nào an toàn tuyệt đối". Vậy nếu đặt Zalo, Telegram và Messenger lên bàn cân bảo mật vào thời điểm đầu năm 2026 này, đâu là lựa chọn ít rủi ro nhất cho người dùng phổ thông tại Việt Nam?
- Nếu chỉ xét bảo mật nội dung trò chuyện (End-to-end Encryption - E2EE), Messenger đã triển khai mã hóa đầu cuối mặc định cho tính năng nhắn tin và gọi điện cá nhân (tùy khu vực/lộ trình). Về cơ bản, đây là một cách triển khai tốt.
Đối với Telegram, tính năng E2EE không bật mặc định. Chỉ có “Secret Chat” mới được mã hóa đầu cuối, còn cloud chat là mô hình khác. Nếu người dùng phổ thông không chủ động bật đúng chế độ, rủi ro hiểu nhầm rất cao.
Trong khi đó, Zalo có nhắc tới “trò chuyện mã hóa đầu cuối” và đang làm thủ tục tăng cường E2EE. Dù vậy, câu chuyện điều khoản và định danh khiến người dùng lo lắng nhiều hơn về bề mặt dữ liệu chứ không chỉ riêng mã hóa tin nhắn.
* Với những người bắt buộc phải dùng ứng dụng mạng xã hội vì công việc hoặc liên lạc gia đình nhưng vẫn muốn bảo vệ quyền riêng tư, ông có lời khuyên kỹ thuật cụ thể nào để hạn chế việc bị thu thập dữ liệu không?
- Trên thực tế, không có giải pháp nào giúp bạn “vừa dùng đầy đủ, vừa không bị thu thập gì”. Tuy vậy, người dùng vẫn có thể hạn chế một số yếu tố nhất định. Một số bước mà người dùng có thể thực hiện bao gồm:
- Bật bảo vệ đăng nhập: bảo mật 2 lớp, quản lý thiết bị đăng nhập, thường xuyên loại bỏ thiết bị lạ.
- Siết quyền riêng tư trong ứng dụng: tắt hiển thị ngày sinh, trạng thái truy cập/đã xem; giới hạn ai được nhắn tin hoặc gọi; quản lý nguồn tìm kiếm và kết bạn.
- Cảnh giác QR đăng nhập: tuyệt đối không quét QR “trúng thưởng” hay “nhờ xác thực giúp”, vì có thể bị chiếm tài khoản.
- Hạn chế đưa dữ liệu nhạy cảm lên tin nhắn như ảnh giấy tờ, mã OTP, thông tin ngân hàng.
Mỗi ứng dụng nhắn tin và mạng xã hội đều có những hạn chế riêng, người dùng nên tìm hiểu kỹ trước khi sử dụng (Ảnh: CNBC).
* Đối với những người dùng không am hiểu công nghệ, ông có giải pháp gì giúp họ không trở thành "con mồi" của việc thu thập dữ liệu tràn lan trên mạng xã hội?
- Với phần lớn người dùng phổ thông, một thông điệp ngắn gọn mà mọi người nên nhớ là: đừng bấm vội, đừng quét vội, đừng gửi vội. Ai giục gấp chuyển tiền, xác thực hay quét QR thì phải nghi ngờ trước.
Bên cạnh đó, đây sẽ là 7 bước mà ai cũng nên làm:
- Bật bảo mật đăng nhập và kiểm tra thiết bị lạ định kỳ.
- Khóa ứng dụng bằng PIN, vân tay hoặc Face ID nếu thiết bị hỗ trợ.
- Tắt hoặc giảm hiển thị thông tin cá nhân như ngày sinh, trạng thái, quyền nhắn/gọi.
- Không gửi ảnh CCCD, số thẻ, mã OTP trong tin nhắn.
- Không quét QR “trúng thưởng” hoặc “nhờ xác thực”; gặp là từ chối.
- Có yêu cầu chuyển tiền thì gọi điện xác minh lại bằng số quen thuộc.
- Với trẻ em, người giám hộ cũng cần thiết lập quyền riêng tư và theo dõi rủi ro.
Xin cảm ơn những chia sẻ hữu ích của ông!
Theo DT
