Một loại “siêu cookie” (supercookie) đã luôn theo dõi thói quen lướt web của người dùng Internet theo cách thức tinh vi và khó bị phát hiện hơn loại cookie truyền thống.
Supercookie là gì?
Cách thức này vẫn được xem là hợp pháp vào thời điểm hiện tại, và chúng đã vượt xa khái niệm “cookie” (*) mà chúng ta vẫn quen thuộc. Cụ thể hơn, MSN và Hulu đã và đang âm thầm cài đặt lên máy tính người dùng những file “supercookie” (tạm dịch: siêu cookie), có khả năng tái tạo toàn bộ hồ sơ hoạt động của người dùng, ngay cả khi họ đã… tự tay xóa bỏ cookie thông thường. Đây là những gì mà các chuyên gia nghiên cứu tại Đại học Stanford và Đại học California vừa phát hiện.
Nhiều trang web do Microsoft sở hữu, trong đó có MSN.com và Microsoft.com, đã sử dụng supercookie để “do thám” người dùng.
Supercookie được trang web “để lại” ở những vị trí khác với cookie thông thường trên máy tính người dùng, chẳng hạn như ở trong phần “cache” (bộ nhớ đệm) của các trang web vừa ghé thăm trước đó. Vì thế, kể cả những người dùng có kiến thức về bảo mật cũng sẽ gặp khó khăn trong việc “tìm và diệt” những supercookie này.
(*): Cookie được xem là những tin nhắn đơn giản được máy chủ, đang quản lý một website, chủ động gửi đến trình duyệt web đang dùng để lướt trang web đó, nhằm mục đích theo dõi các hoạt động của người đang xem website.
Khi tắt trình duyệt thì cookie vẫn còn lưu trữ trong máy và vẫn sẽ tiếp tục hoạt động ở các lần ghé thăm sau. Dựa vào các thông tin mà cookie gửi về, chủ nhân trang web có thể biết được khách lướt web đang quan tâm về những vấn đề gì để sau đó tung quảng cáo phù hợp để bán sản phẩm.
Các chủ trang web và các hãng quảng cáo luôn hứng chịu luồng chỉ trích mạnh mẽ cho việc lén lút thu thập và bán lại dữ liệu cá nhân của người lướt web. Vấn đề này thậm chí đã được đệ trình lên Quốc hội Hoa Kỳ trong năm nay.
Đại diện Microsoft và Hulu nói gì?
Ngay sau khi báo cáo được công bố, tất cả công ty đang sử dụng supercookie đã lên tiếng rằng trò “theo dõi người dùng” là… vô tình, và họ đã “dừng ngay sau khi biết về nghiên cứu trên”.
Mike Hintze, phó trưởng ban pháp lý của MSN, cho biết vụ việc về supercookie là “đi ngược lại tôn chỉ và chính sách kinh doanh của công ty”. Ông cũng trấn an đoạn mã chứa loại “siêu cookie” được chế tạo bởi chính… Microsoft đã bị loại bỏ khỏi hệ thống trang MSN.
Đối với Hulu, dịch vụ truyền hình trực tuyến này đã đăng tải một thông báo cho biết họ đã “hành động ngay lập tức để điều tra về vụ việc”, đồng thời không bình luận gì thêm.
Tình trạng đáng lo ngại
Sự lan rộng của một loạt công nghệ tiên tiến có mục đích duy nhất là theo dõi người dùng Internet cho thấy mức độ “thần tốc” trong việc tự cải tiến công nghệ của các công ty theo dõi dữ liệu (data tracking). Chỉ mới năm ngoái, khi tờ Wall Street Journal tiến hành cuộc kiểm tra các công cụ theo dõi trên các trang web lớn, supercookie vẫn chưa “xuất đầu lộ diện”.
Nhà nghiên cứu Jonathan Mayer, thuộc Đại học Stanford, đã giám định thứ được biết đến dưới danh nghĩa một dịch vụ theo dõi chuyên “ăn cắp lịch sử lướt web” (history stealing) trên trang Flixster.com, dịch vụ mạng xã hội dành cho người hâm mộ điện ảnh vừa được Hãng Time Warner thâu tóm, và trang Charter.net.
Cụ thể, Flixster.com đã “đào sâu” vào lịch sử lướt web của người dùng để xem liệu họ đã ghé thăm đủ ít nhất là 1.500 trang web hay chưa, bất kể nội dung “thượng vàng hạ cám”, từ sức khỏe như bệnh béo phì, giai đoạn mãn kinh cho đến dịch vụ phục hồi thẻ tín dụng bị mất… Tóm lại, theo các nhà nghiên cứu, trò “ăn cắp lịch sử lướt web” (history stealing) đã xuất hiện được vài năm và ngày càng lan rộng hơn.
Việc thu thập thông tin về lịch sử lướt web có khả năng mang lại những dữ kiện rất giá trị về các dữ liệu riêng tư như sở thích, những mối lo ngại hoặc thông tin tài chính của người khác. Việc Washington chậm trễ trong việc ban hành bộ luật về bảo mật sự riêng tư trực tuyến đã thúc đẩy công nghiệp quảng cáo trực tuyến tự thiết lập những quy định của riêng ngành này.
Theo đó, việc thu thập dữ liệu tài chính và sức khỏe của từng cá nhân sử dụng Internet được xem là hợp lệ chừng nào những dữ liệu trên không bao gồm số tài khoản ngân hàng, đơn thuốc hoặc hồ sơ bệnh án. Nhưng việc lạm dụng history stealing hay supercookies đã chính thức phạm vào “giới luật” trên.
Ông Mayer cũng tìm thấy sự hiện diện của supercookie trong mạng lưới quảng cáo của Microsoft, vốn sắp xếp các mẩu quảng cáo từ các công ty khác trên Internet. Và kết quả là người dùng vẫn có thể bị “dính” supercookie mà không cần phải ghé thăm trực tiếp vào trang web của Microsoft. Thậm chí ngay cả sau khi họ đã xóa những cookie thông thường, các thông tin sử dụng Internet của họ rất có thể đã lọt vào tay… Steve Ballmer.