Ứng Dụng Nhắn Tin Tokee Làm Lộ 1,2 Triệu Hồ Sơ Người Dùng Do Cơ Sở Dữ Liệu Bị Phơi Bày

Vụ Rò Rỉ Cơ Sở Dữ Liệu Tokee Thực Sự Đã Phơi Bày Những Gì

Các nhà nghiên cứu bảo mật gần đây đã phát hiện một cơ sở dữ liệu không được bảo vệ thuộc về Tokee, một ứng dụng nhắn tin video và văn bản, đang bị phơi bày và có thể truy cập mà không cần bất kỳ xác thực nào. Cơ sở dữ liệu này chứa hồ sơ của khoảng 1,2 triệu người dùng, bao gồm họ tên đầy đủ, số điện thoại và mã token thiết bị. Danh mục cuối cùng đó đáng được chú ý đặc biệt: mã token thiết bị là các mã định danh duy nhất gắn liền với một điện thoại hoặc máy tính bảng cụ thể, và chúng có thể được sử dụng để nhận dạng thiết bị trên nhiều dịch vụ, gửi thông báo đẩy trái phép, hoặc theo dõi các mẫu hoạt động của người dùng theo thời gian.

Đây không phải là một vụ tấn công tinh vi. Không có kẻ tấn công nào cần phải phá vỡ tường lửa hay khai thác các lỗ hổng phức tạp. Cơ sở dữ liệu đơn giản là bị để ngỏ, nghĩa là bất kỳ ai biết chỗ cần tìm đều có thể truy cập và sao chép dữ liệu. Liệu có bên trái phép nào đã làm vậy trước khi các nhà nghiên cứu phát hiện và báo cáo sự cố hay không vẫn chưa được xác nhận công khai, và đó chính xác là vấn đề với loại sự cố này.

Quy mô của vụ phơi bày này đưa nó vào danh mục các sự cố vi phạm quyền riêng tư nghiêm trọng. Số điện thoại đặc biệt là mục tiêu có giá trị cao vì chúng được sử dụng cho xác thực hai yếu tố, các cuộc tấn công hoán đổi SIM và các chiến dịch lừa đảo có chủ đích qua SMS.

Tại Sao Mã Hóa Đơn Thuần Không Đủ Để Bảo Vệ Người Dùng Ứng Dụng Nhắn Tin

Một quan niệm phổ biến trong số những người dùng quan tâm đến quyền riêng tư là việc chọn một ứng dụng nhắn tin có mã hóa đầu cuối sẽ giải quyết hầu hết các vấn đề về phơi bày dữ liệu của họ. Sự cố Tokee minh họa chính xác lý do tại sao giả định đó chưa đầy đủ.

Mã hóa đầu cuối bảo vệ nội dung tin nhắn trong quá trình truyền giữa người gửi và người nhận. Nó không bảo vệ siêu dữ liệu mà các nền tảng nhắn tin thu thập và lưu trữ trên máy chủ của họ: bạn là ai, bạn sử dụng thiết bị gì, số điện thoại bạn đăng ký, và bạn sử dụng ứng dụng thường xuyên như thế nào. Tất cả thông tin đó tồn tại trong các cơ sở dữ liệu do nhà cung cấp ứng dụng kiểm soát, và nếu những cơ sở dữ liệu đó bị cấu hình sai hoặc bảo mật không đầy đủ, dù mã hóa tin nhắn đến mức nào cũng không ngăn được việc rò rỉ.

Đây là lỗ hổng cấu trúc tương tự khiến ngay cả các nền tảng tập trung vào quyền riêng tư cũng khó có thể được tin tưởng hoàn toàn. Nội dung tin nhắn có thể không đọc được, nhưng dữ liệu xung quanh tự kể câu chuyện của nó. Khi EU tranh luận về luật giám sát chat bắt buộc, lập luận rằng việc thu thập siêu dữ liệu vốn ít nhạy cảm hơn nội dung tin nhắn ngày càng trở nên khó bào chữa.

Vụ vi phạm Tokee là ví dụ cụ thể về điều xảy ra khi siêu dữ liệu đó không được xử lý với sự nghiêm ngặt tương tự như chính nội dung tin nhắn.

Cách VPN Giảm Dấu Chân Siêu Dữ Liệu Của Bạn Trên Máy Chủ Ứng Dụng

Khi bạn kết nối với một ứng dụng nhắn tin mà không có VPN, máy chủ của ứng dụng ghi lại địa chỉ IP thực của bạn cùng với hoạt động tài khoản. Địa chỉ IP đó có thể được sử dụng để suy ra vị trí gần đúng của bạn, nhà cung cấp dịch vụ internet, và trong một số trường hợp là danh tính của bạn. Nếu dữ liệu phía máy chủ đó từng bị phơi bày trong một vụ vi phạm như của Tokee, hoặc bị triệu tập bởi tòa án, hoặc bị truy cập bởi một tác nhân đe dọa có liên kết nhà nước, địa chỉ IP của bạn trở thành một mảnh thông tin nhận dạng khác gắn với tài khoản của bạn.

Một VPN thay thế địa chỉ IP thực của bạn bằng địa chỉ thuộc về máy chủ VPN, vì vậy những gì được ghi lại trong nhật ký máy chủ ứng dụng là một địa chỉ dùng chung thay vì một địa chỉ trỏ thẳng về phía bạn. Điều này không ngăn vi phạm xảy ra, và nó không bảo vệ số điện thoại hay mã token thiết bị bạn đã đăng ký. Nhưng nó làm giảm đáng kể mức độ dữ liệu bị phơi bày có thể được sử dụng để xác định vị trí hoặc nhận dạng bạn.

Tầm quan trọng của việc hạn chế dấu chân siêu dữ liệu của bạn trở nên rõ ràng hơn trong các bối cảnh rủi ro cao. Các cuộc tấn công tinh vi do nhà nước bảo trợ ngày càng nhắm vào cơ sở hạ tầng truyền thông cá nhân, và việc kết hợp VPN trên các ứng dụng nhắn tin của bạn tạo thêm một rào cản thực sự, dù chỉ một phần. Tương tự, đáng nhớ rằng các ứng dụng độc hại trên thiết bị của bạn cũng có thể thu thập dữ liệu ở cấp độ hệ thống, như đã thấy trong các trường hợp như phần mềm độc hại NoVoice lây nhiễm hơn 2,3 triệu thiết bị Android qua Google Play, củng cố thêm giá trị của việc giảm bớt dữ liệu nhận dạng mà bất kỳ ứng dụng đơn lẻ nào có thể thu thập và lưu trữ.

Người Dùng Tokee Nên Làm Gì Ngay Bây Giờ

Nếu bạn có tài khoản với Tokee, hãy coi số điện thoại đã đăng ký của bạn là có thể đã bị xâm phạm. Điều đó có nghĩa là luôn cảnh giác với các tin nhắn SMS bất thường, đặc biệt là những tin nhắn yêu cầu bạn nhấp vào liên kết hoặc xác nhận thông tin tài khoản. Hãy đặc biệt thận trọng với bất kỳ tin nhắn nào tự xưng là từ ngân hàng, dịch vụ giao hàng, hoặc công ty công nghệ, vì số điện thoại của bạn có thể đã đang lưu hành trong số những người thu thập dữ liệu vi phạm.

Nếu bạn đã sử dụng cùng một số điện thoại để bật xác thực hai yếu tố trên các tài khoản khác, hãy cân nhắc chuyển những tài khoản đó sang ứng dụng xác thực thay vì xác minh dựa trên SMS, vì số điện thoại bị phơi bày trong các vụ vi phạm thường xuyên được sử dụng trong các âm mưu hoán đổi SIM được thiết kế để chiếm đoạt tài khoản.

Một cách rộng hơn, vụ vi phạm này là lời nhắc nhở hữu ích để kiểm tra những ứng dụng nào có quyền truy cập vào số điện thoại của bạn và xem xét các quyền được cấp cho các ứng dụng nhắn tin trên thiết bị của bạn. Hạn chế dữ liệu mà ứng dụng có thể thu thập ngay từ đầu là hình thức bảo vệ bền vững hơn so với việc hy vọng mỗi nền tảng tự bảo mật cơ sở dữ liệu của mình một cách đúng đắn.

Cuối cùng, việc sử dụng VPN nhất quán khi kết nối với các ứng dụng nhắn tin bổ sung thêm một lớp bảo vệ hoạt động độc lập với bất kỳ biện pháp bảo mật nào mà chính ứng dụng tuân theo. Bạn không thể kiểm soát cách Tokee hay bất kỳ nền tảng nào khác xử lý cơ sở hạ tầng phụ trợ của họ, nhưng bạn có thể kiểm soát lượng thông tin nhận dạng tiếp cận những máy chủ đó ngay từ đầu.

Vụ phơi bày Tokee là lời nhắc nhở rằng quyền riêng tư trên các nền tảng nhắn tin không chỉ phụ thuộc vào mã hóa được tích hợp trong chính ứng dụng. Nó còn phụ thuộc vào cách nền tảng xử lý dữ liệu xung quanh các thông tin liên lạc của bạn, và phần đó trong phương trình hoàn toàn nằm ngoài tầm kiểm soát của bạn một khi bạn đã trao nó đi. Xây dựng thói quen giảm thiểu việc trao đi đó là biện pháp bảo vệ thiết thực nhất hiện có đối với người dùng thông thường.