Theo dõi email và sự xâm phạm quyền riêng tư - vấn đề cũ mà không cũ

Đã bao giờ bạn liên tưởng đến sự tồn tại của một ứng dụng có tên “Superhuman”, có thể theo dõi bất cứ người nào thông qua hòm thư điện tử của họ chưa?

Đó cũng là vấn đề đã từng được đưa ra bàn luận trong hàng ngàn diễn đàn công nghệ lớn nhỏ khác nhau trên toàn thế giới, song hành với sự ra đời và phát triển của dịch vụ thư điện tử. Không rõ bạn có biết hay không nhưng có lẽ không ít người đã từng nghe về câu chuyện một ứng dụng gửi email có cung cấp dịch vụ “theo dõi email” đăng kí theo tháng. Chỉ với một số tiền nhỏ trả theo tháng, ứng dụng sẽ cung cấp cho bạn tính năng tự động theo dõi mỗi khi người nhận xem email mà bạn gửi cho họ, và thậm chí còn cung cấp được cả cho bạn vị trí cụ thể của người nhận email theo thời gian thực.

Theo dõi emailTheo dõi email

Như chuyên gia Mike Davidson, cựu phó giám đốc thiết kế của Twitter đã chia sẻ trên blog cá nhân của ông, sở dĩ ứng dụng có thể làm được điều đó là bởi nó được tích hợp các trình theo dõi pixel ẩn (pixel trackers).

Thế nhưng dù sao thì chúng ta, những người hằng ngày phải làm việc với máy tính, thời gian tiếp xúc với công nghệ thậm chí còn nhiều hơn gặp gỡ người thân, gần như khó có thể “sống thiếu” email. Do vậy, việc tìm hiểu xem những trường hợp như Superhuman thực sự là ứng dụng như thế nào và chúng hoạt động ra sao cũng là ý tưởng thú vị và rất cần thiết.

Về cơ bản Superhuman có thể được bật theo mặc định, theo dõi bất cứ đối tượng nào mà bạn gửi email, cho dù bạn có chủ định theo dõi họ hay không. Chúng ta sẽ cùng tìm hiểu sâu hơn về ứng dụng này cũng như hoạt động theo dõi email thông qua những câu hỏi sau đây.

Các pixel theo dõi (tracking pixels) là gì và tôi có thể sử dụng chúng như những "điệp viên chuyên nghiệp" không?

Bạn có biết mọi hình ảnh trên internet đều có thể lưu trữ được trên các máy chủ và máy tính của bạn sẽ tự động tải chúng xuống khi bạn duyệt? Nhiều năm trước, một số thiên tài máy tính đã phát hiện ra rằng những yêu cầu duyệt hình ảnh trên máy tính của bạn có thể cho phép máy chủ lưu trữ hình ảnh đó theo dõi hoạt động của bạn trên web. Tương tự với khi gửi email, các máy chủ lưu trữ email hoàn toàn có thể cung cấp cho người gửi những thông tin nhất định về người nhận khi họ mở email đó.

Tracking pixel có thể ghi lại kha khá thông tin của bạnTracking pixel có thể ghi lại kha khá thông tin của bạn

Về cơ chế hoạt động, cũng không có gì quá phức tạp: Khi bạn mở email, bạn sẽ tự động tải xuống nội dung (có thể bao gồm cả hình ảnh, tập tin đính kèm) trong email, và yêu cầu về việc hiển thị những nội dung đó ngay lập tức sẽ cho máy chủ biết rằng bạn đã thực sự mở email.

Trong một nghiên cứu phân tích 1000 email khác nhau, người ta nhận thấy rằng có đến 70% trong số các email đó có chứa trình theo dõi quảng cáo - có thể tự động tải xuống các thành phần như hình ảnh vô hình (tracking pixel). Những thành phần này không chỉ cung cấp cho người gửi thông tin về thời điểm và số lần bạn mở email, mà trong nhiều trường hợp chúng còn truyền cả dữ liệu cá nhân trong chuỗi truy vấn. Ngoài ra, truy vấn tên miền theo dõi cũng có thể cho biết cả địa chỉ IP của bạn, từ đó giúp người gửi email có thể xác định được vị trí hiện tại của bạn với mức độ chính xác cao.

Vì vậy, nếu bạn nghĩ rằng có thể nói dối về việc mình đã đọc email mà họ gửi nhưng thực chất là chưa, suy nghĩ đó thật ngây ngô.

Bạn đã đọc email của tôi chưa? Xin vui lòng mở email đi!

Tracking pixels còn có tên gọi nào khác không? Chúng trông như thế nào? Làm thế nào để tôi nhận ra sự hiện diện của chúng?

Các chuyên gia trên Wikipedia cho biết họ cũng gọi tracking pixels là web beacons, web bugs, tracking bugs, web tags, page tags, pixel tags, 1 x 1 GIFs, và clear GIFs. Với email, đôi khi, khái niệm tổng thể này được gọi là theo dõi mở (open tracking). Đó là một ý tưởng liên quan đến tính năng “read receipt” mà bạn thường gặp trên các ứng dụng nhắn tin như Messages hay WhatsApp.

Bạn có thể chưa từng nhìn thấy tracking pixels bao giờ, và chắc chắn không phải bằng mắt thường, bởi vì chúng có thể là một hình ảnh 1 x 1 pixel được chôn giấu ở đâu đó trong email hoặc trang web. Trên thực tế, tracking pixels còn có thể được nhúng vào hình ảnh đại diện của người gửi - hoặc thậm chí là phông chữ ưa thích mà họ sử dụng. Thật vậy, bất cứ điều gì gửi yêu cầu đến một máy chủ từ xa đều có thể được sử dụng như một công cụ theo dõi.

Để dễ hình dung về việc tracking pixels có thể “ẩn mình” tốt như thế nào, bạn hãy liên tưởng với việc chỉ ra vị trí của 4 ninja đang ẩn nấp trong bức ảnh dưới đây:

Bạn có thể nhìn thấy 4 ninja đang ẩn nấp không?Bạn có thể nhìn thấy 4 ninja đang ẩn nấp không?

Vậy đây, chúng ta gần như không thể nhận diện ra sự có mặt của tracking pixels bằng mắt thường.

Có những dạng tracking pixels nào khác đang theo dõi bạn hay không?

Đó chắc chắn là chiếc Google Pixel mà bạn đang sử dụng với hàng tá công cụ thu thập dữ liệu người dùng được cài đặt sẵn bên trong nó.

Nhiều người nói rằng công nghệ theo dõi này đã cũ mèm và xuất hiện từ lâu, vậy tại sao cho đến tận bây giờ họ vẫn khó chịu về sự hiện diện của nó?

Có lẽ một phần vì rất nhiều người không thực sự nhận ra sự tồn tại của các tracking pixel, điều này không phải là hiếm.

Có lẽ một phần vì cựu phó giám đốc thiết kế của Twitter đã viết một bài đăng trên blog về vấn đề này và bài đăng đó nhận được rất nhiều tiếng vang trên Twitter.

Hoặc cũng có thể một phần vì Superhuman đã cho phép người gửi email giám sát thông tin về người nhận chỉ bằng cách gửi một thông điệp ngắn gọn, và “tính năng” này đã được mặc định như vậy kể từ khi email ra đời.

Việc biết được một người đã đọc email mà mình gửi chưa có phải là chuyện tốt không?

Như đã nói phía trên, read receipt trong tin nhắn có nhiều nét tương đồng với tracking pixel trong email ở chỗ nó cho phép cả người gửi và người nhận đều có thể thấy rõ rằng liệu tin nhắn của họ đã được đọc hay bỏ qua, từ đó có thể phàn nàn về việc đối phương cố tình phớt lờ tin nhắn hay phản hồi chậm. Về mặt xã hội mà nói, điều này tương đối vô hại.

Người gửi có thể nắm được việc email của mình đã được đọc chưa và được đọc bao nhiêu lần

Người gửi có thể nắm được việc email của mình đã được đọc chưa và được đọc bao nhiêu lần

Nhưng Superhuman và những thứ tương tự lại là câu chuyện khác. Ở đây chúng ta sẽ phải nói thêm về trường hợp một kẻ lạ mặt nào đó có khả năng theo dõi thông tin về vị trí của bạn chỉ bằng cách gửi những email nặc danh. Đó là sự xâm phạm đến quyền riêng tư, và nó có hại, trong nhiều tình huống.

Làm thế quái nào mà các công ty cung cấp dịch vụ biết được vị trí của tôi?

Dựa vào địa chỉ IP, rất có thể. Khi bạn tải xuống một tracking pixel từ máy chủ của nhà cung cấp dịch vụ, nó sẽ ghi lại địa chỉ IP của bạn, đó là cách mà hầu hết các công ty hoạt động trên internet cần đến để xác định được máy tính mà bạn đang sử dụng đặt ở đâu, cả về mặt địa lý và kỹ thuật số. Người ta hoàn toàn có thể tìm ra chính xác địa chỉ đường phố nơi bạn đang truy cập mạng mà không cần phải sử dụng bất cứ yếu tố nào khác ngoài địa chỉ IP, và ở đây, ít nhất chúng ta có thể nói về độ chính xác gần như tuyệt đối ở cấp tỉnh, thành phố.

Điều này có thể bị lạm dụng như thế nào?

Một ví dụ kinh điển: Nếu kẻ trộm nắm rõ được khi nào bạn sẽ phải đi ra ngoài và thời gian mà bạn về nhà, công việc của hắn sẽ trở nên dễ dàng hơn rất nhiều. Tương tự, những kẻ gửi thư rác (spammer) và lừa đảo (phisher) có thể sử dụng kỹ thuật xã hội để biết được những dòng title như thế nào có thể dụ được bạn nhấp vào email spam đó. Cũng như việc vô số người đang bị theo dõi thông qua email nặc danh mà không hề hay biết.

Superhuman có phải là ứng dụng duy nhất làm điều này?

Theo dõi email là vấn đề đã quá phổ biếnTheo dõi email là vấn đề đã quá phổ biến

Chắc chắn không! Tạp chí công nghệ nổi tiếng Wired trước đây đã từng đăng tải một bài viết tuyệt vời về chủ đề theo dõi email vào năm 2017, trong đó, tác giả đặc biệt nhấn mạnh đến một ứng dụng có tên Streak. Ứng dụng này đã công khai cung cấp tính năng theo dõi email trong gần 6 năm nay. Và chỉ cần tìm kiếm từ khóa “email tracking” trên Google, bạn sẽ thấy Streak hay Superhuman chỉ là phần nổi của tảng băng chìm.

Hành vi theo dõi email này có hợp pháp không?

Điều này khó có thể phân định rõ ràng do quy định của từng quốc gia. Tuy nhiên, điều luật bảo mật GDPR hiện hành của châu Âu quy định trước khi muốn thu thập dữ liệu cá nhân của một công dân EU, bạn buộc phải có sự đồng ý của họ.

Ứng dụng email của tôi có thể chặn được các tracking pixel này không?

Có một tin tốt cho người dùng Gmail: Google đã định tuyến lại mọi yêu cầu hình ảnh thông qua các máy chủ proxy của riêng họ. Tracking pixel vẫn sẽ cung cấp được thông tin về thời điểm bạn đọc email, nhưng nhìn chung chúng không còn có thể được sử dụng để rò tìm ra vị trí của bạn, hoặc thu thập hồ sơ quảng cáo của bạn như trước nữa, đơn giản bởi chúng không thể thấy IP hoặc cookie của bạn (thay vào đó là IP của Google).

Email đang bị theo dõiEmail đang bị theo dõi

Ngoài ra bạn cũng có thể tắt chức năng tải hình ảnh tự động trong nhiều ứng dụng email, sau đó, email của bạn sẽ không tự động tải hình ảnh, nhưng điều này có thể đem lại sự bất tiện trong nhiều tình huống. Bên cạnh đó cũng có các tiện ích mở rộng trình duyệt như Ugly Email and PixelBlock cung cấp tính năng phát hiện các pixel tracker trước khi bạn mở email và xóa chúng hoàn toàn.

Sử dụng các trình chặn quảng cáo (ad blocker) thì sao?

Chắc chắn rồi, nhưng bạn sẽ cần phải thiết lập cụ thể đối với từng pixel tracker bạn muốn chặn.

Tại sao các công ty trình duyệt lớn chấp nhận tracking pixels?

Có lẽ bởi vì các công ty web lớn đã sử dụng các trình theo dõi này trong hệ thống dịch vụ, kinh doanh của họ trong nhiều năm mà không để lại rắc rối nào quá nghiêm trọng. Pixel Facebook, Google Tag Manager, và Pixel Amazon là những ví dụ rõ ràng nhất, tuy nhiên hầu hết chúng được sử dụng trên web, không phải email. Về mặt email, người ta ước tính rằng phần lớn các dịch vụ bản tin (ví dụ như MailChimp) đều sở hữu cơ chế theo dõi cơ bản theo mặc định. Các tracking pixel thường được coi là một phần không thể thiếu, giống như việc tracking cookie thường lưu giữ một bản ghi về những trang web mà bạn đã từng truy cập.

Tuy nhiên nếu nhìn về mặt tích cực, trong một thế giới hậu Cambridge Analytica, các công ty công nghệ đang ngày càng nỗ lực để lấy lại niềm tin của khách hàng, chúng ta đã thấy sự xuất hiện của các trình duyệt bắt đầu khắt khe hơn với cookie. Trường hợp tương tự rất có thể cũng xuất hiện với tracking pixel.

Tôi có thể sử dụng tracking pixel để đối phó lại với những người đang cố gắng theo dõi mình hay không?

Chắc chắn rồi. Nhưng liệu bạn có muốn tham gia vào “một cuộc chạy đua vũ trang” mệt mỏi mà chẳng thu về được bất cứ lợi ích nào đáng kể như vậy không?

Cách phòng chống theo dõi email

Tắt tính năng tự động load ảnh để ứng phó với tracking pixelTắt tính năng tự động load ảnh để ứng phó với tracking pixel

Ở phía trên, chúng ta đã nói qua về cách ứng phó với tracking pixel, còn bây giờ sẽ là cách phòng chống việc bị theo dõi qua email. Về cơ bản, có 3 phương án hạn chế việc bị theo dõi qua email mà bạn có thể áp dụng, bao gồm:

  • Hủy kích hoạt tính năng tự động load hình ảnh trong ứng dụng thư điện tử, đồng thời thiết lập chỉ tải xuống hình ảnh từ những người gửi đáng tin cậy.
  • Việc tắt tính năng tự động load hình ảnh sẽ khiến email trông khá nhàm chán. Nếu bạn không muốn như vậy, hãy sử dụng một công cụ để theo dõi của bên thứ ba, chẳng hạn như Private Browsing trong Kaspersky Internet Security.
  • Sử dụng VPN, chẳng hạn như Kaspersky Secure Connection. VPN sẽ giúp che giấu địa chỉ IP thực của bạn, khiến các nhà quảng cáo không thể thu thập được địa chỉ IP.

Trên đây chỉ là những thông tin cơ bản nhất về “theo dõi email” - một vấn đề không mới nhưng chưa bao giờ mất đi tính thời sự. Hy vọng bạn đã phần nào nhận thức được sự tồn tại của mối đe dọa quyền riêng tư này và có được phương án sử dụng email sao cho phù hợp.

Thứ Bảy, 20/07/2019 10:06
53 👨 151