Tiêu chuẩn kép của Facebook về quyền riêng tư: Nhân viên và phần còn lại của thế giới

0

Hóa ra, có một nhóm nhân viên tại Facebook có thể truy cập vào bất kỳ tài khoản Facebook nào họ muốn mà người dùng không hề hay biết.

Các nhân viên của Facebook thường nhận được một thứ gọi là “cảnh báo Sauron” khi một đồng nghiệp truy cập trang cá nhân của họ – nhưng người dùng Facebook thông thường thì không hề biết được khi nào một nhân viên của công ty đăng nhập vào tài khoản của họ.

Theo Wall Street Journal, một nhóm nhân viên của Facebook có quyền truy cập vào tài khoản của người dùng mà người dùng đó không hề hay biết.

Thế nhưng, mỗi khi một nhân viên trong nhóm đó truy cập vào trang cá nhân của đồng nghiệp, người đồng nghiệp đó sẽ nhận được một thông báo mà nội bộ công ty gọi là “cảnh báo Sauron” – tên gọi lấy từ con mắt Sauron có thể nhìn thấy mọi thứ trong trilogy phim Lord of the Rings.

Tiêu chuẩn kép này của Facebook, phân biệt đối xử giữa tài khoản của nhân viên và tài khoản của người dùng thông thường cũng đã cho chúng ta thấy phần nào lý do tại sao nền tảng mạng xã hội lớn nhất thế giới lại bị chỉ trích trong suốt thời gian qua: Facebook không hề cho người dùng biết những dữ liệu của họ được xử lý như thế nào. Và đây cũng là nguyên nhân khiến Facebook phải thực hiện nhiều thay đổi (và cả những điều mà Mark Zuckerberg hứa hẹn sẽ làm trong tương lai) để lấy lại danh tiếng của mình.

Một phát ngôn viên của Facebook cho biết công ty đã nhiều lần thảo luận để triển khai kiểu thông báo này cho mọi người dùng: “Khi cân nhắc về việc làm một điều tương tự cho mọi người dùng, có một số điều mà chúng tôi phải giải quyết trước khi triển khai nó – ví dụ, làm thế nào để ngăn không cho kẻ gian lạm dụng tính năng ấy để gây hại ngoài đời thực hay những tình huống nhạy cảm khác”.

Và trên thực tế, hệ thống này hoàn toàn có thể bị lạm dụng: vào đầu tuần này, Facebook đã sa thải một kỹ sư bảo mật khi người này “khoe khoang” với một người phụ nữ mà anh gặp qua một ứng dụng hẹn hò về quyền truy cập thông tin cá nhân của mọi người dùng Facebook của mình.

Đúng là Facebook có cảnh báo người dùng nếu như tài khoản của họ bị hack hay truy cập từ những địa chỉ không đáng tin cậy, nhưng nền tảng lại không hề nói cho người dùng biết khi nào thì tài khoản của họ bị các nhân viên của công ty truy cập. “Bất kỳ ai cũng nhận được cảnh báo khi tài khoản của họ bị truy cập trái phép bởi kẻ gian”, phát ngôn viên của Facebook nói thêm.

Theo các nhân viên của Facebook chia sẻ, khả năng đăng nhập vào một tài khoản Facebook mà không cần biết mật khẩu của họ chỉ được cấp cho một nhóm các kỹ sư bảo mật rất nhỏ, và những hành động này đều được giám sát một cách chặt chẽ. Tuy nhiên, nhóm này có thể truy cập vào mọi thông tin mà người dùng coi là nhạy cảm, ví dụ như các hình ảnh và bài viết mà họ chỉ chia sẻ với bạn bè, hay các tin nhắn riêng tư chưa được mã hóa.

Đại diện của Facebook cho biết, quyền truy cập này thường được dùng để kiểm tra lỗi kỹ thuật, thử nghiệm tính năng mới hoặc điều tra tài khoản của các nghi phạm khi có lệnh của các bên pháp lý. Ngoài ra, khi sử dụng tính năng này, người nhân viên đó phải có lý do “chính đáng” và gửi cho các cấp quản lý phê duyệt trực tiếp.

Theo các cựu nhân viên của công ty, nhiều nhân viên của Facebook đã bị sa thải vì lạm dụng tính năng này trong nhiều năm qua. Việc truy cập một cách trái phép vào tài khoản của người khác, ngay cả khi đó là tài khoản của vợ hay con của nhân viên đó, cũng đủ để công ty ra quyết định sa thải.

Hệ thống cảnh báo nội bộ Sauron được tạo ra vì các kỹ sư của Facebook thường thử nghiệm các tính năng mới hoặc sửa lỗi kỹ thuật bằng chính tài khoản của các nhân viên khác. Tên chính thức của công cụ đã được đổi thành “Security Watchdog” vào năm 2015, nhưng cái tên Sauron vẫn được sử dụng rộng rãi trong công ty.

Một nhân viên cho biết, hệ thống cảnh báo Sauron đã xuất hiện từ nhiều năm nay. Những nhân viên sẽ nhận thông báo trực tiếp trên tài khoản Facebook của mình hoặc qua email. Sau khi được thông báo, nhân viên đó, nếu cần thiết, có thể biết được lý do tài khoản của mình bị truy cập bằng cách xem mục báo lỗi hoặc hỏi bộ phận bảo mật của Facebook.

Trong nhiều năm nay, các nhà lập pháp và người dùng Facebook đều thường xuyên lên tiếng tỏ ra lo ngại  về việc nền tảng có những chính sách quá lỏng lẻo trong việc thu thập và sử dụng dữ liệu mà công ty đã thu thập của người dùng.

Để xoa dịu những mối lo ngại đó, Facebook đã cung cấp thêm cho người dùng nhiều thông tin hơn về những kiểu dữ liệu mà công ty thu thập, cũng như đưa ra thêm các tùy chọn để người dùng có thể xóa những dữ liệu đó. Hãng cũng đã thiết kế lại ứng dụng của mình, cố gắng sao cho người dùng có thể kiểm soát và theo dõi dữ liệu của mình tốt hơn. Trong tuần này, CEO Mark Zuckerberg cũng đã công bố một công cụ cho phép người dùng xóa hoạt động duyệt web mà Facebook thu thập một cách dễ dàng. Tuy nhiên, vẫn có những sự chênh lệch rất lớn giữa những gì công ty biết về người dùng so với những gì mà người dùng hiểu về hoạt động cũng như khả năng của nền tảng.

Cách đây 3 năm, Paavo Siljamäki, giám đốc của công ty Anjunabeats đã tố một kỹ sư của Facebook truy cập vào tài khoản của ông khi ông đến thăm văn phòng trụ sở của công ty tại Los Angeles. Ông Siljamäki khẳng định mình có cho phép, nhưng không hề cung cấp cho kỹ sư đó thông tin đăng nhập của mình.

Cụ thể, ông Siljamäki viết: “Một kỹ sư của Facebook có thể truy cập trực tiếp vào tài khoản Facebook của tôi, nhìn thấy mọi nội dung riêng tư của tôi mà không cần biết mật khẩu. Điều này khiến tôi tự hỏi có bao nhiêu nhân viên Facebook sở hữu ‘chìa khóa vạn năng’ này?”

Vào thời điểm đó, Facebook đã phản hồi rằng họ làm vậy để việc tài khoản của ông bị lạm dụng (?!). Trang Wall Street Journal đã liên hệ với ông Siljamäki trong tuần này để xin bình luận nhưng chưa nhận được hồi âm.

Và mới đây, một nhân viên Facebook đã bị sa thải, sau khi một hình ảnh với nội dung là cuộc trò chuyện giữa nhân viên đó với một người phụ nữ trên ứng dụng hẹn hò được đăng tải trên Twitter bởi cố vấn bảo mật Jackie Stokes.

Trong bức ảnh, nhân viên đó đã “khoe khoang” với người phụ nữ này rằng công việc của anh ta là theo dõi các hacker và tìm ra danh tính thật sự của họ.

Trong một buổi phỏng vấn, Jackie Stokes đã cho biết người phụ nữ đó đã nói với cô rằng “Tôi thấy rất sợ hãi. Tôi nghĩ anh ta có ý đồ gì đó với tôi”.

Tuy nhiên, người phụ nữ này đã từ chối lời đề nghị thực hiện phỏng vấn của Wall Street Journal.

Văn Hoàn

Leave a comment