Dữ liệu người dùng đã xóa trên Instagram vẫn được giữ lại bất chấp GDPR

Ứng dụng chia sẻ ảnh thuộc sở hữu của Facebook đã thừa nhận sai sót này và đã thưởng cho một nhà nghiên cứu bảo mật 6.000 USD vì đã tìm ra lỗi nói trên.

Theo bản tin trên TechCrunch, nhà nghiên cứu Saugat Pokharel đã phát hiện ra lỗ hổng này khi tải xuống dữ liệu của mình từ ứng dụng chia sẻ ảnh Instagram. Dữ liệu bao gồm ảnh và tin nhắn riêng tư mà Saugat Pokharel đã xóa trước đó.

"Instagram đã không xóa dữ liệu của tôi ngay cả khi tôi đã xóa chúng khỏi tài khoản Instagram của mình", Saugat Pokharel cho biết. Khi nhận ra điều này, tháng 10/2019, Pokharel đã thông báo lỗi cho Instagram thông qua chương trình tiền thưởng phát hiện lỗi của Facebook và Instagram đã sửa lỗi trên vào thời điểm đầu tháng 8/2020, Pokharel cho biết.

Lỗ hổng đến từ đâu?

Lỗ hổng này nằm trong một tính năng mà Instagram đã ra mắt vào năm 2018 để đáp ứng Quy định chung về bảo vệ dữ liệu của châu Âu (GDPR), quy định này yêu cầu bất kỳ công ty nào hoạt động ở châu Âu đều phải thông báo cho nhà chức trách trong vòng 72 giờ sau khi xác nhận có vi phạm dữ liệu hoặc đối mặt với các hình phạt tài chính nghiêm trọng.

GDPR của Liên minh châu Âu, có hiệu lực vào ngày 25/5/2018, cũng có một điều khoản về dữ liệu di động, điều khoản này yêu cầu các công ty cấp cho tất cả người dùng quyền truy cập vào dữ liệu của mình. Tính năng của Instagram cho phép mọi người tải xuống dữ liệu của họ sau khi công ty mẹ Facebook cung cấp một tính năng tương tự cho nền tảng mạng xã hội lớn nhất thế giới Facebook.

Tuy nhiên, đây không phải là lần đầu tiên Instagram lưu dữ liệu của người dùng ngay cả khi họ đã xóa chúng. Năm ngoái, nhà nghiên cứu bảo mật Karan Saini đã thông báo rằng Instagram đã giữ các tin nhắn trực tiếp trong nhiều năm, ngay cả khi người dùng đã xóa chúng. Hơn nữa, Karan Saini nhận thấy rằng, Instagram cũng đã gửi dữ liệu đến và đi từ các tài khoản đã bị ngừng hoạt động và tạm ngưng hoạt động.

Người phát ngôn của Instagram đã xác nhận lỗi và sửa lỗi đó, và cho biết "không có bằng chứng về việc lạm dụng" lỗ hổng này, theo thông báo.

"Chúng tôi cảm ơn nhà nghiên cứu đã báo cáo vấn đề này cho chúng tôi," người phát ngôn nói với TechCrunch.

Nhiều vụ bê bối dữ liệu liên quan đến các mạng xã hội

Trên thực tế, Facebook đã từng bị chỉ trích nặng nề vì các hoạt động bảo mật của mình và thậm chí đã bị phạt 5 tỷ USD từ Ủy ban Thương mại Liên bang Mỹ (FTC) vì lỗi phổ biến dữ liệu mà không được sự cho phép của người dùng trong vụ bê bối dữ liệu Cambridge Analytica nổi tiếng vào năm 2018.

Twitter cũng vậy, họ đã gặp vấn đề về cách sử dụng dữ liệu thu thập được từ người dùng của mình. Công ty này đang có khả năng phải đối mặt với một khoản tiền phạt lên tới 250 triệu USD của FTC sau khi Twitter thừa nhận vào năm ngoái rằng, email và số điện thoại của người dùng đã được sử dụng cho các mục tiêu quảng cáo.

Trong khi đó, ứng dụng chia sẻ video nổi tiếng TikTok, thuộc sở hữu của công ty mẹ ByteDance có trụ sở tại Bắc Kinh, gần đây cũng đã thu hút nhiều sự quan tâm của công chúng về các vấn đề liên quan đến quyền riêng tư khi TikTok can thiệp sâu và thô bạo đến dữ liệu người dùng.

Ứng dụng này đã bị phát hiện thu thập các số nhận dạng duy nhất từ hàng triệu thiết bị chạy hệ điều hành Android mà người dùng không hề hay biết bằng cách sử dụng một chiến thuật bị Google cấm trước đây vì vi phạm quyền riêng tư. Các nhà nghiên cứu cho biết TikTok đã che giấu hoạt động này bằng cách sử dụng thêm một lớp mã hóa.

Tin tức này được đăng tải sau một phát hiện vào tháng 6, cho biết TikTok vẫn kiên trì đọc dữ liệu cắt và dán của người dùng trên iPhone của Apple ngay cả sau khi TikTok hứa rằng họ sẽ loại bỏ hành vi này vào tháng 3. Một nhà nghiên cứu bảo mật đã phát hiện ra ứng dụng chia sẻ video ngắn nổi tiếng tham gia vào hoạt động này vào tháng 2/2020.

5 điều cần biết về GDPR

GDPR là gì?

Quy định chung về bảo vệ dữ liệu (GDPR) của Liên minh Châu Âu (EU) đã được xây dựng để quy định về quyền riêng tư dữ liệu gắn kết trên khắp châu Âu nhằm phục vụ bảo vệ tất cả người dân của EU. Quy định này thay thế Chỉ thị bảo vệ dữ liệu 95/46/EC và có sự khác biệt về một số cách đáng kể, như:

- Thẩm quyền lớn hơn: Quy định áp dụng cho mọi công ty xử lý dữ liệu cá nhân của bất kỳ ai đang sinh sống trong EU, bất kể vị trí của công ty.

- Khoản phạt: Các tổ chức, bao gồm công ty kiểm soát và công ty xử lý, không tuân thủ GDPR có thể bị phạt tối đa lên đến 4% doanh thu toàn cầu hàng năm hoặc 20 triệu Euro (tùy vào mức nào nhiều hơn).

- Sự đồng thuận: Phải được yêu cầu theo một cách rõ ràng, có thể tiếp cận dễ dàng - và phải có khả năng phân biệt với các vấn đề khác. Ngoài ra, việc rút lại sự đồng thuận cũng phải dễ dàng như khi đồng thuận.

- Thông báo vi phạm: Thông báo vi phạm sẽ là bắt buộc – và phải được hoàn thành trong vòng 72 giờ làm việc của tổ chức đầu tiên nhận biết vi phạm.

- Quyền riêng tư: GDPR yêu cầu bảo vệ dữ liệu phải được bao gồm từ khi bắt đầu thiết kế hệ thống, chứ không phải dưới dạng bổ sung.

Để biết danh sách đầy đủ những thay đổi quan trọng nhất giữa GDPR và Chỉ thị Bảo vệ Dữ liệu 95/46/EC, hãy truy nhập www.eugdpr.org/key-changes.

Đối tượng bị ảnh hưởng?

GDPR áp dụng cho các tổ chức trong EU cũng như các công ty đặt bên ngoài EU. Về cơ bản, bất kỳ tổ chức nào cung cấp hàng hóa hoặc các dịch vụ cho hoặc giám sát các hành vi của đối tượng dữ liệu EU, đều bị ảnh hưởng bởi GDPR. Quy định áp dụng cho cả công ty kiểm soát lẫn công ty xử lý, nghĩa là "điện toán đám mây" không được miễn trừ khỏi việc thực thi GDPR.