Theo bản tin mới đây của tờ Wall Street Journal, các nhà phát triển ứng dụng bên thứ ba có thể đọc được email của hàng triệu người dùng.
Cài đặt quyền truy cập của Gmail cho phép các công ty dữ liệu và nhà phát triển ứng dụng xem email của mọi người dùng gồm địa chỉ người nhận, thời gian gửi và toàn bộ nội dung thư điện tử.
|
| Gmail hiện cấp quyền cho ứng dụng bên thứ ba đọc toàn bộ email của người dùng. Ảnh: The Verge. |
Theo Google, Gmail chỉ cung cấp dữ liệu cho các nhà phát triển bên thứ ba đã được họ kiểm chứng và phải có sự đồng ý của người dùng.
Vấn đề nằm ở việc biểu mẫu xin quyền này rất dễ gây nhầm lẫn. Nó không nêu rõ chỉ máy tính hay cả con người có thể đọc nội dung email.
Ví dụ: một ứng dụng quản lý email sẽ có quyền truy cập vào Gmail của người dùng. Một số nhà phát triển đã đăng ký quyền truy cập vào hộp thư điện tử của Google nhưng chưa được cấp quyền.
"Nhân viên của Google cũng có thể đọc email nhưng chỉ trong “trường hợp rất cụ thể", trong đó có các trường hợp liên quan mục đích an ninh", Google trả lời WSJ.
|
| Biểu mẫu xin quyền truy cập email dễ gây nhầm lẫn nếu không đọc kỹ của Google. |
Nếu đã từng thấy một yêu cầu tương tự ảnh trên khi nhập tài khoản Gmail vào một ứng dụng, có thể người dùng đã cấp cho ứng dụng quyền đọc email của mình.
Cũng theo bản tin của WSJ, không riêng Gmail, có rất nhiều dịch vụ email khác đang cung cấp cho ứng dụng bên thứ ba quyền truy cập mail tương tự.
Lý do duy nhất mà các công ty đưa ra để giải thích cho việc đọc mail người dùng là để đào tạo thuật toán cho các máy tính xử lý dữ liệu.
Tình trạng này làm nhiều người liên tưởng vụ bê bối cấp quyền để Facebook chia sẻ dữ liệu người dùng cho Cambridge Analytica thực hiện nghiên cứu. Thế nhưng, những kết quả này đã bị lạm dụng, phục vụ các mục đích chính trị.
Mặc dù không có bằng chứng cho thấy các nhà phát triển tiện ích của Google lạm dụng quyền đọc mail, Thế nhưng việc xem email riêng tư có lẽ đã vượt qua ranh giới của quyền cá nhân.
Không thể nói trước cơ chế cấp quyền của Gmail có thực sự an toàn hay không. Nhưng trước đây, người dùng của Google đã trở thành nạn nhân của một cuộc tấn công lừa đảo. Vụ tấn công này có núp bóng những yêu cầu quyền truy cập từ Google Documents. Khi đã được cấp quyền, kẻ tấn công có thể truy cập vào danh sách liên hệ của người dùng.
Cuộc tấn công trên cho thấy Google vẫn luôn tồn tại những lỗ hổng "chết người" trong hệ thống cấp quyền của mình.
