Thị trường ứng dụng công nghệ đang ghi nhận một bước lùi đáng lo ngại về quyền riêng tư của người dùng. Việc Instagram chính thức khai tử tính năng mã hóa đầu cuối (E2EE), TikTok từ chối áp dụng và WhatsApp vướng vào các cáo buộc pháp lý cho thấy các tập đoàn công nghệ sẵn sàng hy sinh lớp giáp bảo mật cốt lõi để đổi lấy lợi ích về dữ liệu huấn luyện AI và tối ưu hóa thuật toán quảng cáo.
Để đánh giá đúng mức độ nghiêm trọng của xu hướng này, cần làm rõ bản chất kỹ thuật của cơ chế bảo mật tin nhắn:
Định nghĩa mã hóa đầu cuối (E2EE): Là giải pháp bảo mật cao nhất hiện nay khi dữ liệu được mã hóa (khóa) ngay tại thiết bị gửi và chỉ có thể giải mã tại thiết bị nhận. Nếu máy chủ bị xâm nhập, hacker cũng chỉ thu được các ký tự vô nghĩa vì khóa giải mã nằm ở thiết bị cuối của người dùng. Ngay cả nhà phát triển ứng dụng cũng không thể đọc được nội dung này.
Cơ chế mã hóa đường truyền tiêu chuẩn (Transport Encryption - TLS/HTTPS): Khi loại bỏ E2EE, các nền tảng sẽ quay về sử dụng chuẩn này. Điều đó đồng nghĩa với việc tin nhắn khi đi qua máy chủ trung gian sẽ tồn tại dưới dạng văn bản rõ (plaintext) và nhà điều hành hoàn toàn đọc được.
Hình ảnh ví von: Không có E2EE giống như việc gửi một bức thư không có phong bì dán kín. Nhân viên bưu điện (hệ thống máy chủ) hay bất kỳ bên thứ ba nào cũng có thể xem được nội dung. Nguy hiểm hơn, đơn vị cung cấp dịch vụ có thể ghi chép toàn bộ thói quen, sở thích của người dùng để bán cho các công ty quảng cáo hoặc đưa vào kho dữ liệu huấn luyện trí tuệ nhân tạo.
Tin nhắn được mã hóa khi tới máy chủ và chỉ có thể giải mã ở máy người nhận. Ảnh minh họa: RealVNC
Thực tế hiện tại đang đi ngược lại hoàn toàn với tuyên bố "Tương lai nằm ở sự riêng tư" của CEO Mark Zuckerberg tại hội nghị F8 năm 2019, nơi ông từng cam kết lấy E2EE làm lõi cho toàn bộ hạ tầng WhatsApp, Messenger và Instagram.
Instagram âm thầm loại bỏ E2EE: Đầu tháng 5, Meta quyết định khai tử tính năng này trên Instagram sau 7 năm thử nghiệm dưới dạng tùy chọn sâu. Lý do hãng đưa ra là tỷ lệ người dùng chủ động kích hoạt quá thấp, đồng thời mô hình tương tác trên Instagram chủ yếu mang tính mở (nhắn tin với người lạ qua story, mua hàng qua shop, tương tác với người nổi tiếng), khác với mô hình kết nối người quen của WhatsApp.
TikTok nói không với mã hóa tin nhắn: Đại diện TikTok tại Mỹ khẳng định không có kế hoạch tích hợp E2EE cho công cụ nhắn tin trực tiếp nhằm cân bằng giữa quyền riêng tư và khả năng quét, xử lý các hành vi lừa đảo, quấy rối. Dù nhận được sự đồng ý của Tổ chức giám sát tài liệu lạm dụng trẻ em (IWF), quyết định này khiến hơn 1 tỷ người dùng đối mặt với rủi ro tổn hại dữ liệu cá nhân.
Áp lực từ các đạo luật quản lý: Giới chuyên gia nhận định việc gỡ bỏ E2EE giúp các mạng xã hội dễ dàng tuân thủ các quy định pháp lý nghiêm khắc, điển hình là đạo luật Take It Down Act tại Mỹ, yêu cầu các nền tảng phải quét và loại bỏ nội dung độc hại trong vòng 48 tiếng.
Bên cạnh lý do pháp lý, động lực lớn nhất khiến các hãng công nghệ từ bỏ bảo mật tin nhắn chính là nguồn tài nguyên dữ liệu vô giá phục vụ cho cuộc đua AI toàn cầu.
Huấn luyện mô hình Llama AI: Từ năm 2024, Meta đã cập nhật chính sách bảo mật tại khu vực châu Âu, cho phép khai thác các bài viết, hình ảnh, tương tác và toàn bộ tin nhắn không được mã hóa đầu cuối để đào tạo mô hình Llama AI.
Sự phản đối của các tổ chức dân quyền: Việc Meta sử dụng các thuật ngữ mập mờ trong điều khoản để tự cấp quyền thu thập thông tin mà không cần sự đồng ý rõ ràng của khách hàng đã vấp phải làn sóng khiếu nại dữ dội từ tổ chức bảo vệ quyền riêng tư NOYB tại châu Âu.
Trong khi đó, WhatsApp – ứng dụng từng cam kết bảo mật tuyệt đối của Meta – cũng đang vướng vào vụ kiện liên bang tại Mỹ với các nguyên đơn từ Úc, Ấn Độ, Brazil do cáo buộc cho phép nhân viên và bên thứ ba tiếp cận tin nhắn riêng tư. Nhà sáng lập Telegram Pavel Durov và tỷ phú Elon Musk đồng loạt chỉ trích bảo mật của WhatsApp là "lời nói dối thế kỷ", đồng thời chỉ ra nhiều lỗ hổng hệ thống dễ bị khai thác trong cấu trúc mã hóa của ứng dụng này.
Một số ứng dụng nhắn tin phổ biến. Ảnh: Tuấn Hưng
Trước xu hướng các mạng xã hội dần gỡ bỏ "lớp giáp" bảo vệ tin nhắn, chuyên gia bảo mật Ngô Minh Hiếu (Hiếu PC) đưa ra lời khuyên người dùng cần chủ động thay đổi hành vi để tự bảo vệ tài sản số của mình:
Phân loại môi trường giao tiếp: Mặc định coi các nền tảng như Instagram, TikTok là môi trường không an toàn. Tuyệt đối không sử dụng các ứng dụng này để trao đổi mật khẩu, mã OTP, tài khoản tài chính, giấy tờ định danh hay các nội dung nhạy cảm.
Ưu tiên ứng dụng bảo mật chuyên dụng: Đối với các giao dịch và hội thoại quan trọng, nên dịch chuyển sang các ứng dụng nhắn tin có tích hợp sẵn E2EE theo mặc định, có tính minh bạch kỹ thuật cao và được kiểm toán độc lập.
Cảnh giác với rủi ro từ Metadata: Chuyên gia lưu ý E2EE không phải là giải pháp bảo mật tuyệt đối. Ngay cả khi nội dung tin nhắn được khóa, các ứng dụng vẫn âm thầm thu thập dữ liệu thứ cấp (Metadata) như danh bạ, địa chỉ IP, thiết bị sử dụng, thời gian và tần suất liên lạc, chưa kể các rủi ro đồng bộ sao lưu đám mây hoặc thiết bị bị chiếm quyền điều khiển.