Trình quản lý mật khẩu LastPass bị báo cáo là theo dõi người dùng

08:57 | 05/03/2021

Mặc dù trình theo dõi trong ứng dụng Android của LastPass không thu thập bất kỳ dữ liệu cá nhân nào, nhưng trình quản lý mật khẩu phổ biến LastPass đang bị báo cáo là thu thập dữ liệu người dùng qua trình theo dõi quảng cáo và phân tích. Vấn đề này không chỉ ảnh hưởng đến người dùng trên Android mà cả người dùng iPhone.

Mới đây, LastPass - trình quản lý mật khẩu phổ biến với hơn 25 triệu người dùng đã bị chỉ trích là bí mật thu thập dữ liệu của người dùng. Một báo cáo đã cho thấy rằng, ứng dụng Android của LastPass, tích hợp 07 trình theo dõi quảng cáo và phân tích đã thu thập dữ liệu của người dùng như loại thiết bị, phiên bản Android, người dùng có đang sử dụng gói miễn phí hay không và liệu đã kích hoạt bảo vệ sinh trắc học hay chưa.

Nhà nghiên cứu người Đức Mike Kuketz là người đã phát hiện vấn đề này. Ông nhận thấy rằng việc các ứng dụng xử lý dữ liệu nhạy cảm để tích hợp các mô-đun quảng cáo và phân tích là hoàn toàn không thể chấp nhận được. Tóm lại, mã code bên ngoài, độc quyền và không rõ ràng là không thể được tích hợp vào các ứng dụng xử lý dữ liệu nhạy cảm. Đôi khi chính các nhà phát triển ứng dụng, những người tích hợp các mô-đun này vào ứng dụng của họ thậm chí không biết những dữ liệu nào mà các mô-đun này thu thập và truyền đến các nhà cung cấp bên thứ ba.

Thông qua việc sử dụng Exodus - một nền tảng kiểm tra quyền riêng tư cho các ứng dụng Android, ông Kuketz nhận thấy rằng một khi ứng dụng Android của LastPass được khởi động, nó sẽ liên hệ ngay với các nhà cung cấp dịch vụ theo dõi. Ứng dụng này tích hợp 07 mô-đun theo dõi quảng cáo và phân tích bao gồm: Google Firebase Analytics, Segment, Google CrashLytics, AppsFlyer, Mixpanel và Google Analytics. Thậm chí, chúng có thể được kích hoạt trước khi người dùng tương tác với ứng dụng.

Theo Mike Kuketz, mặc dù các trình theo dõi này không thu thập các dữ liệu nhạy cảm như mật khẩu của người dùng, nhưng chúng theo dõi gần như mọi thao tác được thực hiện trên điện thoại của người dùng. Thông tin được thu thập bao gồm: địa chỉ IP của thiết bị, độ phân giải màn hình, múi giờ, ID quảng cáo của Google, thông tin về nhà cung cấp dịch vụ, cũng như ID tạo một lần của người dùng. Trong khi ứng dụng hoạt động, nó truyền siêu dữ liệu về các mật khẩu mới được tạo và đó là loại mật khẩu nào. Tuy nhiên, trình theo dõi không thu thập bất kỳ dữ liệu nội dung nào.

Không chỉ người dùng Android, ứng dụng LastPass cũng theo dõi vị trí của người dùng, dữ liệu sử dụng, thông tin liên hệ… trên thiết bị của người dùng iPhone đã cài đặt ứng dụng. Tất cả những thông tin này đều có thể được sử dụng hoặc bán lại cho các công ty quảng cáo của bên thứ 3.

Đáng chú ý, người dùng không nhận được yêu cầu cho phép một số dữ liệu của họ được truyền đến các nhà cung cấp bên thứ ba, và ông Kuketz đã chỉ trích ứng dụng này không cho phép người dùng tùy chọn không tham gia thu thập dữ liệu. Tuy nhiên, phát ngôn viên của LastPass cho biết rằng ứng dụng có cung cấp lựa chọn này.

Theo phát ngôn viên của LastPass, tất cả người dùng của LastPass, bất kể trình duyệt hay thiết bị, đều được cung cấp tùy chọn không tham gia phân tích trong Cài đặt quyền riêng tư LastPass. Tùy chọn này có tại đường dẫn: Cài đặt tài khoản > Hiển thị cài đặt nâng cao > Quyền riêng tư (Account Settings > Show Advanced Settings > Privacy).

LastPass đang tiếp tục xem xét các quy trình hiện có và thực hiện những điều cần thiết để tuân thủ tốt hơn, thậm chí vượt trên các yêu cầu hiện tại về các tiêu chuẩn bảo vệ dữ liệu của ứng dụng. Công ty cũng đã đưa ra tuyên bố về Cam kết của LastPass về Quyền riêng tư và Trải nghiệm Người dùng.

Người phát ngôn cũng đảm bảo rằng không có thông tin nhận dạng cá nhân nhạy cảm nào của người dùng hoặc hoạt động quản lý mật khẩu bị rò rỉ qua trình theo dõi, đồng thời nói thêm rằng trình theo dõi chỉ thu thập dữ liệu thống kê tổng hợp về việc sử dụng ứng dụng, sau đó được sử dụng để tối ưu hóa và cải thiện LastPass. Tuy nhiên, cũng cần lưu ý rằng, các trình theo dõi này cũng được tìm thấy trong một số trình quản lý mật khẩu được sử dụng rộng rãi khác.

Hiện tại, mặc dù báo cáo có thể làm bận tâm những người dùng có ý thức cao về quyền riêng tư, nhưng nó sẽ không làm mất đi những lợi ích của việc sử dụng trình quản lý mật khẩu - bao gồm tránh mắc phải những lỗi tạo mật khẩu phổ biến (như sử dụng lại mật khẩu, tạo mật khẩu quá đơn giản, lưu trữ mật khẩu ở dạng bản rõ, chia sẻ mật khẩu và thay đổi mật khẩu định kỳ mà không cân nhắc).

Người dùng muốn tăng gấp đôi khả năng bảo mật của mình có thể chọn nhiều giải pháp từ miễn phí đến trả phí, với một số trình quản lý mật khẩu thậm chí còn được tích hợp trực tiếp vào các giải pháp bảo mật đầy đủ tính năng. Lưu ý rằng, thêm một lớp bảo mật bổ sung dưới dạng xác thực đa yếu tố cũng là một lựa chọn đáng cân nhắc.

Trong một báo cáo mới đây, The Register cũng chỉ ra rằng LastPass không phải là trình quản lý mật khẩu duy nhất hiện nay có tích hợp trình theo dõi. Hai ứng dụng khác là Bitwarden và Dashlane đều chứa các trình theo dõi, với số lượng lần lượt là 2 và 4. Tuy vậy, nhiều người dùng LastPass đã bắt đầu tẩy chay ứng dụng và chuyển sang sử dụng các ứng dụng khác như 1Password và KeePass (mã nguồn mở), hiện chưa phát hiện có trình theo dõi người dùng.