Theo trang Daily Dot, Sarahah - một ứng dụng hit hot cho phép gửi tin nhắn nặc danh đến bạn bè không hề an toàn. Nhà phân tích an ninh mạng Zachary Julian đã phát hiện ứng dụng có động thái tự động tải lên máy chủ danh bạ người dùng,điều mà trang The Intercept đã ghi nhận trước đó.
Zain al-Abidin Tawfiq, người sáng lập Sarahah cho biết, các dữ liệu về danh bạ người dùng đang được tải về máy chủ để phục vụ cho một “tính năng “tìm bạn bè” trong tương lai của ứng dụng”, vốn dĩ “ra mắt chậm trễ vì nhiều trục trặc kỹ thuật”.
Tawfiq đã đăng tải lên Twitter rằng “yêu cầu quyền truy cập dữ liệu sẽ bị loại bỏ trong bản cập nhật kế tiếp” và rằng “máy chủ của Sarahah hiện tại không hề sử dụng lượng dữ liệu khổng lồ này”. Trong vòng 1 tuần trở lại đây, ứng dụng này thành hiện tượng, Sarahah đã chứng kiến lượng người dùng tăng vọt lên đến hơn 300 triệu người.
Sarahah không hoàn toàn bí mật gửi dữ liệu người dùng về máy chủ, trên cả hai nền tảng iOS lẫn Android, ứng dụng đều hỏi trước xin cấp quyền truy cập và truy xuất danh bạ số điện thoại người dùng - và ngay cả khi từ chối quyền, người dùng vẫn có thể tiếp tục dùng ứng dụng bình thường.
Tuy nhiên, vấn đề nằm ở chỗ, phần lớn người dùng không quan tâm đến những bảng thông báo xin cấp quyền và thường bấm “Cho phép” để nhanh chóng dùng thử ứng dụng.
Thêm vào đó, quyền truy cập này hiện tại không đi cùng thêm bất kỳ tác dụng hay tính năng mới nào: Sarahah không có danh sách bạn bè, và kể cả khi ứng dụng nhắn tin nặc danh có một công cụ tìm kiếm, nó cũng không cho phép người dùng tìm kiếm bằng số điện thoại. Cuối cùng, không thể tìm thấy bất cứ mục nào cho biết những số liên lạc nào đang sử dụng dịch vụ, như Instagram chẳng hạn.
Nhà phân tích Julian phát hiện ra hành vi trên bằng cách sử dụng một phần mềm theo dõi để xem Sarahah gửi đi và nhận lại những dữ liệu gì trên điện thoại Android của mình. Một trong số những dữ liệu anh phát hiện được bao gồm “toàn bộ email và số liên lạc của người dùng”, anh sau đó đã xác định được rằng phiên bản iOS của ứng dụng cũng làm điều hoàn toàn tương tự.
Dù không còn mới mẻ hay quá lạ lẫm và thông thường vẫn được dùng cho mục đích tốt, nhưng gửi toàn bộ số liên lạc của người dùng về máy chủ một ứng dụng vẫn chưa bao giờ là quyền truy cập các nhà phát triển nên đòi hỏi, trừ phi người dùng được hưởng lợi trực tiếp từ quyền đó. Và dường như người dùng chưa dành cho sự riêng tư thời @ một mối quan tâm đúng mực, khi mà rất nhiều người tỏ ra hài lòng với việc dữ liệu và thông tin cá nhân bị thu thập để sử dụng cho những mục đích mà họ không biết.
Hồi đầu năm nay, cộng đồng người dùng Unroll.me đã một phen tá hỏa khi đọc hàng tá báo cáo phát hiện ra công ty này bán lại dữ liệu người dùng cho Uber. Những hành động dạng này thường được nhà phát triển “khéo léo” giấu trong mục Điều khoản người dùng dài dằng dặc, nên rất hiếm khí người dùng để ý được và sẽ chỉ đơn thuần bấm nút cấp quyền.
