Các trang web khai thuế Mỹ âm thầm gửi thông tin tài chính người dùng cho Facebook

VietTimes – Các dịch vụ khai thuế lớn như H&R Block, TaxAct và TaxSlayer âm thầm truyền thông tin tài chính nhạy cảm tới Facebook khi người Mỹ khai thuế trực tuyến, theo The Markup.

Meta Pixel là một đoạn mã JavaScript giúp theo dõi hoạt động của khách truy cập trên trang web cụ thể. Ảnh FaceBook

Meta Pixel là một đoạn mã JavaScript giúp theo dõi hoạt động của khách truy cập trên trang web cụ thể. Ảnh FaceBook

Dữ liệu, gửi qua mã được sử dụng rộng rãi có tên là Meta Pixel, không chỉ bao gồm thông tin như tên và địa chỉ email mà còn có cả những thông tin chi tiết hơn như dữ liệu về thu nhập của người dùng, trạng thái nộp đơn, số tiền hoàn lại và số tiền học bổng đại học của người phụ thuộc.

Meta Pixel là một đoạn mã JavaScript giúp theo dõi hoạt động của khách truy cập trên một trang web cụ thể.

Bài viết này đã được The Markup xuất bản, một tòa soạn phi lợi nhuận chuyên điều tra xem các tổ chức hùng mạnh đang sử dụng công nghệ để thay đổi xã hội như thế nào.

Thông tin được gửi tới Facebook có thể được công ty sử dụng để cung cấp tài nguyên cho các thuật toán quảng cáo, thu thập từ bất kể người sử dụng dịch vụ khai thuế có tài khoản trên Facebook hay các trang mạng xã hội khác do chủ sở hữu Meta điều hành hay không.

Mỗi năm, Sở Thuế vụ xử lý khoảng 150 triệu tờ khai cá nhân điện tử và một số dịch vụ nộp đơn điện tử, sử dụng rộng rãi nhất Meta pixel, The Markup cho biết.

Ví dụ: khi người dùng đăng ký khai thuế với dịch vụ phổ biến TaxAct, người dùng được yêu cầu cung cấp thông tin cá nhân để tính toán tiền lãi, bao gồm số tiền kiếm được và khoản đầu tư. Sau đó, một pixel trên trang web của TaxAct gửi một số dữ liệu đó tới Facebook như trạng thái nộp đơn khai thuế người dùng, tổng thu nhập đã điều chỉnh và số tiền hoàn lại, theo đánh giá của The Markup. Thu nhập được làm tròn đến hàng nghìn và số tiền hoàn lại gần nhất đến hàng trăm. Pixel cũng gửi tên của những người phụ thuộc ở định dạng khó hiểu, có thể là định dạng đảo ngược.

TaxAct cho biết, có khoảng 3 triệu “người tiêu dùng và người dùng chuyên nghiệp” sử dụng công cụ phân tích của Google trên trang web của mình và The Markup cũng tìm thấy dữ liệu tài chính tương tự, nhưng không đặt tên, được gửi tới Google thông qua công cụ của doanh nghiệp.

TaxAct không phải là dịch vụ khai thuế duy nhất sử dụng Meta Pixel. Doanh nghiệp khổng lồ về khai thuế H&R Block, cũng cung cấp tùy chọn khai thuế trực tuyến thu hút hàng triệu khách hàng mỗi năm, nhúng một pixel trên trang web của mình để thu thập thông tin về việc sử dụng tài khoản tiết kiệm sức khỏe của người khai thuế cũng như các khoản trợ cấp và chi phí học phí đại học của người phụ thuộc.

TaxSlayer, một dịch vụ nộp hồ sơ được sử dụng rộng rãi khác, đã gửi thông tin cá nhân tới Facebook như một phần của hệ thống “kết hợp nâng cao” của công ty truyền thông xã hội này, hệ thống thu thập thông tin về khách truy cập web nhằm cố gắng liên kết họ với tài khoản Facebook.

Thông tin được thu thập thông qua Meta pixel trên trang web của TaxSlayer bao gồm số điện thoại, tên của người dùng điền vào biểu mẫu và tên của bất kỳ người phụ thuộc nào được thêm vào tờ khai. Như với TaxAct, thông tin nhân khẩu học cụ thể về người dùng đã bị xáo trộn nhưng Facebook vẫn có thể sử dụng để liên kết người dùng với hồ sơ hiện có. TaxSlayer cho biết họ đã hoàn thành 10 triệu tờ khai thuế liên bang và tiểu bang vào năm ngoái.

Markup cũng tìm thấy mã pixel trên một trang web chuẩn bị thuế được điều hành bởi một công ty phần mềm và tư vấn tài chính có tên là Ramsey Solutions, sử dụng một phiên bản dịch vụ của TaxSlayer. Pixel đó thậm chí còn thu thập nhiều dữ liệu cá nhân hơn từ trang tóm tắt tờ khai thuế, bao gồm thông tin về thu nhập và số tiền hoàn lại. Thông tin này không được gửi ngay khi truy cập trang mà chỉ khi khách truy cập nhấp vào tiêu đề thả xuống để xem thêm chi tiết về báo cáo của họ.

Ngay cả Intuit, công ty điều hành phần mềm nộp đơn trực tuyến thống trị của Mỹ, cũng sử dụng pixel. Nhưng TurboTax của Intuit không gửi thông tin tài chính tới Meta mà gửi tên người dùng và lần cuối thiết bị đăng nhập. Công ty đã giữ pixel hoàn toàn ở các trang ngoài sau khi đăng nhập.

Nicole Coburn, phát ngôn viên của TaxAct trong một email gửi The Verge cho biết: “Chúng tôi rất coi trọng quyền riêng tư đối với dữ liệu của khách hàng. “TaxAct luôn cố gắng tuân thủ tất cả các quy định của IRS.” Angela Davied, phát ngôn viên của H&R Block, cho biết công ty “thường xuyên đánh giá các hoạt động của chúng tôi như một phần trong cam kết vĩnh viễn của chúng tôi về quyền riêng tư và sẽ xem xét thông tin.”

Megan McConnell, phát ngôn viên của Ramsey Solutions, cho biết trong một email, công ty “đã triển khai Meta Pixel để mang lại trải nghiệm khách hàng được cá nhân hóa hơn”.

Tuyên bố nhấn mạnh: “Chúng tôi KHÔNG biết và chưa bao giờ được thông báo rằng thông tin thuế cá nhân đang được Facebook thu thập từ Pixel. Ngay khi phát hiện ra, chúng tôi đã lập tức thông báo cho TaxSlayer để hủy kích hoạt Pixel khỏi Ramsey SmartTax.”

Sau khi The Markup liên hệ với TaxSlayer, phát ngôn viên Molly Richardson cho biết trong một email, công ty đã xóa pixel để đánh giá vấn để sử dụng công cụ này. “Quyền riêng tư của khách hàng chúng tôi là vô cùng quan trọng và chúng tôi đánh giá cao những lo ngại về thông tin của khách hàng,” cô nói, đồng thời cho biết thêm, Ramsey Solutions “cũng đã quyết định xóa pixel”.

Rick Heineman, phát ngôn viên của Intuit, cho biết pixel của công ty “không theo dõi, thu thập hoặc chia sẻ thông tin mà người dùng nhập vào TurboTax khi nộp thuế,” mặc dù Intuit “có thể chia sẻ một số thông tin không phải khai thuế, chẳng hạn như tên người dùng với các đối tác tiếp thị để mang lại trải nghiệm khách hàng tốt hơn” hoặc không hiển thị quảng cáo Intuit trên Facebook cho những người đã có tài khoản. Công ty cho biết luôn tuân thủ các quy định và đã sửa đổi pixel để không gửi tên người dùng nữa.

Mandi Matlock, giảng viên Trường Luật Harvard tập trung vào luật thuế, cho biết những phát hiện của The Markup cho thấy người nộp thuế “cung cấp những thông tin nhạy cảm nhất và thông tin đó đang bị khai thác. Điều này thật kinh khủng,” cô nói.

Ngày 21/11, sau khi TaxAct được The Markup liên hệ để nhận xét, trang web của công ty không còn gửi các chi tiết tài chính như thu nhập và số tiền hoàn lại cho Meta nhưng vẫn tiếp tục gửi tên của những người phụ thuộc. Trang web cũng tiếp tục gửi thông tin tài chính tới Google Analytics. Cũng từ ngày 21/11, TaxSlayer và Ramsey Solutions đã xóa pixel khỏi các trang web nộp thuế và TurboTax đã ngừng gửi tên người dùng thông qua pixel khi đăng nhập. Trang web của H&R Block vẫn tiếp tục gửi thông tin về tài khoản tiết kiệm sức khỏe và trợ cấp học phí đại học.

Cách Meta Pixel theo dõi người dùng

Meta cung cấp miễn phí mã pixel cho bất kỳ ai muốn, cho phép các doanh nghiệp nhúng mã vào trang web theo ý muốn.

Việc sử dụng mã sẽ giúp ích cho cả Facebook và các doanh nghiệp. Khi một khách hàng truy cập vào trang web của một doanh nghiệp, pixel có thể ghi lại những mặt hàng mà khách hàng đã xem hoặc mua, ví dụ như một chiếc áo phông. Sau đó, doanh nghiệp có thể đưa quảng cáo của mình trên Facebook đến những người đã xem chiếc áo đó. Điều đó cho phép doanh nghiệp nhanh chóng tiếp cận những đối tượng có thể quan tâm đến sản phẩm.

Meta cũng có được lợi ích về tài chính. Công ty cho biết sử dụng dữ liệu thu thập được từ các công cụ như pixel để cung cấp đầu vào cho những thuật toán, giúp công ty hiểu rõ hơn thói quen của người dùng trên internet.

Chiến lược đã thành công cho Facebook. Năm 2018, công ty khi điều trần trước với Quốc hội có hơn 2 triệu mã Meta pixel trên web, một hoạt động thu thập dữ liệu khổng lồ mà người dùng internet chưa từng thấy.

Jon Callas, giám đốc công nghệ vì lợi ích cộng đồng tại Electronic Frontier Foundation cho biết: “Thực tế này rất phổ biến ông bị “sốc nhưng không ngạc nhiên” trước những phát hiện của The Markup.

Một số hoạt động thu thập dữ liệu nhạy cảm do The Markup phân tích dường như được liên kết với các hành vi mặc định của Meta Pixel, trong khi một số hoạt động dường như phát sinh từ những tùy chỉnh do dịch vụ khai thuế thực hiện hoặc phần mềm khác được cài đặt trên trang web.

Điển hình như, Meta Pixel thu thập thông tin về tài khoản tiết kiệm sức khỏe và chi phí đại học từ trang web của H&R Block vì thông tin xuất hiện trong tiêu đề trang web và cấu hình tiêu chuẩn của Meta Pixel sẽ tự động thu thập tiêu đề của trang mà người dùng xem cùng với địa chỉ web của trang và các dữ liệu khác.

Những pixel được nhúng bởi TaxSlayer và TaxAct sử dụng một tính năng gọi là “đối sánh nâng cao tự động.” Tính năng đó quét các biểu mẫu đang tìm kiếm các trường có chứa thông tin nhận dạng cá nhân như số điện thoại, tên, họ hoặc địa chỉ email, sau đó gửi thông tin được phát hiện tới Meta. Trên trang web của TaxSlayer, tính năng này thu thập số điện thoại và tên của những người khai báo và những người phụ thuộc. Trên TaxAct, pixel thu thập tên của những người phụ thuộc.

Dữ liệu được thu thập được gửi ở dạng bị xáo trộn được gọi là hàm băm, trạng thái Meta này được sử dụng để “bảo vệ quyền riêng tư của người dùng.” Nhưng công ty có thể phục hồi được dữ liệu đã trộn. Trên thực tế, Meta rõ ràng sử dụng thông tin đã bị xáo trộn để liên kết dữ liệu pixel khác với hồ sơ Facebook và Instagram.

Theo The The Verge