Vào ngày 1/8, chuyên gia bảo mật Bob Diachenko, người đứng đầu bộ phận nghiên cứu an ninh mạng của Comparitech, phát hiện 3 bản sao giống hệt nhau của một cơ sở dữ liệu chứa tên tuổi, thông tin liên lạc, hình ảnh và số liệu người theo dõi. Nó xuất phát từ Social Data, công ty chuyên giúp doanh nghiệp tìm người có ảnh hưởng (KOL) và cung cấp phân tích dữ liệu nhân khẩu học và tâm lý học của họ cũng như người theo dõi họ trên nhiều nền tảng mạng xã hội.
Phần lớn tài khoản bị lộ thuộc về Instagram (hơn 190 triệu), tiếp đó là TikTok (ít nhất 42 triệu) và YouTube (gần 4 triệu). Khoảng 1/5 tài khoản có chứa hoặc số điện thoại hoặc địa chỉ email.
Vụ việc được tiết lộ đúng vào thời điểm cả Facebook, công ty mẹ Instagram và ByteDance, công ty mẹ TikTok cũng như Alphabet, công ty mẹ YouTube đang đối mặt với áp lực ngày một lớn từ chính phủ đối với chính sách bảo vệ dữ liệu. Năm 2019, Facebook phải nộp phạt vì bê bối dữ liệu Cambridge Analytica, liên quan đến thông tin cá nhân của hàng triệu người bị khai thác bất hợp pháp và dùng cho các chiến dịch chính trị trong cuộc bầu cử Tổng thống Mỹ năm 2016.
TikTok cũng bị chính phủ các nước như Mỹ, Ấn Độ và Pháp chỉ trích vì hành vi thu thập dữ liệu. Ứng dụng video ngắn hiện bị chặn tại Ấn Độ và đối diện lệnh cấm tương tự tại Mỹ nếu không thoái vốn trong vòng 90 ngày kể từ ngày 14/8.
Theo Comparitech, Giám đốc công nghệ của Social Data đã biết được “tai nạn” và máy chủ lưu trữ dữ liệu bị hạ khoảng 3 tiếng sau đó. Social Data cho biết chỉ khai thác dữ liệu công khai của các tài khoản, song hành vi này vi phạm điều khoản sử dụng Facebook, Instagram, TikTok và YouTube.
Người phát ngôn Facebook Stephanie Otway khẳng định khai thác thông tin người dùng từ Instagram vi phạm rõ ràng chính sách công ty. Bà Otway nói thêm rằng Facebook đã tước quyền truy cập của Deep Social – công ty có liên quan tới Social Data, theo Comparitech – từ tháng 6/2018 và gửi thông báo pháp lý cấm bất kỳ hành vi thu thập dữ liệu nào trong tương lai.
YouTube và TikTok cho biết sẽ có hành động pháp lý với Social Data nếu có bằng chứng xác thực việc vi phạm.
Theo báo cáo của Comparitech, phát ngôn viên của Social Data nói rằng “tất cả dữ liệu đều có sẵn với bất kỳ ai kết nối Internet” và “bản thân mạng xã hội cũng phơi bày dữ liệu với người ngoài – đó là việc kinh doanh của họ”. “Những người dùng không muốn cung cấp thông tin thì hãy chuyển tài khoản về riêng tư đi”.
Michael Gazeley, Giám đốc quản lý hãng bảo mật Network Box, nhận xét dù quy mô rò rỉ khá lớn, ông không xem đây là sự cố đặc biệt nghiêm trọng. “Đáng lo hơn nếu dữ liệu cá nhân quan trọng bị lộ, chẳng hạn mật khẩu, tài khoản ngân hàng, hồ sơ y tế”.
Nathaniel Rushforth, luật sư và chuyên gia an ninh mạng tại hãng luật DaWo Law, cũng cho rằng bản thân việc khai thác dữ liệu không nhất thiết là phạm pháp. Dù vậy, một số nước vẫn trừng phạt các hành vi như lạm dụng dữ liệu khai thác được để tiếp cận mọi người với động cơ tài chính hay khai thác dữ liệu bằng những cách phản cạnh tranh. “Cách duy nhất để thực sự ngăn chặn thu thập dữ liệu là hạn chế thông tin bạn đưa lên mạng”, Rushforth đưa lời khuyên.