Được đặt tên là CanaryTrap, kỹ thuật này được các học giả từ Đại học Iowa mô tả chi tiết trong một bài báo xuất bản đầu tuần này, với tiêu đề "CanaryTrap: Detecting Data Misuse by Third-Party Apps on Online Social Networks" (Tạm dịch: "CanaryTrap: Phát hiện lạm dụng dữ liệu bởi các ứng dụng của bên thứ ba trên các mạng xã hội trực tuyến").
CanaryTrap đã nêu khái niệm "honeytoken" hay còn gọi là dữ liệu, mã thông báo (token) hoặc tệp tin giả mạo mà các chuyên gia CNTT tạo ra trên mạng của họ. Khi dữ liệu được truy cập hoặc sử dụng, quản trị viên có thể phát hiện hoạt động độc hại.
Trong bài báo, các honeytoken là những địa chỉ email duy nhất mà các nhà nghiên cứu sử dụng để đăng ký tài khoản Facebook.
Theo đó, sau khi đăng ký một tài khoản, các nhà nghiên cứu đã cài đặt một ứng dụng trên Facebook, sử dụng nó trong 15 phút và sau đó gỡ cài đặt ứng dụng khỏi tài khoản.
Tiếp theo, các nhà nghiên cứu theo dõi hộp thư email honeytoken cho lưu lượng truy cập mới. Nếu hộp thư đến nhận được email mới, thì rõ ràng ứng dụng đã chia sẻ dữ liệu của người dùng với bên thứ ba.
Hơn nữa, nhóm nghiên cứu cũng cho biết họ đã sử dụng công cụ minh bạch quảng cáo của Facebook "Why Am I Seeing This?" (Tại sao tôi lại thấy điều này) để theo dõi xem nhà quảng cáo có sử dụng bất kỳ email honeytoken nào để nhắm mục tiêu tới người dùng trên Facebook hay không.
Nhóm nghiên cứu cho biết đã thử 1.024 ứng dụng trên Facebook bằng kỹ thuật CanaryToken và xác định 16 ứng dụng chia sẻ địa chỉ email với bên thứ ba, khiến người dùng nhận email từ những người gửi không xác định.
Trong số 16, chỉ có 9 ứng dụng tiết lộ rằng họ có mối liên hệ với người gửi email. Mối quan hệ này thường là với một trang web liên kết hoặc đối tác kinh doanh không liên quan, nhưng ngay cả khi các ứng dụng tiết lộ thỏa thuận chia sẻ dữ liệu, các hộp thư đến thường nhận được email không liên quan đến ứng dụng.
Tuy nhiên, 7 ứng dụng không tiết lộ rằng họ đã chia sẻ dữ liệu người dùng với người ngoài. Trong số 7 ứng dụng này, nhóm nghiên cứu cho biết không thể xác định liệu các nhà phát triển ứng dụng có chia sẻ dữ liệu người dùng với bên thứ ba và không có sự cho phép của người dùng hay không, nếu dữ liệu người dùng bị rò rỉ trực tuyến là một phần của sự cố bảo mật, chẳng hạn như máy chủ bị lộ hoặc một tin tặc xâm nhập.
Tuy nhiên, các nhà nghiên cứu cho biết một số lưu lượng email xấu đã xuất hiện, trong trường hợp honeytoken được chia sẻ bởi ba ứng dụng, các hộp thư đến email đã nhận được các email sextoration (loại lừa đảo qua email, trong đó tin tặc cho biết đang có trong tay các video, hình ảnh nhạy cảm của người dung), spam và các email lừa đảo khác.
Các nhà nghiên cứu cho biết họ chỉ tìm thấy 16 ứng dụng tham gia vào hành vi này (được liệt kê bên dưới), nhưng điều này là do họ chỉ sử dụng một mẫu nhỏ trong 1.024 ứng dụng. Nếu có nhiều ứng dụng được thử, các nhà nghiên cứu cho rằng sẽ tìm thấy nhiều ứng dụng chia sẻ dữ liệu người dùng với bên thứ ba.
Các nhà nghiên cứu đã mở nguồn nghiên cứu CanaryTrap và các công cụ liên quan trên GitHub. Họ nói rằng họ đã chia sẻ CanaryTrap "để giúp các cơ quan giám sát độc lập phát hiện việc lạm dụng dữ liệu được chia sẻ với các ứng dụng của bên thứ ba mà không cần sự hợp tác từ các mạng xã hội trực tuyến".
Ngoài ra, nhóm nghiên cứu cũng thực hiện nghiên cứu bổ sung đối với 1.024 ứng dụng, kết quả cho thấy: 61 ứng dụng Facebook không có các liên kết đến chính sách bảo mật của họ; 42 ứng dụng Facebook không đáp ứng yêu cầu xóa dữ liệu, 13 ứng dụng Facebook tiếp tục gửi email sau khi thừa nhận xóa dữ liệu.
Phát ngôn viên của Facebook cho biết đã nhận được thông tin và đang phân tích bài báo nghiên cứu CanaryTrap.
Nỗ lực của Facebook
Trong năm qua, Facebook đã kiện một số nhà phát triển và đã sửa đổi các điều khoản dịch vụ, chính sách dành cho nhà phát triển để trao thêm quyền lực trong việc thực thi các kiểm soát dữ liệu người dùng nghiêm ngặt.
Thay đổi mới nhất trong cuộc chiến của Facebook chống lại sự lạm dụng của các nhà phát triển ứng dụng diễn ra vào 2/7 khi Facebook công bố bộ cập nhật mới nhất của mình về Điều khoản nền tảng và Chính sách dành cho nhà phát triển, sẽ bắt đầu có hiệu lực vào ngày 31/8/2020.
Công ty cho biết các điều khoản mới giới hạn các thông tin mà các nhà phát triển có thể chia sẻ với bên thứ ba nhưng không được sự đồng ý rõ ràng từ người dùng. Mặt khác, các nhà phát triển hiểu rõ ràng rách nhiệm bảo vệ dữ liệu người dùng nếu họ truy cập vào nền tảng và cơ sở người dùng của Facebook để xây dựng công viện của riêng họ. Về mặt lý thuyết, những thay đổi mới này giải quyết các sơ hở được nhóm CanaryTrap báo cáo.
