Sarahah, ứng dụng gửi lời nhắn hỏi giấu tên đang trở nên hot nhất những tuần qua lại đang dính phải một thông tin khá là không hay ho: Thông tin liên lạc danh bạ của người dùng bị tải lên server của công ty phát hành một cách thầm lặng và có vẻ như là không phải dành cho mục đích chính đáng nào cả. Động thái này đã được phát hiện bởi chuyên gia an ninh Zachary Julian, được Intercept đưa tin và ghi lại.
When first launched, this app harvests and uploads all phone numbers and email addresses in your address book. https://t.co/MOfzqQ9KmI
— The Intercept (@theintercept) Ngày 27 tháng 08 năm 2017
Zain al-Abidin Tawfiq, chủ sáng lập ra Sarahah, cho biết công ty làm vậy để chuẩn bị cho một tính năng “Tìm bạn bè” (Find your friends) sắp ra mắt, nhưng hiện đang trong quá trình hoàn thiện kỹ thuật và chưa tung ra ngay được. Được biết, sau khi Intercept đăng tải thông tin thông báo, Tawfiq đã chia sẻ trên Twitter rằng “dữ liệu hiện thời về thông tin người dùng sẽ được xóa hết trong bản cập nhật tiếp theo,” và server của Sarahah cũng không đang kiểm soát những dữ liệu liên lạc đó để làm việc gì cả.
Về phần Sarahah, có vẻ như cơ chế hoạt động của nó rất quan tâm đến những thông tin liên lạc cá nhân của mỗi người. Cụ thể, trên cả 2 nền tảng, ứng dụng đều yêu cầu người dùng cấp quyền truy cập danh bạ. Tất nhiên là nếu từ chối thì bạn vẫn sẽ được sử dụng app bình thường chứ không có vấn đề gì xảy ra.
Sarahah App asked for contacts for a planned “find your friends” feature
— ZainAlabdin Tawfiq (@ZainAlabdin878) Ngày 27 tháng 08 năm 2017
Nhưng những người không để ý mà ngay lập tức cho phép Sarahah truy cập dữ liệu thì chắc hẳn đã nghĩ rằng đó là một phần để tối ưu hóa tính năng cho app chứ không hề tính đến những nguy cơ xảy ra đi kèm. Và sự thật phũ phàng là chẳng có tính năng nào mới cho tới hiện tại cả. Không có mục bạn bè liên quan, mục tìm kiếm cũng không tìm được qua số điện thoại, và cũng chẳng có tí gì liên kết giữa các bên như Instagram hiển thị cho người dùng về các thông báo liên lạc đồng bộ vậy.
Việc truy cập và tiếp nhận dữ liệu liên lạc không hẳn là hoàn toàn dính đến mục đích xấu, mà nó thường dược dùng cho những cơ chế hỗ trợ hữu ích khác. Nhưng chắc chắn nếu ở trường hợp của Sarahah, điều này là không nên vì người dùng không có bất kỳ thông tin gì về việc app sẽ dùng nó vào chức năng nào cả. Chủ nhân ứng dụng đã lên tiếng và cho rằng họ không đang lợi dụng điều gì cả. Nhưng không có lửa làm sao có khói, vì chẳng có lý do gì công ty tự dưng mất công thu thập dữ liệu rồi để đấy cả.