Tôi đi lùng sục nhà của một vlogger

Cũng đã lâu rồi tôi chẳng làm trò nghịch dại gì từ sau cái lần mà tôi đi lùng những kẻ downvote bài viết của mình trên Spiderum. Lần đó khá tệ khi mà sau một hồi lùng sục thì tôi cũng chẳng biết được những kẻ tàn ác downvote bài viết của mình là ai. Thứ nhận lại chỉ là việc biết được mấy cái API của Spiderum đều rộng lòng mà gửi trao hết ráo mấy cái thông tin mật. Nhưng dù sao thì mấy vấn đề đó cũng đã được đội ngũ Spiderum giải quyết gọn ơ rồi.

Cách đây mấy hôm, tôi lại có một cú đi lùng sục và bắt bớ khác. Số là tôi có hay xem mấy đoạn phim du lịch của một thanh niên cùng quê mình. Có lần hắn quay phim về mấy cái làng hoa kiểng quê tôi. Thế là tôi chắc mẫm rằng nhà hắn ở đâu đó gần nhà mình. Đương nhiên kéo theo rằng hắn cũng học chung trường tôi, chỉ là tôi và hắn ta cách nhau đến ba tuổi nên không học cùng lúc trong trường thôi. Thế là tôi lên mạng để thử tìm kiếm thông tin về hắn. Đầu tiên là mấy cái trang Facebook của trường cũ tôi cho đến mấy cái confession nhăn nhít. Nhưng tuyệt nhiên không thấy ai nhắc về hắn với tư cách là cựu học sinh. Tức vì bị người khác kêu rằng tôi thấy sang bắt quàng làm họ, nên tôi quyết chí lùng sục cho bằng được nhà của hắn.

Sau khi ngẫm nghĩ thì tôi quyết định quay về cái máng lợn Google để lùng sục. Đương nhiên là tôi xài cái trò cũ rích với cái dấu ngoặc kép (không phải ngoặc đơn nhé). Đầu tiên là tên kênh của hắn, sau đó là tên thật rồi cuối cùng là tên xã của tôi. Tôi cứ thế mà tìm kiếm lần lượt với nội dung là "Nguyễn Văn Vách", "Đậu Phộng Luộc", "Dảnh Thìn" bên trong khung tìm kiếm của Google. Nhưng khốn nạn thay là tôi chẳng tìm được cái thứ mà tôi muốn. Tôi làm thêm hớp bia để hy vọng rằng thần men có thể giúp được tôi phần nào trong việc truy lùng tung tích tay Youtuber. Thể là tôi nghĩ ra một ý tưởng là nâng địa danh từ xã lên huyện để dễ bề tìm kiếm. Thế là một cách may mắn nào đó, Google trả lại cho tôi một đường dẫn đến tập tin PDF. Tôi thử tải tập tin PDF đó về máy là nheo mắt lại mà tra cứu. Kết quả làm tôi hụt hẫng vô cùng. Không phải là tôi không tìm được hắn, tôi tìm được đó chứ. Nhưng mà đúng là tôi thấy sang bắt quàng làm họ thật. Nhà hắn ở một xã gần thị trấn, điều này có nghĩa rằng hắn ta chẳng phải hàng xóm lẫn người học cùng trường gì của tôi sất. Thế là đời lại buồn hiu.

Nhưng như cái lần mà tôi tìm người downvote mình, lần này tôi cũng lại nheo mắt và phát hiện ra cái gì đó, "ái chà". Không chỉ là địa chỉ xã của tay vlogger kia đâu. Mà toàn bộ địa chỉ nhà hắn bao gồm số nhà, ấp và các thông tin khác như năm sinh, số điện thoại và một lô lốc các thông tin khác của hắn ta. Nhưng có lẻ tôi đã mừng rỡ quá sớm khi nghĩ mình vớ được cái phát kiến gì đó vĩ đại lắm. Sự thật khá phũ phàng khi tôi nhìn lại trang web đưa tôi đến với tập tin PDF - ipvietnam.gov.vn . Đó là trang web thuộc cục sở hữu trí tuệ Việt Nam. Và tất cả những thông tin kia đều có thể được tra cứu từ ipplatform.gov.vn, nhưng có một điều kỳ lạ đó là con đường dẫn tôi đến với kết quả kia lại là một tập tin PDF. Có lẻ tập tin này được đính kèm trong một trang web nào đó của ipvietnam.gov.vn. Google mò từ đó để có thể tìm được tập tin PDF và đánh dấu những thông tin trong mục tìm kiếm. Ái chà, thế thì cũng khá là gay go đây. Gay go thế nào thì hãy thử thêm vài trò nhé.

Tôi bắt đầu quá trình nghịch ngu bằng cách thí nghiệm ngay trên chính mình. Sau khi thử tìm tên tôi cùng một số thông tin lớp học hồi phổ thông, sinh nhật thì tôi nhận ngay một đòn đầy đau đớn. Một cách wibu nào đó mà có một đứa nào nó trong lớp tôi đã đăng tải toàn bộ thông tin lớp phổ thông của tôi lên diễn đàn theo định dạng gồm tên họ, ngày tháng năm sinh và mã số học sinh. Nhưng coi như là một cách để tôi có nhiều tư liệu hơn cho việc nghịch dại. Tôi thử bắt đầu với tên của lớp trưởng lớp tôi và ngày sinh của nó. Tôi lấy được một vài tập tin PDF liên quan đến đứa bạn của tôi bao gồm thông tin của nó với tư cách là một sinh viên. Trong tập tin PDF đó tôi tìm được một lô lốc danh sách sinh viên của một trường đại học với định dạng bao gồm họ tên, ngày sinh, quê quán và mã số sinh viên. Ngoài ra thì có một thông tin khác đáng chú ý hơn mà tôi lấy được từ đứa bạn của mình, đó là một tập tin PDF đến từ sở giao thông, vận tải Bến Tre. Đó là thông báo về danh sách những bằng lái xe bị hủy do các lý do khác nhau (trong trường hợp bạn tôi là bị mất). Nhưng ngoài thông tin số bằng thì tập tin này cũng đính kèm luôn cả số CMND của bạn tôi. Cứ thế mà chỉ từ một cái tên và ngày sinh, tôi biết luôn được số CMND của một người. Với ba thông tin đó thôi thì kèm theo một số công cụ đặc thù thì một kẻ xấu bụng nào đó có thể có được những thông tin mà họ muốn về bạn tôi.

Ngoài trường hợp đó ra thì tôi còn thử một số trường hợp khác nửa liên quan tới vài đứa bạn khác. Trong đó có một đứa thì thông tin nó nằm trong một tập tin PDF về việc nó bị buộc thôi học vì lý do không đăng ký môn học. Một đứa khác thì có thêm thông tin về việc ứng tuyển vị trí giáo viên ở một ngôi trường bán công dưới quê tôi. Nhưng nhìn chung thì không có quá nhiều đứa bạn bị rò rĩ thông tin quá nhạy cảm.

Nhưng khi nhìn lại thì tự nhiên trong tôi hiện lên một suy nghĩ, liệu những thông trên có được xem là rò rĩ không? Khi mà đó đều là những thông được xem là công khai và ai cũng có thể xem. Riêng tôi thì tôi vẫn xem đó là một sự rò rĩ gián tiếp. Ví dụ trong trường hợp của đứa bạn tôi, nếu chiếu theo thông tin về việc mất bằng lái xe thì theo lẻ thường các bước để tìm đến tập tin PDF đó sẽ là như sau. Chúng ta là một người thường hay theo dõi tin tức từ sở giao thông, vận tải. Một ngày kia chúng ta thấy được một mảng tin với tiêu đề nói về những bằng lái xe sẽ bị vô hiệu hóa trong tháng tiếp theo. Chúng ta mở tin tức đó ra xem và được dẫn tới một tập tin chứa danh sách của những bằng lái bị hủy đó. Nhưng rõ ràng thì trong trường hợp của tôi, tôi là một đứa chỉ chăm chăm tìm kiếm thông tin của đứa bạn mình. Toàn bộ hành trang của tôi là tên và ngày sinh của nó, trợ thủ của tôi chỉ là Google. Và rồi kết quả là nhờ tập tin PDF kia tôi lấy được CMND của bạn mình và không cần quan tâm gì đến bằng với chả lái.

Kế đến sẽ là trường hợp của đứa bạn làm giáo viên của tôi, thông tin ứng tuyển của bạn thôi đương nhiên hoàn toàn là công khai. Chính trong thông báo của ủy ban nhân dân của đã xác nhận rằng thông báo này hoàn toàn công khai. Nhưng vẫn sẽ là vấn đề như ở trên. Tôi chẳng quan tâm gì mấy đến chuyện ai ứng tuyển cả. Tôi chỉ cầm trong tay tên và ngày sinh của bạn mình, cứ thế mà Google dắt tôi đến được nơi nó đang công tác.

Nói cách khác thì việc cho phép Google đánh chỉ mục những thông tin này như thể chúng ta kết nối căn buồng ngủ của mình với một cánh cổng không gian mà ai cũng có thể vào được nếu họ biết vài thông tin cơ bản của chúng ta. Đáng lẻ chúng ta có thể dừng được ở đây, nhưng trong cái quá trình đi nghịch dại thì tôi còn tìm được một số điều hay ho khác nửa.

Nếu ở trên chúng ta đã gặp những trang web thuộc về các tổ chức của nhà nước và đại đa số các thông tin đều thuộc dạng có thể công khai, thì ở phần này chúng ta sẽ đến với các tổ chức tư nhân (hoặc là cá nhân làm việc cho nhà nước). Trong cái lúc mà tôi cố tìm kiếm những thông tin của những đứa bạn học của mình từ Google, tôi cũng nhận được một số tập tin PDF khác không liên lắm. Nhưng trong cái lúc mà tôi tôi nghía thử những tập tin không liên quan đó thì tôi hoàn toàn bất ngờ những nội dung trong đó. Ngoài những thông tin không mấy quan trọng như thông tin học viên của các trung tâm thì tôi tìm được một lô những thông tin có phần nhạy cảm hơn. Đó là những danh sách khách hàng của tháng (mua hàng nhiều nhất) từ một hãng mỹ phẩm, cho đến cả danh sách khám chữa bệnh (có một số bệnh khá nhạy cảm) và rồi là cả danh sách khen thưởng nội bộ của một số doanh nghiệp mà tôi không biết.

Những thông tin này có vẻ bình thường nhưng sẽ trở thành nguy hiểm nếu như được tìm theo cách của tôi lúc nãy. Giả sử bạn bị mắc một chứng bệnh mà bạn không muốn người khác biết như các chứng bệnh về tâm lý, bạn chọn một trung tâm để thăm khám. Bỗng nhiên một ngày, có người xấu bụng nào đó tìm kiếm tên và ngày sinh hoặc một thông tin nào đó khác của bạn thử trên Google. Không may thay, trung tâm của bạn vì tiết kiệm và bất cẩn mà chọn một dịch vụ lưu trữ PDF/CSV dưới quyền công khai. Google từ đó mà mò ra được tập tin đó. Thế là bạn bị đặt vào một tình thế không thể khó khăn và nhảm nhí hơn.

Tôi đã thử lướt một vòng trên scribd.com, pdfcoffee và thử tìm kiếm một số người theo tên và số điện thoại, tôi thấy được một lô lốc những thông tin của họ (địa chị, CMND...) từ các tập tin PDF như danh sách nhà đầu tư, danh sách đặt trước hàng hóa...

Thật ra tôi cũng chẳng biết sao là sao nửa. Chúng ta có thể ngày ngày nói với nhau nghe 101 cách để bảo mật thông tin cá nhân, nhưng đôi khi vẫn bị rò rĩ bằng những cách mà chẳng ai ngờ tới. Thay vì lo lắng mấy cái đường dẫn với ứng dụng khắp nơi trên mạng thì bây giờ chính Google cũng có thể trở thành mối nguy nếu chúng ta bất cẩn.

Thế thì chúng ta có thể làm gì bây giờ? Trước mắt cho lẻ chúng ta nên mở ngay Google và đi dạo một vòng với các từ khóa như họ tên, quên quán, ngày tháng năm sinh (trong cả hai định dạng DD/MM/YYYY và YYYY-MM-DD) cùng một số thông tin khác.

Tôi thì thật sự không đủ khả năng và kinh nghiệm để nói về việc những tổ chức phải làm gì để tránh những trường hợp ở trên. Nhưng dựa theo những bát cháo hành mà tôi từng húp thì tôi nghĩ rằng nên làm đôi điều thế này.

Thứ nhất là chỉ lưu trữ những thứ cần lưu trữ. Chúng ta chẳng thể bị trộm cái gì nếu như nhà chỉ có bốn bức vách. Những thông tin nhạy cảm không cần thiết thì tốt nhất không nên đính kèm. Tôi từng gặp phải một vấn đề rò rĩ bảo mật khá nhạy cảm khi có nguy cơ làm lộ địa chỉ nhà (hoặc giao hàng) của trên dưới một triệu người dùng trên toàn thế giới. Vấn đề rò rĩ thông tin thì không phải đến từ sự bất cẩn của tôi. Nhưng khi nhìn xa hơn về quá khứ thì địa chỉ người dùng trong hệ thống đó là một thông tin tệ hại. Đơn giản vì hệ thống tính toán không cần dùng đến nó nhưng khi nó bị lộ thì hậu quả là vô cùng lớn. Cho nên đáng lẻ từ đầu chúng tôi đã không nên lưu trữ những thứ đó.

Thứ hai đó là chỉ nên mở những cánh cửa cần mở. Google không hề đánh chỉ mục lung tung, thay vào đó chúng ta hoàn toàn có thể kiểm soát được những trang hoặc tập tin nào sẽ được đánh chỉ mục. Cho nên nếu là những trang và tập tin không cần thiết phải đánh chỉ mục thì nên cấu hình để tránh bị Google đánh chỉ mục. Riêng những trang mang tính thông báo như các tổ chức thuộc nhà nước thì hoàn toàn có thể hủy luôn việc đánh chỉ mục để tránh lộ những thông tin không mong muốn thông qua Google hoặc các hệ thống tương tự.

Kết thì tôi cũng chẳng biết phải kết như thế nào. Chỉ là coi như xui đi, tay vlogger đó chẳng phải ở chung xã với mình.