Giao nộp Căn cước công dân (CCCD) hoặc quét cái mặt tiền cho một cái web ất ơ nào đấy trên mạng chỉ để đọc báo hay tạo acc? Nghe cứ như chuyện tấu hài, nhưng các pháp sư công nghệ tư bản đang muốn ép chúng ta làm thế đấy anh em ạ.
Dạo một vòng Hacker News hít hà drama, tôi thấy anh em dev đang tế sống cái trò đòi verify danh tính (KYC) với xác minh độ tuổi của mấy dịch vụ online. Tác giả bài gốc chỉ thả nhẹ một cái tiêu đề: "Tôi ớn đến tận cổ việc phải nôn thông tin cá nhân ra để dùng mấy cái dịch vụ trên mạng". Thế mà bài viết cắn tận gần 900 point.
Tóm gọn lại thì ai trong nghề cũng thừa hiểu, đây đếch phải là chính sách "bảo vệ cộng đồng" gì sất, mà rành rành là một cú úp sọt để đào mỏ dữ liệu người dùng (information mining). Thời đại mà nhà nhà mất data, người người sập server, tự nhiên anh em phải giao nộp mặt tiền với giấy tờ tùy thân cho một bên thứ ba ảo ma nào đó. Nghe đã thấy mùi toang.
Lướt qua mấy trăm cái comment, chia ra được mấy luồng tư tưởng khá mặn:
Team hoài niệm tuổi thơ: Nhớ cái thời xưa lắc, lên mạng cái tên thật còn chả thèm dùng, toàn đặt nick Yahoo kiểu boy_lanh_lung. Giờ thì sao? Sinh nhật, số điện thoại, có khi cả sổ hộ khẩu nó cũng đòi. Đến cái số điện thoại ném cho Google còn thấy cấn cấn, nói gì nộp cả cái thẻ ID.
Team thực tế phũ phàng: Một ông dev cay đắng kể chuyện nai lưng ra nộp hồ sơ cá nhân cho một dịch vụ bên thứ 3 làm background check xin việc. Tưởng nó bảo mật xịn xò lắm, ai dè tụi nó lấy data đấy lưu lại y nguyên. Rồi một ngày đẹp trời server bị hack, data của ông giáo trôi dạt tự do trên darkweb. Chốt lại: Mấy cái dịch vụ verify này thực chất chính là "honeypot" (hũ mật) vẫy gọi hacker vào xơi.
Team hoang mang về thế hệ mới: Một senior ngồi nhìn bọn trẻ con bây giờ xài mạng mà ngớ người. Tụi nó bấm "Accept Cookies" mượt như Sunsilk, gõ email vèo vèo không thèm nghĩ ngợi. Thế hệ trước thì biểu tình làm ầm lên chỉ vì thư viện chia sẻ lịch sử mượn sách cho chính phủ, giờ thì giới trẻ giơ tay xin hàng trước dark-pattern của mấy pháp sư làm web. Một pháp sư ẩn danh hiến kế: Xài mẹ Firefox Focus đi, accept hết rồi tắt trình duyệt cho nó clear session là xong chuyện.
Team "tùy hoàn cảnh": Dĩ nhiên, anh em cũng đồng ý là nộp thuế hay banking thì phải KYC. Hợp lý. Nhưng cay ở chỗ, kể cả app chính phủ hay ngân hàng thì đằng sau nó vẫn xài chung một thằng backend API nào đó (như Persona chẳng hạn). Anh em làm gì có quyền chọn ai được phép lưu trữ cái mặt mình?
Nói đi cũng phải nói lại, chính anh em dev mình hàng ngày code ra mấy cái form bắt người dùng nhập data. Thi thoảng cắm thêm vài con tracking để team Marketing chạy ads (lý do là bù đắp doanh thu bị rớt vì mất UUIDs). Nhưng đến lúc tháo cái mác dev ra, làm một user bình thường, mình mới thấy "hảo hán" cỡ nào.
Bài học sinh tồn ở đây là gì? Thứ nhất, bớt ảo tưởng về cái gọi là "dữ liệu của bạn được bảo mật tuyệt đối chuẩn quân đội". Data đã push lên database của người khác thì auto coi như có nguy cơ thành public data. Thứ hai, với tư cách là thợ code, nếu sếp hay PM có ép gắn dark pattern hay thu thập data quá lố, hãy thử phản biện hoặc ít nhất là mã hóa cái database cho đàng hoàng. Nghiệp quật không chừa một ai đâu anh em ạ. Nay mình code tool đi cào data người ta, mai data của chính mình lộ trên channel Telegram thì lại khóc thét.
Thôi, tôi đi xóa bớt cookies rồi bật VPN đây. Bye anh em!
Nguồn hóng biến: Hacker News
Bắt nộp CCCD, quét khuôn mặt để dùng web? Anh em dev trên Hacker News đang tế sống cái trò thu thập data mạo danh bảo mật này. Cùng C4F hóng biến!
