Trong số các quyền mà Pi Network yêu cầu trên điện thoại của người dùng có một quyền là truy cập vào danh bạ. Tuy nhiên, việc sử dụng và quản lý nguồn tài nguyên đó có chặt chẽ hay không thì lại là một câu chuyện hoàn toàn khác. Ứng dụng Pi Network xuất hiện ở Việt Nam vào khoảng năm 2019 thế nhưng trong vài tháng trở lại đây mới thực sự bùng nổ.
Pi Network cũng trở thành đề tài tranh luận nóng bỏng của người Việt trong vài ngày vừa qua, liên quan đến vụ dữ liệu của rất nhiều người bị hacker rao bán trên diễn đàn. Không ít chuyên gia khẳng định đó chỉ là một cách đánh lạc hướng bởi Pi Network không thu thập dữ liệu KYC của người dùng (Theo báo Thanh Niên).
Thế nhưng trong ngày hôm nay, hàng loạt các trang báo tại Việt Nam đều đưa ra thông tin, một nhóm nghiên cứu bảo mật phát hiện ra vấn đề của nền tảng này. Trong đó Pi Network có thu thập dữ liệu từ danh bạ điện thoại của người dùng, gửi về máy chủ nhưng quản lý không chặt chẽ nguồn tài nguyên đã lấy.
Điều đáng nói, dù người dùng có hủy tài khoản thì danh bạ của mình vẫn còn lại trên hệ thống máy chủ của Pi. Theo báo Thanh Niên, hai nhà nghiên cứu của dự án Chống lừa đảo đã phân tích nền tảng này trên phiên bản 1.30.3 được tải trên Google Play. Trong Pi Network có một tính năng “Nhóm khai thác” mà người dùng có thể mời bạn bè của mình sử dụng Pi. Tất nhiên, để mời bạn bè thì ứng dụng này cần được cấp quyền truy cập vào danh bạ điện thoại.
Khi được người dùng cho phép, ứng dụng sẽ gửi toàn bộ thông tin danh bạ về máy chủ và cập nhật mỗi lần mà người dùng truy cập vào tính năng kể trên. Hai nhà nghiên cứu này đã lấy token xác thực và gửi yêu cầu lên máy chủ của Pi, sau đó tải được toàn bộ danh bạ mà ứng dụng này đã tải lên trước đó. Đáng chú ý, việc này thực hiện được ngay cả khi họ đã yêu cầu xóa tài khoản của mình.
CÙNG CHUYÊN MỤC
