LinkedIn bắt xác minh danh tính: Tiện ích hay cú lừa "hiến tế" dữ liệu cá nhân?

Anh em ạ, cái thời mà "trên mạng không ai biết bạn là một con chó" đã qua lâu rồi. Giờ đây, đến cái mạng xã hội chuyên để "flexing" công việc như LinkedIn cũng bắt đầu đòi hỏi anh em mình phải "show" hết từ căn cước công dân đến ảnh selfie sắc nét mới cho chơi tiếp. Một bài đăng trên Hacker News vừa leo đỉnh trending với hơn 1300 điểm, bóc phốt toàn bộ quá trình "hiến tế" thông tin cho LinkedIn. Là một thằng dev từng ăn nằm với đủ loại API, tôi thấy vụ này không đơn giản là bảo mật đâu, nó là cả một bầu trời... rủi ro.

Toàn cảnh vụ "úp sọt" định danh của LinkedIn

Chuyện là có một ông dev (cũng thuộc dạng kỹ tính) thử đi xác minh danh tính trên LinkedIn. Thay vì tự làm, LinkedIn lại đẩy qua một bên thứ ba tên là Persona. Và đây là những gì xảy ra:

Quét ID Chính phủ: Bạn phải chụp ảnh CCCD hoặc Hộ chiếu. Vâng, toàn bộ thông tin nhạy cảm nhất nằm ở đây.
Live Selfie: Không chỉ chụp ảnh, nó còn bắt bạn quay qua quay lại để chắc chắn bạn không phải là một con bot hay một tấm ảnh in sẵn.
Mạng lưới Subprocessor loằng ngoằng: Sau khi soi kỹ điều khoản, ông này phát hiện dữ liệu của mình không chỉ nằm ở Persona hay LinkedIn. Nó còn được "share" cho một mớ bên khác như MongoDB, Snowflake... để xử lý. Dữ liệu của anh em mình bỗng dưng đi du lịch khắp các server mà chẳng ai dám chắc nó sẽ dừng chân ở đâu.
Tình trạng "Lock" tài khoản vô tội vạ: Nhiều anh em bỗng dưng bị khóa acc với lý do "hoạt động nghi ngờ" và cách duy nhất để quay lại là... nộp ID. Một kiểu "ép kinh tế" cực kỳ khó chịu.

Giang hồ mạng dậy sóng: Chọn quyền riêng tư hay chọn... chết đói?

Cái topic này trên Hacker News đúng kiểu một cái tổ kiến lửa, anh em dev vào combat cực gắt với đủ mọi quan điểm:

Phe "Nghỉ chơi": Có ông chia sẻ đã bỏ LinkedIn sau 10 năm gắn bó chỉ vì cái yêu cầu ID này. Với các ông ấy, sự riêng tư là lằn ranh đỏ. Một tài khoản FB khác còn hài hước hơn khi kể chuyện bị bắt... phỏng vấn video với một con bot để chứng minh mình là người. Kết quả? "Thôi, cộng đồng địa phương cứ sống tiếp mà không có tôi đi!"
Phe "Cơm áo gạo tiền": Một bà chị khác thì thực dụng hơn: "Đây không phải là lựa chọn. Nó giống như người tiểu đường chọn tiêm insulin vậy. Không có LinkedIn ở châu Âu hay Mỹ thì tìm việc bằng niềm tin à?". Đây chính là cái bẫy mà các Big Tech giăng ra: Muốn có việc thì phải đổi quyền riêng tư lấy cơ hội.
Phe "Lách luật": Có cao nhân chỉ ra rằng nếu thực sự cần xác minh mà không muốn nộp ID cho Microsoft (chủ sở hữu LinkedIn), bạn có thể dùng tùy chọn gửi giấy tờ có xác nhận của chính quyền địa phương (affidavit). Nhưng nói thật, mấy ai đủ kiên nhẫn để làm trò này?
Phe "Soi tech": Nhiều anh em đặt dấu hỏi về việc MongoDB hay Snowflake xuất hiện trong danh sách xử lý dữ liệu. Thực ra đó chỉ là hạ tầng lưu trữ thôi, nhưng việc dữ liệu nhạy cảm nằm rải rác ở nhiều DB khác nhau luôn là cơn ác mộng nếu có một vụ rò rỉ (data breach) xảy ra.

Bài học sinh tồn: Đừng để doanh nghiệp của bạn trở thành "Big Brother"

Từ góc nhìn của một thằng dev làm ở WorkCloud, tôi thấy vụ này là một bài học đắt giá cho các doanh nghiệp SME tại Việt Nam khi tiếp cận công nghệ:

Đừng bắt chước Big Tech kiểu "ngáo quyền lực": Nhiều app nội bộ hay nền tảng quản trị cứ thích đòi hỏi đủ loại quyền truy cập, từ vị trí đến danh bạ, dù thực tế chả để làm gì. Điều này chỉ làm nhân viên hoặc khách hàng thêm đề phòng và khó chịu. Tại WorkCloud, chúng tôi tối ưu vận hành theo hướng thực dụng nhất: Cần cái gì dùng cái đó, không "vơ vét" dữ liệu thừa.
Xác thực nhẹ nhàng (Work email): Anh em có thấy trong comment có người nói chỉ cần xác minh qua email công ty là xong không? Đó là cách làm văn minh và hiệu quả nhất cho môi trường B2B. Vừa chứng minh được bạn là nhân viên của một tổ chức xịn, vừa không phải lột trần thông tin cá nhân.
Chi phí rẻ không có nghĩa là bảo mật rẻ tiền: Các SME thường ham rẻ mà dùng các tool không rõ nguồn gốc hoặc không có cam kết bảo mật. Đến lúc "toang" dữ liệu khách hàng thì cái giá phải trả đắt hơn gấp vạn lần tiền bản quyền.

Chốt lại: LinkedIn vẫn là cái chợ việc làm lớn nhất, nhưng đừng vì thế mà lơ là. Nếu chỉ cần xác minh để "làm màu" cái tích xanh thì anh em nên cân nhắc kỹ. Còn với các chủ doanh nghiệp, hãy nhớ: Công nghệ là để hỗ trợ con người, đừng biến nó thành cái rào cản khiến người ta phải sợ hãi.

Nguồn: Hacker News - I verified my LinkedIn identity. Here's what I handed over

Toàn cảnh vụ "úp sọt" định danh của LinkedIn

Quét ID Chính phủ: Bạn phải chụp ảnh CCCD hoặc Hộ chiếu. Vâng, toàn bộ thông tin nhạy cảm nhất nằm ở đây.

Live Selfie: Không chỉ chụp ảnh, nó còn bắt bạn quay qua quay lại để chắc chắn bạn không phải là một con bot hay một tấm ảnh in sẵn.

Mạng lưới Subprocessor loằng ngoằng: Sau khi soi kỹ điều khoản, ông này phát hiện dữ liệu của mình không chỉ nằm ở Persona hay LinkedIn. Nó còn được "share" cho một mớ bên khác như MongoDB, Snowflake... để xử lý. Dữ liệu của anh em mình bỗng dưng đi du lịch khắp các server mà chẳng ai dám chắc nó sẽ dừng chân ở đâu.

Tình trạng "Lock" tài khoản vô tội vạ: Nhiều anh em bỗng dưng bị khóa acc với lý do "hoạt động nghi ngờ" và cách duy nhất để quay lại là... nộp ID. Một kiểu "ép kinh tế" cực kỳ khó chịu.

Giang hồ mạng dậy sóng: Chọn quyền riêng tư hay chọn... chết đói?

Cái topic này trên Hacker News đúng kiểu một cái tổ kiến lửa, anh em dev vào combat cực gắt với đủ mọi quan điểm:

Phe "Nghỉ chơi": Có ông chia sẻ đã bỏ LinkedIn sau 10 năm gắn bó chỉ vì cái yêu cầu ID này. Với các ông ấy, sự riêng tư là lằn ranh đỏ. Một tài khoản FB khác còn hài hước hơn khi kể chuyện bị bắt... phỏng vấn video với một con bot để chứng minh mình là người. Kết quả? "Thôi, cộng đồng địa phương cứ sống tiếp mà không có tôi đi!"

Phe "Cơm áo gạo tiền": Một bà chị khác thì thực dụng hơn: "Đây không phải là lựa chọn. Nó giống như người tiểu đường chọn tiêm insulin vậy. Không có LinkedIn ở châu Âu hay Mỹ thì tìm việc bằng niềm tin à?". Đây chính là cái bẫy mà các Big Tech giăng ra: Muốn có việc thì phải đổi quyền riêng tư lấy cơ hội.

Phe "Lách luật": Có cao nhân chỉ ra rằng nếu thực sự cần xác minh mà không muốn nộp ID cho Microsoft (chủ sở hữu LinkedIn), bạn có thể dùng tùy chọn gửi giấy tờ có xác nhận của chính quyền địa phương (affidavit). Nhưng nói thật, mấy ai đủ kiên nhẫn để làm trò này?

Phe "Soi tech": Nhiều anh em đặt dấu hỏi về việc MongoDB hay Snowflake xuất hiện trong danh sách xử lý dữ liệu. Thực ra đó chỉ là hạ tầng lưu trữ thôi, nhưng việc dữ liệu nhạy cảm nằm rải rác ở nhiều DB khác nhau luôn là cơn ác mộng nếu có một vụ rò rỉ (data breach) xảy ra.

Bài học sinh tồn: Đừng để doanh nghiệp của bạn trở thành "Big Brother"

Từ góc nhìn của một thằng dev làm ở WorkCloud, tôi thấy vụ này là một bài học đắt giá cho các doanh nghiệp SME tại Việt Nam khi tiếp cận công nghệ:

Đừng bắt chước Big Tech kiểu "ngáo quyền lực": Nhiều app nội bộ hay nền tảng quản trị cứ thích đòi hỏi đủ loại quyền truy cập, từ vị trí đến danh bạ, dù thực tế chả để làm gì. Điều này chỉ làm nhân viên hoặc khách hàng thêm đề phòng và khó chịu. Tại WorkCloud, chúng tôi tối ưu vận hành theo hướng thực dụng nhất: Cần cái gì dùng cái đó, không "vơ vét" dữ liệu thừa.

Xác thực nhẹ nhàng (Work email): Anh em có thấy trong comment có người nói chỉ cần xác minh qua email công ty là xong không? Đó là cách làm văn minh và hiệu quả nhất cho môi trường B2B. Vừa chứng minh được bạn là nhân viên của một tổ chức xịn, vừa không phải lột trần thông tin cá nhân.

Chi phí rẻ không có nghĩa là bảo mật rẻ tiền: Các SME thường ham rẻ mà dùng các tool không rõ nguồn gốc hoặc không có cam kết bảo mật. Đến lúc "toang" dữ liệu khách hàng thì cái giá phải trả đắt hơn gấp vạn lần tiền bản quyền.