🚨 KHỦNG HOẢNG BẢO MẬT: Extension VPN trộm chat AI của 6 triệu người - Dữ liệu ChatGPT, Gemini, Code riêng tư bị bán cho Data Broker

Tiện ích mở rộng **Urban VPN Proxy**, một công cụ "quyền riêng tư" phổ biến với hơn 6 triệu người dùng, đã bị phát hiện lén lút thu thập và bán các cuộc trò chuyện AI cá nhân (bao gồm cả các câu hỏi y tế, chi tiết tài chính và code độc quyền) cho các nhà môi giới dữ liệu (data brokers) trong gần 6 tháng.

Mã độc hại đã được âm thầm đưa vào qua bản cập nhật **Version 5.5.0 (Tháng 7/2025)** và hoạt động độc lập với chức năng VPN, ngay cả khi VPN bị tắt. Tổng cộng, hơn 8 triệu người dùng trên Chrome và Edge bị ảnh hưởng.

1. Phương thức Tấn công Tinh vi và Lỗ hổng Quy trình Kiểm duyệt

Sự cố này gây ra khủng hoảng niềm tin nghiêm trọng vì:

• **Bỏ qua Bảo mật Trình duyệt:** Mã độc (ví dụ: `chatgpt.js`) đã **ghi đè** các chức năng cốt lõi như `fetch()` và `XMLHttpRequest()`, cho phép nó chặn lưu lượng mạng (prompts và responses) trước khi chúng được hiển thị trên trình duyệt.
• **Cập nhật Ngầm (Silent Update):** Khả năng thu thập dữ liệu được thêm vào thông qua bản cập nhật tự động (Version 5.5.0), có nghĩa là người dùng cũ chưa bao giờ đồng ý với chính sách thu thập dữ liệu mới.
• **Khủng hoảng Badge "Featured":** Việc tiện ích mở rộng này mang huy hiệu "Featured" từ Google Chrome và Microsoft Edge cho thấy **quy trình kiểm duyệt thủ công** của các cửa hàng ứng dụng đã thất bại nghiêm trọng trong việc phát hiện hành vi thu thập dữ liệu bất chính.

2. Góc nhìn MPR: Dữ liệu Độc quyền và Khuyến nghị Khẩn cấp

Góc nhìn MPR (Phân tích Rủi ro):

Rủi ro lớn nhất là dữ liệu bị đánh cắp bao gồm **code độc quyền** và **chi tiết tài chính/y tế**, có thể dẫn đến rò rỉ Sở hữu Trí tuệ (IP) và các vụ kiện pháp lý lớn.

• Mức độ Phá hủy IP: Các công ty đã sử dụng AI để viết code hoặc phân tích dữ liệu kinh doanh từ tháng 7/2025 phải coi như dữ liệu đó đã bị xâm phạm.
• **Khuyến nghị Khẩn cấp:** Người dùng cần **ngay lập tức gỡ cài đặt** Urban VPN Proxy và 7 extension liên quan khác. Giả định rằng mọi cuộc trò chuyện AI từ tháng 7/2025 đã bị thu thập.

3. Khuyến nghị cho Cộng đồng Công nghệ Đà Nẵng

Các công ty CNTT và Developer tại Đà Nẵng cần nâng cao nhận thức bảo mật:

• **Chính sách "Không Extension":** Các công ty phát triển phần mềm cần áp dụng chính sách nghiêm ngặt, cấm nhân viên sử dụng các tiện ích mở rộng không cần thiết, đặc biệt là VPN/Ad Blocker, khi làm việc với code và dữ liệu độc quyền.
• **Phát triển Công cụ Kiểm tra Mã độc:** Các startup Cybersecurity tại Đà Nẵng nên phát triển các công cụ (hoặc sử dụng mã nguồn mở) để kiểm tra các tiện ích mở rộng trình duyệt (bao gồm cả các bản cập nhật ngầm) có đang thực hiện các lệnh ghi đè `fetch()` hay `XMLHttpRequest()` hay không.

Góc nhìn từ Trung tâm HTKNĐMST Đà Nẵng:

"Sự cố Urban VPN là hồi chuông cảnh tỉnh: Sự tiện lợi của các công cụ 'miễn phí' có thể phải trả giá bằng dữ liệu. Đà Nẵng cần thúc đẩy các buổi đào tạo về An toàn Thông tin cho Developer, nhấn mạnh rằng **chuỗi cung ứng phần mềm (Supply Chain)** bao gồm cả các tiện ích mở rộng trình duyệt."

---