Một vụ rò rỉ dữ liệu quy mô lớn vừa được bang Texas (Mỹ) công bố sau khi tin tặc xâm nhập vào hệ thống của một nhà cung cấp bên thứ ba, làm lộ thông tin cá nhân của hơn 3 triệu người dân.
Theo thông báo từ Cơ quan Công viên và Động vật hoang dã Texas (Texas Parks and Wildlife Department - TPWD), khoảng 3,08 triệu khách hàng từng đăng ký giấy phép săn bắn và câu cá đã bị ảnh hưởng bởi sự cố an ninh mạng này.
Theo thông báo từ Cơ quan Công viên và Động vật hoang dã Texas (Texas Parks and Wildlife Department - TPWD), khoảng 3,08 triệu khách hàng từng đăng ký giấy phép săn bắn và câu cá đã bị ảnh hưởng bởi sự cố an ninh mạng này.
Những thông tin nào đã bị lộ?
Theo cơ quan chức năng, dữ liệu bị truy cập trái phép bao gồm:
- Thông tin giấy phép lái xe
- Số hộ chiếu (nếu người dùng từng cung cấp)
- Địa chỉ email
- Số điện thoại
- Địa chỉ nơi ở
Một số các dữ liệu nhạy cảm hơn như số An sinh Xã hội, ngày sinh và thông tin tài chính, bao gồm dữ liệu thẻ tín dụng, không nằm trong số dữ liệu bị ảnh hưởng theo kết quả điều tra hiện tại.
Tuy nhiên, giới chuyên gia cảnh báo rằng chỉ riêng việc để lộ các giấy tờ định danh do chính phủ cấp cùng thông tin liên lạc cũng đủ để tạo ra nhiều nguy cơ bảo mật nghiêm trọng.
Nguy cơ từ những dữ liệu tưởng như vô hại
Không giống các vụ rò rỉ thẻ tín dụng dẫn tới nguy cơ mất tiền ngay lập tức, dữ liệu lần này có thể được tội phạm mạng sử dụng cho các chiến dịch lừa đảo có chủ đích.
Khi sở hữu số giấy phép lái xe, địa chỉ nhà, email và số điện thoại, kẻ tấn công có thể xây dựng hồ sơ tương đối đầy đủ về nạn nhân để thực hiện các cuộc gọi giả mạo cơ quan nhà nước, gửi email phishing hoặc đánh cắp danh tính.
Những cuộc tấn công kiểu này thường có tỷ lệ thành công cao hơn vì thông tin được sử dụng trong quá trình lừa đảo là dữ liệu thật, khiến nạn nhân dễ mất cảnh giác.
Khi sở hữu số giấy phép lái xe, địa chỉ nhà, email và số điện thoại, kẻ tấn công có thể xây dựng hồ sơ tương đối đầy đủ về nạn nhân để thực hiện các cuộc gọi giả mạo cơ quan nhà nước, gửi email phishing hoặc đánh cắp danh tính.
Những cuộc tấn công kiểu này thường có tỷ lệ thành công cao hơn vì thông tin được sử dụng trong quá trình lừa đảo là dữ liệu thật, khiến nạn nhân dễ mất cảnh giác.
Lỗ hổng đến từ bên thứ ba
Điểm đáng chú ý là hệ thống bị tấn công không thuộc trực tiếp TPWD mà nằm ở một nhà cung cấp dịch vụ bên ngoài chịu trách nhiệm vận hành nền tảng cấp giấy phép săn bắn và câu cá.
Danh tính của nhà cung cấp này hiện chưa được cơ quan chức năng công khai. Điều này làm dấy lên nhiều câu hỏi về mức độ minh bạch cũng như trách nhiệm bảo vệ dữ liệu của các đối tác công nghệ đang nắm giữ thông tin công dân thay mặt các cơ quan nhà nước.
Sự cố một lần nữa cho thấy rủi ro ngày càng lớn từ chuỗi cung ứng công nghệ (supply chain), nơi dữ liệu của hàng triệu người có thể bị ảnh hưởng không phải do hệ thống của cơ quan nhà nước bị tấn công trực tiếp mà do lỗ hổng từ các đơn vị đối tác.
Danh tính của nhà cung cấp này hiện chưa được cơ quan chức năng công khai. Điều này làm dấy lên nhiều câu hỏi về mức độ minh bạch cũng như trách nhiệm bảo vệ dữ liệu của các đối tác công nghệ đang nắm giữ thông tin công dân thay mặt các cơ quan nhà nước.
Sự cố một lần nữa cho thấy rủi ro ngày càng lớn từ chuỗi cung ứng công nghệ (supply chain), nơi dữ liệu của hàng triệu người có thể bị ảnh hưởng không phải do hệ thống của cơ quan nhà nước bị tấn công trực tiếp mà do lỗ hổng từ các đơn vị đối tác.
Người dân được khuyến nghị làm gì?
TPWD cho biết đã triển khai các biện pháp bảo vệ bổ sung, tăng cường giám sát hệ thống và phối hợp với đơn vị cung cấp dịch vụ để điều tra vụ việc. Cơ quan này cũng khuyến nghị người dân theo dõi các dấu hiệu lừa đảo, đặt cảnh báo gian lận tín dụng và chủ động kiểm tra các hoạt động bất thường liên quan đến danh tính cá nhân.
Đối với người dùng Internet nói chung, vụ việc là lời nhắc nhở rằng dữ liệu cá nhân không chỉ nằm trong các tài khoản mạng xã hội hay ngân hàng. Bất kỳ thông tin nào được cung cấp cho các cơ quan, tổ chức hoặc dịch vụ trực tuyến đều có thể trở thành mục tiêu của tội phạm mạng nếu hệ thống lưu trữ hoặc đối tác quản lý dữ liệu không được bảo vệ đúng mức.
Trong bối cảnh các cuộc tấn công vào chuỗi cung ứng ngày càng gia tăng, việc một tổ chức thuê ngoài dịch vụ không đồng nghĩa với việc rủi ro bảo mật được chuyển giao. Cuối cùng, người chịu ảnh hưởng nhiều nhất vẫn là những cá nhân có thông tin bị lộ trên Internet.
Đối với người dùng Internet nói chung, vụ việc là lời nhắc nhở rằng dữ liệu cá nhân không chỉ nằm trong các tài khoản mạng xã hội hay ngân hàng. Bất kỳ thông tin nào được cung cấp cho các cơ quan, tổ chức hoặc dịch vụ trực tuyến đều có thể trở thành mục tiêu của tội phạm mạng nếu hệ thống lưu trữ hoặc đối tác quản lý dữ liệu không được bảo vệ đúng mức.
Trong bối cảnh các cuộc tấn công vào chuỗi cung ứng ngày càng gia tăng, việc một tổ chức thuê ngoài dịch vụ không đồng nghĩa với việc rủi ro bảo mật được chuyển giao. Cuối cùng, người chịu ảnh hưởng nhiều nhất vẫn là những cá nhân có thông tin bị lộ trên Internet.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
