1 triệu hộ chiếu bị “phơi bày” trực tuyến: Thảm họa an ninh mạng chấn động Nhật Bản
Một hệ thống nhận phòng khách sạn đã để lộ hơn 1 triệu hộ chiếu, bằng lái xe và ảnh xác minh của khách hàng lên mạng Internet sau một sự cố bảo mật.
Theo TechCrunch, một sự cố bảo mật nghiêm trọng vừa được phát hiện tại hệ thống nhận phòng khách sạn Tabiq ở Nhật Bản đã khiến hơn 1 triệu hộ chiếu, bằng lái xe và ảnh selfie xác minh danh tính của khách hàng bị phơi bày công khai trên Internet, cho phép bất kỳ ai cũng có thể truy cập nếu biết tên thư mục lưu trữ dữ liệu.
Hệ thống nhận phòng này do công ty công nghệ Reqrea có trụ sở tại Nhật Bản phát triển và vận hành.
Theo giới thiệu trên website của doanh nghiệp, Tabiq hiện được sử dụng tại nhiều khách sạn trên khắp Nhật Bản, ứng dụng công nghệ nhận diện khuôn mặt cùng tính năng quét giấy tờ tùy thân để hỗ trợ khách làm thủ tục nhận phòng tự động.
Vụ việc được phát hiện bởi nhà nghiên cứu bảo mật độc lập Anurag Sen. Ông đã liên hệ với TechCrunch sau khi phát hiện hệ thống này đang làm rò rỉ nhiều dữ liệu nhạy cảm của khách lưu trú đến từ nhiều quốc gia khác nhau.
Theo Anurag Sen, nguyên nhân xuất phát từ việc Reqrea vô tình đặt một “bucket” lưu trữ dữ liệu trên nền tảng điện toán đám mây của Amazon ở chế độ công khai. Đây là nơi hệ thống Tabiq dùng để lưu trữ thông tin khách hàng.
Chỉ cần biết tên bucket là “tabiq”, bất kỳ ai cũng có thể truy cập dữ liệu bằng trình duyệt web mà không cần mật khẩu hay bất kỳ hình thức xác thực nào khác. Sau khi nhận được cảnh báo, Reqrea đã nhanh chóng khóa quyền truy cập công khai đối với kho dữ liệu này.
Dữ liệu nhạy cảm bị phơi bày suốt nhiều năm
Theo thông tin được công bố, kho dữ liệu bị lộ chứa nhiều loại giấy tờ tùy thân nhạy cảm như hộ chiếu, bằng lái xe và ảnh selfie dùng để xác minh danh tính khi khách nhận phòng khách sạn.
Đáng chú ý, dữ liệu trong bucket này được lưu trữ liên tục từ đầu năm 2020 cho đến tận tháng gần nhất. Điều đó đồng nghĩa với việc thông tin cá nhân của khách hàng có thể đã bị phơi bày công khai trên Internet trong thời gian dài mà không được phát hiện.
Chi tiết về bucket lưu trữ này cũng xuất hiện trên GrayHatWarfare - một cơ sở dữ liệu chuyên lập chỉ mục các kho lưu trữ đám mây công khai trên Internet. Danh sách tệp tin trong bucket bao gồm giấy tờ tùy thân của nhiều du khách đến từ nhiều quốc gia trên thế giới.
Hiện vẫn chưa thể xác định liệu có ai khác ngoài Anurag Sen đã truy cập hoặc tải xuống số dữ liệu nói trên trước khi bucket được khóa hay không.
Ông Masataka Hashimoto, Giám đốc Reqrea, cho biết công ty đang tiến hành rà soát nhật ký hệ thống để xác định xem có bất kỳ hành vi truy cập trái phép nào xảy ra trước khi kho dữ liệu được bảo mật trở lại.
Ông cũng cho biết công ty đang phối hợp với các cố vấn pháp lý bên ngoài cùng nhiều chuyên gia khác để đánh giá đầy đủ phạm vi ảnh hưởng của vụ rò rỉ.
“Chúng tôi đang tiến hành rà soát toàn diện để xác định mức độ phơi bày dữ liệu”, vị giám đốc cho biết.
Reqrea cũng cho biết doanh nghiệp chưa rõ nguyên nhân khiến bucket lưu trữ bị chuyển sang trạng thái công khai.
Theo mặc định, các bucket lưu trữ trên nền tảng đám mây của Amazon thường được thiết lập ở chế độ riêng tư nhằm tránh nguy cơ rò rỉ dữ liệu. Sau hàng loạt vụ lộ dữ liệu tương tự trong nhiều năm qua, Amazon đã bổ sung thêm nhiều lớp cảnh báo để hạn chế người dùng vô tình mở quyền truy cập công khai.
Điều này cho thấy sự cố lần này nhiều khả năng xuất phát từ lỗi cấu hình hoặc sai sót trong quá trình quản lý hệ thống.
Những vụ rò rỉ dữ liệu ngày càng đáng lo ngại
TechCrunch nhận định vụ việc một lần nữa cho thấy nhiều sự cố an ninh mạng nghiêm trọng hiện nay không bắt nguồn từ các cuộc tấn công công nghệ phức tạp, mà chủ yếu đến từ lỗi con người, cấu hình sai hoặc việc không tuân thủ các quy trình bảo mật cơ bản.
Trong bối cảnh trí tuệ nhân tạo và các công nghệ an ninh mạng mới liên tục được nhắc đến, nhiều vụ rò rỉ dữ liệu lớn vẫn xảy ra chỉ vì những sơ suất đơn giản trong quá trình vận hành hệ thống.
Sự cố của Tabiq cũng nối dài danh sách các vụ lộ dữ liệu liên quan đến giấy tờ tùy thân do cơ quan chính phủ cấp.
Trước đó, TechCrunch từng đưa tin về vụ rò rỉ hộ chiếu, bằng lái xe cùng nhiều giấy tờ nhận dạng khác do khách hàng của dịch vụ chuyển tiền Duc App tải lên hệ thống xác minh danh tính.
Năm ngoái, công ty cho thuê xe Hertz cũng bị tin tặc đánh cắp thông tin bằng lái xe của ít nhất 100.000 khách hàng trong một vụ tấn công dữ liệu lớn.
Các chuyên gia cho rằng những sự cố như vậy ngày càng trở nên nguy hiểm khi nhiều quốc gia đang thúc đẩy các quy định xác minh độ tuổi trên Internet, đồng thời doanh nghiệp cũng gia tăng sử dụng quy trình KYC (Know Your Customer) nhằm xác minh danh tính người dùng.
Để hoàn tất các bước xác minh này, người dùng thường phải tải lên các giấy tờ nhạy cảm như hộ chiếu, căn cước công dân hoặc bằng lái xe cho bên thứ ba xử lý và lưu trữ.
Tuy nhiên, điều này cũng làm gia tăng nguy cơ lộ lọt thông tin cá nhân nếu các doanh nghiệp không đảm bảo đầy đủ tiêu chuẩn an toàn dữ liệu.
Nguy cơ gian lận danh tính gia tăng
Các chuyên gia an ninh mạng cảnh báo rằng việc để lộ hộ chiếu, bằng lái xe cùng ảnh khuôn mặt có thể kéo theo nhiều hệ lụy nghiêm trọng đối với người dùng.
Tội phạm mạng có thể lợi dụng những dữ liệu này để thực hiện hành vi giả mạo danh tính, mở tài khoản trực tuyến trái phép hoặc phục vụ các hoạt động lừa đảo tài chính.
Ngoài ra, ảnh selfie xác minh khuôn mặt cũng có nguy cơ bị lợi dụng trong các hệ thống nhận diện sinh trắc học hoặc các công nghệ deepfake ngày càng phổ biến hiện nay.
Trong bối cảnh ngày càng nhiều dịch vụ số yêu cầu xác minh danh tính trực tuyến, các vụ rò rỉ dữ liệu như trường hợp của Tabiq tiếp tục làm dấy lên lo ngại về khả năng bảo vệ thông tin cá nhân của các doanh nghiệp công nghệ và đơn vị lưu trữ dữ liệu khách hàng.
*Nguồn: TechCrunch
