404 Not Found
Writer
Một cuộc điều tra vừa công bố cho thấy bốn website nội bộ của Intel đã gặp phải các lỗ hổng nghiêm trọng, dẫn đến việc thông tin chi tiết của hơn 270.000 nhân viên trên toàn cầu có thể bị truy cập trái phép. Sự cố này đặt ra câu hỏi về việc bảo mật dữ liệu nội bộ của các tập đoàn công nghệ hàng đầu thế giới.
Các hệ thống bị ảnh hưởng bao gồm:
Intel đã tiến hành xử lý và khắc phục các lỗ hổng trong khoảng thời gian từ tháng 10/2024 đến cuối tháng 2/2025. Tuy nhiên, quá trình phản hồi cho thấy các vấn đề bảo mật website không nằm trong phạm vi thưởng bug bounty, khiến việc khuyến khích phát hiện và báo cáo lỗ hổng trở nên hạn chế.
Chuyên gia bảo mật nhận định, sự cố này nhấn mạnh tầm quan trọng của việc giám sát và bảo vệ các hệ thống nội bộ, không chỉ tập trung vào phần cứng hay sản phẩm công nghệ mà còn phải đảm bảo an toàn dữ liệu của nhân viên và đối tác. Các tổ chức nên thường xuyên rà soát quyền truy cập, giám sát các hệ thống nhạy cảm và thực hiện các biện pháp bảo mật phù hợp để tránh những sự cố tương tự trong tương lai.
Intel cũng đã mở rộng chương trình bug bounty để bao gồm các dịch vụ phần mềm, tuy nhiên phần thưởng cho phát hiện lỗ hổng website vẫn còn hạn chế. Điều này cho thấy vẫn còn khoảng trống trong việc đảm bảo an toàn dữ liệu nội bộ, đặc biệt là đối với các tập đoàn lớn có hàng trăm nghìn nhân viên và nhiều đối tác quan trọng.
Sự việc này là lời cảnh tỉnh đối với tất cả các doanh nghiệp: bảo vệ dữ liệu nội bộ không chỉ là trách nhiệm kỹ thuật mà còn là yếu tố sống còn để duy trì uy tín, niềm tin và hoạt động kinh doanh bền vững.
Các hệ thống bị ảnh hưởng bao gồm:
- Website đặt card nhân viên: cho phép truy cập toàn bộ cơ sở dữ liệu nhân viên, bao gồm tên, vị trí công tác, quản lý trực tiếp, số điện thoại và email.
- Nền tảng quản lý sản phẩm: quyền truy cập quản trị và dữ liệu nhân viên.
- Website onboarding sản phẩm: quyền truy cập quản trị và dữ liệu nhân viên.
- Hệ thống quản lý nhà cung cấp SEIMS: quyền truy cập quản trị, dữ liệu nhà cung cấp và các hợp đồng NDA.
Intel đã tiến hành xử lý và khắc phục các lỗ hổng trong khoảng thời gian từ tháng 10/2024 đến cuối tháng 2/2025. Tuy nhiên, quá trình phản hồi cho thấy các vấn đề bảo mật website không nằm trong phạm vi thưởng bug bounty, khiến việc khuyến khích phát hiện và báo cáo lỗ hổng trở nên hạn chế.
Chuyên gia bảo mật nhận định, sự cố này nhấn mạnh tầm quan trọng của việc giám sát và bảo vệ các hệ thống nội bộ, không chỉ tập trung vào phần cứng hay sản phẩm công nghệ mà còn phải đảm bảo an toàn dữ liệu của nhân viên và đối tác. Các tổ chức nên thường xuyên rà soát quyền truy cập, giám sát các hệ thống nhạy cảm và thực hiện các biện pháp bảo mật phù hợp để tránh những sự cố tương tự trong tương lai.
Intel cũng đã mở rộng chương trình bug bounty để bao gồm các dịch vụ phần mềm, tuy nhiên phần thưởng cho phát hiện lỗ hổng website vẫn còn hạn chế. Điều này cho thấy vẫn còn khoảng trống trong việc đảm bảo an toàn dữ liệu nội bộ, đặc biệt là đối với các tập đoàn lớn có hàng trăm nghìn nhân viên và nhiều đối tác quan trọng.
Sự việc này là lời cảnh tỉnh đối với tất cả các doanh nghiệp: bảo vệ dữ liệu nội bộ không chỉ là trách nhiệm kỹ thuật mà còn là yếu tố sống còn để duy trì uy tín, niềm tin và hoạt động kinh doanh bền vững.
Tổng hợp
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview