Code Nguyen
Writer
Bạn có bao giờ nghĩ một ứng dụng nhắn tin quen thuộc như WhatsApp lại có thể để lộ thông tin của 3,5 tỉ người, trong đó có thể có cả bạn?
Những gì họ có thể thấy không phải là bí mật tuyệt đối, nhưng lại đủ nhạy cảm để gây phiền toái. Số điện thoại, ảnh đại diện, phần mô tả giới thiệu, cả siêu dữ liệu thiết bị đều có thể bị thu thập. Ở các quốc gia mà WhatsApp phổ biến như Malaysia, Indonesia, Singapore, độ phủ đến hơn 80% người dùng, nên quy mô rủi ro càng dễ lan rộng.
Meta đã vá lỗi bằng cách siết hành vi lạm dụng API, nhưng sự việc cho thấy chỉ một sai sót nhỏ trong thiết kế hạ tầng cũng có thể tạo ra bề mặt tấn công khổng lồ.
Xác minh hai bước, email khôi phục, cài đặt quyền riêng tư ở mức Danh bạ của tôi, giảm tối đa sự xuất hiện công khai của hồ sơ đều là những bước cơ bản nhưng cần thiết. Khi nhận tin nhắn lạ, yêu cầu mã hay chuyển khoản khẩn cấp, người dùng cần xác minh nguồn gửi trước khi tương tác. Không chia sẻ mã bảo mật cho bất kì ai là nguyên tắc sống còn.
Các tổ chức không thể chỉ dựa vào mã hóa đầu cuối. Họ cần quy định rõ ràng về việc sử dụng thiết bị, quản lý tính di động, ngăn ngừa mất dữ liệu và kiểm soát kênh giao tiếp chính thức. Truy cập đặc quyền cần được đặt trong mô hình zero trust, giới hạn quyền tối thiểu, xoay vòng thông tin đăng nhập và xác minh liên tục. Đây là cách để một tài khoản bị xâm phạm không kéo theo cả hệ thống.
Đào tạo từ lãnh đạo đến nhân viên tuyến đầu được xem là lá chắn cần thiết trước các chiêu trò xã hội ngày càng tinh vi dựa trên dữ liệu thu thập được.
Từ góc nhìn của chuyên gia an ninh mạng tại Việt Nam, sự cố này nhắc chúng ta rằng bảo mật không nằm ở một tính năng riêng lẻ. Nó là thói quen hàng ngày. Người dùng cần cảnh giác, doanh nghiệp cần thiết kế hệ thống đặt an toàn làm ưu tiên chứ không phải tiện lợi. WhatsApp chỉ là một ví dụ nổi bật, và nếu chúng ta không thay đổi tư duy, những sự cố tương tự sẽ không dừng lại. (Securitybrief)
Khi tiện lợi mở đường cho rủi ro
Câu chuyện bắt đầu từ một lỗi trong API phát hiện danh bạ của WhatsApp. API này vốn được dùng để kiểm tra xem số điện thoại nào đang dùng WhatsApp. Vấn đề nằm ở chỗ API lại không giới hạn tần suất truy vấn. Chỉ cần kiên nhẫn và có công cụ tự động, kẻ tấn công có thể dò quét số lượng khổng lồ rồi thu về dữ liệu của 3,5 tỉ tài khoản đang hoạt động trên toàn cầu.Những gì họ có thể thấy không phải là bí mật tuyệt đối, nhưng lại đủ nhạy cảm để gây phiền toái. Số điện thoại, ảnh đại diện, phần mô tả giới thiệu, cả siêu dữ liệu thiết bị đều có thể bị thu thập. Ở các quốc gia mà WhatsApp phổ biến như Malaysia, Indonesia, Singapore, độ phủ đến hơn 80% người dùng, nên quy mô rủi ro càng dễ lan rộng.
Meta đã vá lỗi bằng cách siết hành vi lạm dụng API, nhưng sự việc cho thấy chỉ một sai sót nhỏ trong thiết kế hạ tầng cũng có thể tạo ra bề mặt tấn công khổng lồ.
Người dùng cần làm gì
Vấn đề của các nền tảng phổ biến là chỉ một lượng nhỏ dữ liệu công khai bị thu thập cũng có thể trở thành nguyên liệu cho lừa đảo. Vì vậy người dùng WhatsApp được khuyến nghị tự củng cố bảo mật của mình như đang dùng một dịch vụ tài chính.Xác minh hai bước, email khôi phục, cài đặt quyền riêng tư ở mức Danh bạ của tôi, giảm tối đa sự xuất hiện công khai của hồ sơ đều là những bước cơ bản nhưng cần thiết. Khi nhận tin nhắn lạ, yêu cầu mã hay chuyển khoản khẩn cấp, người dùng cần xác minh nguồn gửi trước khi tương tác. Không chia sẻ mã bảo mật cho bất kì ai là nguyên tắc sống còn.
API và bài toán trách nhiệm doanh nghiệp
API là xương sống của mọi dịch vụ trực tuyến, từ nhắn tin, thanh toán đến chia sẻ vị trí. Nhưng chính API cũng là điểm yếu nếu không được thiết kế với giới hạn, giám sát và kiểm soát chặt. Khi các doanh nghiệp mở rộng hoạt động số, tự động hóa càng làm rủi ro tăng tốc.Các tổ chức không thể chỉ dựa vào mã hóa đầu cuối. Họ cần quy định rõ ràng về việc sử dụng thiết bị, quản lý tính di động, ngăn ngừa mất dữ liệu và kiểm soát kênh giao tiếp chính thức. Truy cập đặc quyền cần được đặt trong mô hình zero trust, giới hạn quyền tối thiểu, xoay vòng thông tin đăng nhập và xác minh liên tục. Đây là cách để một tài khoản bị xâm phạm không kéo theo cả hệ thống.
Đào tạo từ lãnh đạo đến nhân viên tuyến đầu được xem là lá chắn cần thiết trước các chiêu trò xã hội ngày càng tinh vi dựa trên dữ liệu thu thập được.
Từ góc nhìn của chuyên gia an ninh mạng tại Việt Nam, sự cố này nhắc chúng ta rằng bảo mật không nằm ở một tính năng riêng lẻ. Nó là thói quen hàng ngày. Người dùng cần cảnh giác, doanh nghiệp cần thiết kế hệ thống đặt an toàn làm ưu tiên chứ không phải tiện lợi. WhatsApp chỉ là một ví dụ nổi bật, và nếu chúng ta không thay đổi tư duy, những sự cố tương tự sẽ không dừng lại. (Securitybrief)
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
Sửa lần cuối bởi điều hành viên: