Bê Bối Bảo Mật Chấn Động: Hàng Trăm Nghìn Dữ Liệu Cá Nhân Người Dùng Ứng Dụng Chuyển Tiền Duc App Bị Lộ Công Khai!

Trong một bê bối bảo mật nghiêm trọng vừa được phát hiện, một máy chủ lưu trữ dữ liệu trên nền tảng Amazon S3, vốn thuộc sở hữu của công ty Duales có trụ sở tại Toronto, Canada, đã vô tình cho phép bất kỳ ai có trình duyệt web truy cập tự do vào thông tin cá nhân của hàng trăm nghìn người dùng. Điều đáng báo động là việc truy cập này không hề yêu cầu mật khẩu, phơi bày những dữ liệu nhạy cảm như bằng lái xe, hộ chiếu và nhiều thông tin cá nhân khác được thu thập bởi ứng dụng chuyển tiền Duc App.

Công ty fintech đến từ Canada này cho biết họ đã khắc phục sự cố lộ dữ liệu vào thứ Ba, ngay sau khi một tổ chức báo chí cảnh báo CEO của Duales về việc một trong các máy chủ lưu trữ đám mây của họ đang công khai toàn bộ nội dung mà không có bất kỳ rào cản mật khẩu nào.

Quy Mô Và Mức Độ Nghiêm Trọng Của Vụ Rò Rỉ Dữ Liệu

Dữ Liệu Nhạy Cảm “Trần Trụi” Trên Không Gian Mạng

Điều đáng báo động hơn, toàn bộ dữ liệu này được lưu trữ mà không hề được mã hóa. Điều này có nghĩa là bất kỳ ai, chỉ cần có được liên kết đến máy chủ, đều có thể xem và tải về toàn bộ thông tin một cách dễ dàng. Nhà nghiên cứu bảo mật Anurag Sen từ CyPeace, người đã phát hiện ra lỗ hổng này vào đầu tuần, đã liên hệ với tổ chức báo chí để thông báo cho chủ sở hữu dữ liệu. Ông Sen cho biết chỉ cần biết địa chỉ web của máy chủ lưu trữ (vốn rất dễ đoán), bất kỳ ai cũng có thể duyệt và tải xuống dữ liệu bằng trình duyệt web của mình.

Hàng Trăm Nghìn Hồ Sơ Khách Hàng Bị Phơi Bày

Theo ông Sen, máy chủ lưu trữ trên Amazon này chứa hơn 360.000 tệp tin. Các tệp tin này bao gồm các loại giấy tờ tùy thân do chính phủ cấp và nhiều thông tin khác được khách hàng sử dụng để xác minh danh tính (KYC – Know Your Customer). Đáng chú ý, trong số đó có cả những bức ảnh selfie mà người dùng đã tải lên để chứng minh sự trùng khớp với giấy tờ.

Mặc dù chưa thể xác định chính xác số lượng bằng lái xe và hộ chiếu bị lộ, nhưng nhiều thư mục trên máy chủ đã phơi bày hàng chục nghìn tệp tin do người dùng tải lên, trong đó có nhiều bản sao bằng lái xe, hộ chiếu và ảnh tự chụp.

Ứng dụng Duc App, được Duales quảng bá là một công cụ giúp người dùng chuyển tiền cho nhau, kể cả ra nước ngoài như Cuba, hiện có hơn 100.000 lượt tải xuống trên Google Play Store.

Các tệp tin bị lộ có niên đại từ tháng 9 năm 2020 và vẫn đang được tải lên hàng ngày. Chúng không chỉ chứa các tài liệu nhận dạng mà còn có các bảng tính liệt kê tên khách hàng, địa chỉ nhà, cùng với ngày, giờ và chi tiết các giao dịch của họ.

Phản Hồi Từ Duales và Những Lời Giải Thích Chưa Thỏa Đáng

CEO Duales Lên Tiếng

Khi được liên hệ qua email, ông Henry Martinez González, CEO của Duales, cho biết dữ liệu này được lưu trữ trên một “trang thử nghiệm” (staging site) – tức là một trang web chủ yếu dùng để kiểm thử. Tuy nhiên, ông lại không đưa ra bất kỳ lời giải thích nào về lý do tại sao thông tin cá nhân của khách hàng lại có thể truy cập công khai trong cùng một cơ sở dữ liệu này.

Ông Martinez González khẳng định: “Mọi biện pháp bảo vệ đều đã được triển khai. Chúng tôi đang thông báo cho các bên liên quan. Chúng tôi không sử dụng bất kỳ dịch vụ nào từ quý vị.”

Sau khi tổ chức báo chí gửi email cho Duales, các tệp tin trên máy chủ lưu trữ đã không còn truy cập được, mặc dù danh sách nội dung máy chủ vẫn hiển thị. Ông Martinez González cũng từ chối cho biết liệu công ty có các công cụ kỹ thuật như nhật ký (logs) để xác định ai hoặc bao nhiêu người đã truy cập vào dữ liệu hay không.

Trang web của Duc App cũng tạm thời ngừng hoạt động vào thứ Năm, hiển thị lỗi “bad gateway”.

Thách Thức Về An Ninh Mạng và Trách Nhiệm Bảo Vệ Dữ Liệu

Những Bài Học Từ Các Sự Cố Tương Tự

Hiện vẫn chưa rõ bằng cách nào hay vì lý do gì Duales lại để máy chủ lưu trữ trên Amazon của mình công khai trên internet. Trong những năm gần đây, Amazon đã tăng cường các biện pháp kiểm tra bảo mật nhằm ngăn chặn người dùng vô tình làm lộ dữ liệu của họ. Điều này diễn ra sau một loạt các sự cố nổi bật khi nhiều tập đoàn lớn, bao gồm cả một cơ quan tình báo Mỹ, đã công bố dữ liệu nhạy cảm lên web do cấu hình sai.

Vụ việc của Duc App là sự cố mới nhất trong danh sách các lỗ hổng bảo mật gần đây liên quan đến việc làm lộ dữ liệu nhận dạng nhạy cảm của người dùng. Tình trạng rò rỉ dữ liệu này ngày càng phổ biến khi các ứng dụng và trang web đang yêu cầu người dùng tải lên các giấy tờ do chính phủ cấp để xác minh danh tính nhưng lại chưa thực hiện đủ các bước để bảo mật dữ liệu mà họ thu thập.

Minh chứng cho điều này, năm ngoái, ứng dụng phổ biến TeaOnHer đã làm lộ hàng nghìn hộ chiếu và bằng lái xe của người dùng – những tài liệu mà ứng dụng yêu cầu người dùng phải tải lên trước khi cho phép họ tham gia cộng đồng. Discord cũng đã xác nhận một vụ vi phạm dữ liệu ảnh hưởng đến khoảng 70.000 giấy tờ do chính phủ cấp được tải lên bởi những người dùng muốn xác minh tuổi của họ.

Cơ Quan Quản Lý Quyền Riêng Tư Canada Vào Cuộc

Cơ quan Quản lý Quyền riêng tư Canada (Office of the Privacy Commissioner of Canada) đã liên hệ với Duales để thu thập thêm thông tin và xác định các bước tiếp theo. Phát ngôn viên của cơ quan này cho biết họ đang tìm hiểu sâu hơn về vụ việc, nhưng từ chối bình luận chi tiết hơn vào thời điểm hiện tại.