Previous Post
Bê Bối Bảo Mật Chấn Động: Hàng Trăm Nghìn Dữ Liệu Cá Nhân Người Dùng Ứng Dụng Chuyển Tiền Duc App Bị Lộ Công Khai!
Trong một bê bối bảo mật nghiêm trọng vừa được phát hiện, một máy chủ lưu trữ dữ liệu trên nền tảng Amazon S3, vốn thuộc sở hữu của công ty Duales có trụ sở tại Toronto, Canada, đã vô tình cho phép bất kỳ ai có trình duyệt web truy cập tự do vào thông tin cá nhân của hàng trăm nghìn người dùng. Điều đáng báo động là việc truy cập này không hề yêu cầu mật khẩu, phơi bày những dữ liệu nhạy cảm như bằng lái xe, hộ chiếu và nhiều thông tin cá nhân khác được thu thập bởi ứng dụng chuyển tiền Duc App.
Công ty fintech đến từ Canada này cho biết họ đã khắc phục sự cố lộ dữ liệu vào thứ Ba, ngay sau khi một tổ chức báo chí cảnh báo CEO của Duales về việc một trong các máy chủ lưu trữ đám mây của họ đang công khai toàn bộ nội dung mà không có bất kỳ rào cản mật khẩu nào.
Quy Mô Và Mức Độ Nghiêm Trọng Của Vụ Rò Rỉ Dữ Liệu
Dữ Liệu Nhạy Cảm “Trần Trụi” Trên Không Gian Mạng
Điều đáng báo động hơn, toàn bộ dữ liệu này được lưu trữ mà không hề được mã hóa. Điều này có nghĩa là bất kỳ ai, chỉ cần có được liên kết đến máy chủ, đều có thể xem và tải về toàn bộ thông tin một cách dễ dàng. Nhà nghiên cứu bảo mật Anurag Sen từ CyPeace, người đã phát hiện ra lỗ hổng này vào đầu tuần, đã liên hệ với tổ chức báo chí để thông báo cho chủ sở hữu dữ liệu. Ông Sen cho biết chỉ cần biết địa chỉ web của máy chủ lưu trữ (vốn rất dễ đoán), bất kỳ ai cũng có thể duyệt và tải xuống dữ liệu bằng trình duyệt web của mình.
Hàng Trăm Nghìn Hồ Sơ Khách Hàng Bị Phơi Bày
Theo ông Sen, máy chủ lưu trữ trên Amazon này chứa hơn 360.000 tệp tin. Các tệp tin này bao gồm các loại giấy tờ tùy thân do chính phủ cấp và nhiều thông tin khác được khách hàng sử dụng để xác minh danh tính (KYC – Know Your Customer). Đáng chú ý, trong số đó có cả những bức ảnh selfie mà người dùng đã tải lên để chứng minh sự trùng khớp với giấy tờ.
Mặc dù chưa thể xác định chính xác số lượng bằng lái xe và hộ chiếu bị lộ, nhưng nhiều thư mục trên máy chủ đã phơi bày hàng chục nghìn tệp tin do người dùng tải lên, trong đó có nhiều bản sao bằng lái xe, hộ chiếu và ảnh tự chụp.
Ứng dụng Duc App, được Duales quảng bá là một công cụ giúp người dùng chuyển tiền cho nhau, kể cả ra nước ngoài như Cuba, hiện có hơn 100.000 lượt tải xuống trên Google Play Store.
Các tệp tin bị lộ có niên đại từ tháng 9 năm 2020 và vẫn đang được tải lên hàng ngày. Chúng không chỉ chứa các tài liệu nhận dạng mà còn có các bảng tính liệt kê tên khách hàng, địa chỉ nhà, cùng với ngày, giờ và chi tiết các giao dịch của họ.
Phản Hồi Từ Duales và Những Lời Giải Thích Chưa Thỏa Đáng
CEO Duales Lên Tiếng
Khi được liên hệ qua email, ông Henry Martinez González, CEO của Duales, cho biết dữ liệu này được lưu trữ trên một “trang thử nghiệm” (staging site) – tức là một trang web chủ yếu dùng để kiểm thử. Tuy nhiên, ông lại không đưa ra bất kỳ lời giải thích nào về lý do tại sao thông tin cá nhân của khách hàng lại có thể truy cập công khai trong cùng một cơ sở dữ liệu này.
Ông Martinez González khẳng định: “Mọi biện pháp bảo vệ đều đã được triển khai. Chúng tôi đang thông báo cho các bên liên quan. Chúng tôi không sử dụng bất kỳ dịch vụ nào từ quý vị.”
Sau khi tổ chức báo chí gửi email cho Duales, các tệp tin trên máy chủ lưu trữ đã không còn truy cập được, mặc dù danh sách nội dung máy chủ vẫn hiển thị. Ông Martinez González cũng từ chối cho biết liệu công ty có các công cụ kỹ thuật như nhật ký (logs) để xác định ai hoặc bao nhiêu người đã truy cập vào dữ liệu hay không.
Trang web của Duc App cũng tạm thời ngừng hoạt động vào thứ Năm, hiển thị lỗi “bad gateway”.
Thách Thức Về An Ninh Mạng và Trách Nhiệm Bảo Vệ Dữ Liệu
Những Bài Học Từ Các Sự Cố Tương Tự
Hiện vẫn chưa rõ bằng cách nào hay vì lý do gì Duales lại để máy chủ lưu trữ trên Amazon của mình công khai trên internet. Trong những năm gần đây, Amazon đã tăng cường các biện pháp kiểm tra bảo mật nhằm ngăn chặn người dùng vô tình làm lộ dữ liệu của họ. Điều này diễn ra sau một loạt các sự cố nổi bật khi nhiều tập đoàn lớn, bao gồm cả một cơ quan tình báo Mỹ, đã công bố dữ liệu nhạy cảm lên web do cấu hình sai.
Vụ việc của Duc App là sự cố mới nhất trong danh sách các lỗ hổng bảo mật gần đây liên quan đến việc làm lộ dữ liệu nhận dạng nhạy cảm của người dùng. Tình trạng rò rỉ dữ liệu này ngày càng phổ biến khi các ứng dụng và trang web đang yêu cầu người dùng tải lên các giấy tờ do chính phủ cấp để xác minh danh tính nhưng lại chưa thực hiện đủ các bước để bảo mật dữ liệu mà họ thu thập.
Minh chứng cho điều này, năm ngoái, ứng dụng phổ biến TeaOnHer đã làm lộ hàng nghìn hộ chiếu và bằng lái xe của người dùng – những tài liệu mà ứng dụng yêu cầu người dùng phải tải lên trước khi cho phép họ tham gia cộng đồng. Discord cũng đã xác nhận một vụ vi phạm dữ liệu ảnh hưởng đến khoảng 70.000 giấy tờ do chính phủ cấp được tải lên bởi những người dùng muốn xác minh tuổi của họ.
Cơ Quan Quản Lý Quyền Riêng Tư Canada Vào Cuộc
Cơ quan Quản lý Quyền riêng tư Canada (Office of the Privacy Commissioner of Canada) đã liên hệ với Duales để thu thập thêm thông tin và xác định các bước tiếp theo. Phát ngôn viên của cơ quan này cho biết họ đang tìm hiểu sâu hơn về vụ việc, nhưng từ chối bình luận chi tiết hơn vào thời điểm hiện tại.
Next Post
Bê bối phần mềm gián điệp của ICE: Cơ quan Nhập cư Mỹ dùng công cụ “khủng” của Paragon Solutions, dấy lên lo ngại về quyền riêng tư
Cơ quan Nhập cư và Hải quan Hoa Kỳ (ICE) vừa chính thức xác nhận việc sử dụng phần mềm gián điệp do Paragon Solutions phát triển trong các cuộc điều tra liên quan đến buôn bán ma túy. Thông tin này ngay lập tức gây ra làn sóng tranh cãi gay gắt, làm dấy lên những mối lo ngại sâu sắc về quyền riêng tư của công dân và tính hợp hiến của các hoạt động giám sát của chính phủ.
ICE thừa nhận sử dụng phần mềm gián điệp trong các vụ án ma túy
Giám đốc điều hành ICE, Todd Lyons, đã khẳng định trong một bức thư gửi Quốc hội rằng ông đã phê duyệt đơn vị điều tra tội phạm của cơ quan này, Homeland Security Investigations (HSI), sử dụng “các công cụ công nghệ tiên tiến”. Mục đích được đưa ra là để chống lại “sự lạm dụng ngày càng gia tăng các nền tảng giao tiếp mã hóa” của các tổ chức khủng bố nước ngoài – một cách nói ẩn dụ về việc sử dụng phần mềm gián điệp.
Lý do đằng sau quyết định gây tranh cãi
Các cơ quan thực thi pháp luật thường viện dẫn việc không thể truy cập dữ liệu mã hóa làm lý do chính đáng cho việc sử dụng phần mềm gián điệp trên máy tính và điện thoại. Công cụ này cho phép họ thu thập dữ liệu trực tiếp từ thiết bị của một người, được coi là giải pháp hiệu quả trong các vụ án hình sự lớn, đặc biệt là trong cuộc chiến chống buôn bán ma túy và các hoạt động khủng bố. Quyết định của ICE được cho là nhằm tăng cường khả năng của họ trong việc phá vỡ các đường dây tội phạm phức tạp.
Mối lo ngại sâu sắc về quyền riêng tư và hiến pháp
Tuy nhiên, động thái này không khỏi dấy lên hàng loạt lo ngại nghiêm trọng. Mặc dù ông Lyons cam kết rằng việc sử dụng phần mềm gián điệp của ICE sẽ “tuân thủ các yêu cầu hiến pháp” và ông đã “chứng nhận rằng việc sử dụng công cụ cụ thể này của HSI không gây ra rủi ro đáng kể về an ninh hay phản gián, cũng như rủi ro lạm dụng đáng kể bởi chính phủ nước ngoài hoặc người nước ngoài”, cộng đồng bảo vệ nhân quyền lại có cái nhìn khác.
Từ lâu, các nhà phê bình và bảo vệ nhân quyền đã chỉ ra danh sách ngày càng tăng các nhà báo, chính trị gia và các thành viên xã hội dân sự đã trở thành mục tiêu của phần mềm gián điệp thương mại do chính phủ sử dụng. Những vụ việc này đặt ra câu hỏi lớn về khả năng lạm dụng và mức độ xâm phạm quyền riêng tư của công dân, ngay cả khi mục đích ban đầu là tốt đẹp.
Hành trình của hợp đồng “nghiệt ngã” với Paragon Solutions
Câu chuyện về hợp đồng giữa ICE và Paragon Solutions không phải là không có những khúc mắc và tranh cãi.
Từ đình chỉ đến kích hoạt lại
Hợp đồng giữa ICE và nhà sản xuất phần mềm gián điệp Mỹ-Israel Paragon Solutions được ký kết vào năm 2024. Tuy nhiên, thỏa thuận này đã nhanh chóng bị chính quyền Biden đình chỉ để đánh giá xem liệu nó có tuân thủ sắc lệnh hành pháp được ban hành vào tháng 3/2023 hay không. Sắc lệnh này hạn chế các cơ quan của Mỹ sử dụng phần mềm gián điệp có thể nhắm mục tiêu vào công dân Mỹ ở nước ngoài hoặc vi phạm nhân quyền.
Đến tháng 9 năm 2025, ICE đã dỡ bỏ lệnh cấm và kích hoạt lại hợp đồng. Tuy nhiên, cho đến nay, mục đích sử dụng cụ thể của phần mềm gián điệp này vẫn chưa rõ ràng, khiến công chúng và các nhà lập pháp băn khoăn.
Paragon Solutions và những bê bối trong quá khứ
Paragon Solutions không phải là một cái tên xa lạ trong giới công nghệ gián điệp, và công ty này cũng có “tiền án” về những vụ bê bối. Cụ thể, vào năm ngoái, Paragon từng vướng vào một vụ bê bối lớn ở Ý, khi các nhà báo và nhà hoạt động ủng hộ nhập cư bị phát hiện là mục tiêu của phần mềm gián điệp Graphite của Paragon. Vụ việc này đã gây chấn động dư luận và khiến Paragon phải cắt quyền truy cập công cụ gián điệp của các cơ quan tình báo Ý.
Phản ứng mạnh mẽ từ các nhà lập pháp Mỹ
Quyết định của ICE đã vấp phải sự chỉ trích gay gắt từ nhiều phía, đặc biệt là từ các nhà lập pháp.
Dân biểu Summer Lee, một trong những người đã yêu cầu thông tin từ ICE, bày tỏ sự quan ngại sâu sắc: “ICE đang tiến hành triển khai công nghệ phần mềm gián điệp xâm lấn ngay trong lòng nước Mỹ. Thay vì trả lời các mối lo ngại nghiêm trọng về hiến pháp và quyền dân sự mà chúng tôi đã nêu ra, Bộ An ninh Nội địa (DHS) chỉ đưa ra những lời đảm bảo mơ hồ và biện minh dựa trên nỗi sợ hãi.”
Bà Lee cũng nhấn mạnh rằng: “Những người có nguy cơ cao nhất, bao gồm người nhập cư, cộng đồng da màu, nhà báo, nhà tổ chức và bất kỳ ai lên tiếng chống lại sự lạm dụng quyền lực của chính phủ, xứng đáng được đối xử minh bạch hơn là sự bí mật và né tránh từ một cơ quan có lịch sử dài về việc lạm dụng và vượt quá giới hạn quyền lực.”
Hiện tại, cả Paragon Solutions và ICE đều chưa đưa ra phản hồi chính thức về các yêu cầu bình luận và câu hỏi về việc sử dụng phần mềm gián điệp của cơ quan này.
Quyết định của ICE sử dụng phần mềm gián điệp của Paragon Solutions một lần nữa đẩy lên cao trào cuộc tranh luận về ranh giới giữa an ninh quốc gia và quyền riêng tư cá nhân. Trong bối cảnh ICE và Paragon vẫn giữ im lặng trước yêu cầu bình luận, những lo ngại về việc liệu công nghệ này có bị lạm dụng và quyền công dân có được bảo vệ hay không vẫn còn bỏ ngỏ.
