Chia sẻ mật khẩu quản trị: Khi sự tiện lợi dẫn đến thảm họa an ninh

Chào mừng quay trở lại với PWNED, chuyên mục nơi chúng tôi tôn vinh những người đã dạy chúng ta cách không nên bảo mật máy chủ. Nếu bạn từng tự buộc dây giày vào nhau rồi vấp ngã, hoặc nhảy xuống hồ bơi nhưng lại đập đầu vào ván nhảy, thì chúng ta sẽ nói về phiên bản mạng của bạn.

Rắc rối tuần này đến từ Gregory Shein, nhà sáng lập và CEO của công ty phát triển phần mềm Nomadic Soft. Một trong những khách hàng của ông đã đưa ra quyết định định mệnh là ưu tiên sự tiện lợi hơn bảo mật, dẫn đến mất dữ liệu nghiêm trọng.

Khách hàng này muốn "giữ mọi thứ đơn giản" cho đội ngũ của họ, nên họ đã sử dụng cùng một mật khẩu quản trị cho cả môi trường staging (thử nghiệm) và production (sản xuất). Mật khẩu đó là tổ hợp khó đoán... "admin123".

Mật khẩu phổ biến nhất thế giới

Theo NordPass, phần mềm quản lý mật khẩu và người duy trì danh sách 200 mật khẩu phổ biến nhất thế giới, "admin123" là mật khẩu phổ biến thứ 10 trên toàn cầu. Riêng "Admin" đứng thứ hai, trong khi "123456" dẫn đầu. Vì vậy, nếu họ đang tìm kiếm bảo mật cao, họ đã đến sai chỗ.

Để mọi chuyện tồi tệ hơn, công ty đã ghim mật khẩu đó trong một kênh Slack, chỉ để bất kỳ ai cần nó đều có thể tìm thấy dễ dàng. Ngay cả khi mật khẩu là "Vu+}?8wV?5TPy2cLBqc=," đây vẫn là một ý tưởng tồi.

Cựu nhà thầu và lệnh xóa dữ liệu

Vài tháng sau khi khách hàng chia sẻ mật khẩu, một cựu nhà thầu đã đăng nhập để thực hiện một số "kiểm thử". Nhưng thay vì đo điểm chuẩn phần mềm, họ đã kích hoạt lệnh xóa dữ liệu toàn bộ. Rất tiếc!

Theo Shein, khách hàng đã chi hơn 30.000 USD cho các công cụ bảo mật. Vì vậy, chúng tôi có thể đoán rằng họ rất ngạc nhiên khi biết mình đã mất dữ liệu theo cách này.

"Trong SaaS, mối đe dọa lớn nhất hiếm khi mang tính kỹ thuật," Shein nói với chúng tôi. "Đó là sự lười biếng của con người được ngụy trang dưới sự hiệu quả."

Bài học và giải pháp

Rất dễ dàng để thấy chúng ta có thể học được gì từ sai lầm của khách hàng này. Đừng chia sẻ mật khẩu giữa các môi trường hoặc giữa các người dùng. Đảm bảo mọi người chỉ có quyền truy cập họ cần và cắt quyền truy cập của những người không còn cần nó (như một cựu nhà thầu).

Tại Nomadic Soft, họ đã áp dụng thay đổi thông tin xác thực bắt buộc với quyền truy cập dựa trên vai trò (role-based access). Theo Shein, thay đổi này đã giảm 60% các nỗ lực truy cập trái phép chỉ trong vòng ba tháng. Tôi cũng gợi ý rằng các tổ chức nên triển khai xác thực đa yếu tố (MFA) và thay thế mật khẩu bằng passkey ở những nơi hệ thống hỗ trợ.

"Hầu hết các đội ngũ đều chạy theo bảo mật tiên tiến trong khi bỏ qua những lỗ hổng hiển nhiên ngay trước mắt họ," Shein nói.