Dữ liệu quân sự Mỹ bị lộ tại startup được a16z đầu tư suốt 150 ngày

Lỗ hổng "Zero-auth" gây nguy hiểm cho an ninh quốc gia

Gần đây, các nhà nghiên cứu bảo mật đã phát hiện một lỗ hổng nghiêm trọng tại một startup công nghệ nhận được sự hậu thuẫn từ quỹ đầu tư mạo hiểm nổi tiếng a16z (Andreessen Horowitz). Lỗi này đã khiến dữ liệu nhạy cảm thuộc về quân đội Mỹ bị phơi bày công khai trên internet trong suốt 150 ngày.

Đáng lo ngại hơn, lỗ hổng này thuộc loại "zero-auth", nghĩa là kẻ tấn công không cần mật khẩu, khóa API hay bất kỳ hình thức xác thực nào để truy cập vào kho dữ liệu. Điều này đồng nghĩa với việc bất kỳ ai phát hiện ra đường dẫn này đều có thể tải về, xem xét hoặc thậm chí xóa bỏ các thông tin mật.

Dữ liệu bị lộ và quy trình quản lý rủi ro

Dữ liệu bị lộ được cho là chứa các thông tin quan trọng liên quan đến hoạt động của Bộ Quốc phòng Mỹ. Việc một startup công nghệ, dù có tiềm năng nhưng thiếu kinh nghiệm về an ninh thông tin, được phép lưu trữ và xử lý dữ liệu cấp độ quân sự mà không có sự giám sát chặt chẽ đã đặt ra nhiều câu hỏi về quy trình thẩm định an ninh hiện hành.

Thời gian 150 ngày (khoảng 5 tháng) là khoảng thời gian quá dài để một lỗ hổng tồn tại mà không được phát hiện và vá lỗi. Trong môi trường an ninh mạng, "thời gian là vàng", và việc để lộ hổng lâu như vậy đã gia tăng đáng kể nguy cơ bị các tác nhân độc quyền khai thác.

Bài học cho các startup và nhà đầu tư

Vụ việc này là một lời cảnh tỉnh mạnh mẽ cho cả cộng đồng startup và các quỹ đầu tư mạo hiểm.

Đối với các startup, đặc biệt là những đơn vị hoạt động trong lĩnh vực công nghệ quốc phòng (defense tech) hoặc chính phủ (govtech), an ninh không phải là thứ có thể thêm vào sau này. Nó phải là nền tảng ngay từ đầu. Các biện pháp như kiểm tra quyền truy cập tối thiểu, mã hóa dữ liệu và giám sát liên tục là bắt buộc.

Đối với các nhà đầu tư như a16z, việc hỗ trợ tài chính là chưa đủ. Cần có các quy trình due diligence (thẩm định) sâu rộng về an ninh mạng đối với các công ty trong danh mục đầu tư, đặc biệt là khi họ xử lý dữ liệu nhạy cảm của chính phủ.

Sự cố này một lần nữa khẳng định rằng trong kỷ nguyên số, một lỗi cấu hình nhỏ cũng có thể dẫn đến hậu quả lớn về an ninh quốc gia.