Gần một triệu hộ chiếu và giấy tờ tùy thân bị lộ do lỗi bảo mật nghiêm trọng

Chỉ cần gõ vài ký tự vào trình duyệt web, tôi đã có thể nhìn thấy giấy tờ tùy thân của những người hoàn toàn xa lạ. Hộ chiếu của một phụ nữ trẻ người Đức. Hộ chiếu của một người đàn ông Tây Ban Nha với kính để trên đầu. Mặt trước và sau của bằng lái xe của một người khác...

Tất cả chúng đều nằm ở các URL công khai, không có mật khẩu hay bất kỳ biện pháp kiểm soát truy cập nào. Nếu tôi gửi cho bạn một liên kết, bạn hoàn toàn có thể xem hộ chiếu của người khác.

"Chúng ta phải xử lý vấn đề này càng nhanh càng tốt, vì mọi người sẽ tìm thấy nó và bán lại. Nó sẽ gây thiệt hại," Sammy Azdoufal chia sẻ vào tháng 5.

Azdoufal là nhà nghiên cứu bảo mật từng giúp phát hiện lỗ hổng khiến robot hút bụi DJI Romo và hàng triệu camera giám sát trẻ em dễ bị tấn công. Lần này, ông cho biết mình đã phát hiện hơn 985.000 giấy tờ tùy thân đang nằm trơ trọi trên internet công khai cho bất kỳ hacker nào lấy cắp.

Nếu bạn từng ghé thăm một câu lạc bộ cần sa ở Tây Ban Nha, khả năng rất cao là giấy tờ của bạn nằm trong số đó — và có thể cả số điện thoại, địa chỉ, loại cần sa yêu thích và lượng tiêu thụ hàng tháng của bạn. Azdoufal cho biết cơ sở dữ liệu này cũng chứa thông tin của những người nổi tiếng và du khách từ khắp nơi trên thế giới, bao gồm 30.000 người từ Mỹ. "Họ có cả những người nổi tiếng. Những người không muốn ai biết họ hút cần sa," Azdoufal nói.

Hình ảnh minh họa hộ chiếu bị lộ

Lỗ hổng từ phần mềm quản lý

Không phải các câu lạc bộ đã không bảo vệ các tài liệu này. Một công ty Ireland tên là Cannabis Club Systems (CCS), hay còn gọi là Nefos Solutions, là đơn vị phát triển và cung cấp phần mềm mà các câu lạc bộ này sử dụng cho bán hàng, kế toán và kiểm soát ra vào, bao gồm hệ thống xác thực nơi lễ tân tải lên hộ chiếu và ảnh selfie của bạn lên đám mây của Nefos.

Thông thường, bạn sẽ phải xuất trình giấy tờ tùy thân mỗi lần muốn vào câu lạc bộ. Nhưng với hệ thống xác thực này, lễ tân có thể truy xuất tài liệu định danh đã lưu trữ và kiểm tra xem khuôn mặt có khớp không. Ngoài ra còn có một ứng dụng tùy chọn gọi là PuffPal cho phép các câu lạc bộ quét mã QR để vào nhanh hơn.

Tuy nhiên, khi Azdoufal phân tích ngược (decompile) ứng dụng PuffPal, ông phát hiện Nefos không có bất kỳ lớp bảo mật ý nghĩa nào. Ông tìm thấy khóa bí mật cho nền tảng thanh toán Stripe nằm ngay trong ứng dụng dưới dạng văn bản thuần túy (plain text). Ông nhận thấy mình có thể truy cập hồ sơ của bất kỳ thành viên nào chỉ bằng cách thay đổi một con số. Nếu những hồ sơ đó bao gồm số điện thoại, địa chỉ nhà, hộ chiếu và sở thích về cần sa, ông giờ đây có quyền truy cập vào tất cả.

Và quan trọng nhất, ông phát hiện rằng những hộ chiếu, bằng lái xe và giấy tờ tùy thân đó được lưu trữ tại các URL công khai đơn giản như: https://ccsnubev2.com/v8/images/_{club}/ID/{user_id}-front.jpg.

Azdoufal cho biết các câu lạc bộ đang tải lên 5.000 giấy tờ tùy thân mới mỗi ngày với các URL không an toàn này.

Dữ liệu bị lộ từ các câu lạc bộ

Ông cũng tìm thấy một cổng quản trị có thể truy cập qua internet công khai — và rằng các câu lạc bộ cần sa có mức độ bảo mật rất thấp trên tài khoản của họ, sử dụng mật khẩu mà về lý thuyết có thể bị bẻ khóa trong vài phút với GPU hiện đại. Các tin nhắn chat riêng tư giữa câu lạc bộ và thành viên thông qua ứng dụng PuffPal cũng dễ bị tấn công.

Phản ứng chậm chạp và thiếu trách nhiệm

Tin tốt là khoảng một tháng sau khi chúng tôi liên hệ với Nefos, công ty dường như cuối cùng đã có hành động ý nghĩa. Công ty cho biết họ đang tắt toàn bộ hệ thống PuffPal và các API dễ bị tổn thương cho đến khi chúng được khắc phục — trong các bài kiểm tra mới nhất của Azdoufal vào ngày 10 tháng 6, hình ảnh hộ chiếu và dữ liệu cá nhân dường như đã an toàn. Nefos cũng đã thông báo cho chính quyền địa phương và nói rằng họ sẽ chịu trách nhiệm sửa chữa, nộp phạt và thông báo cho người dùng về những gì đã xảy ra.

Tuy nhiên, đã mất quá lâu để Nefos coi mối đe dọa này nghiêm túc. Họ đã mất 5 ngày và sự đe dọa của một bài báo trước khi công ty phản hồi, rất lâu sau khi Azdoufal liên hệ. Sau đó, Nefos bắt đầu bằng cách "lấp đầy" các lỗ hổng thay vì mạo hiểm làm gián đoạn kinh doanh.

Tôi đã chuẩn bị viết bài này vào đầu tháng 6, sau khi Azdoufal告诉我 Nefos đã cuối cùng khóa các hình ảnh hộ chiếu. Nhưng vào ngày 4 tháng 6, tôi đã khiến Azdoufal ngạc nhiên khi chỉ cho ông thấy rằng hộ chiếu của chính ông lại xuất hiện trực tuyến một lần nữa, không có bất kỳ sự bảo vệ nào.

Đó là vì Nefos chưa ngừng các câu lạc bộ sử dụng ứng dụng PuffPal, và khi các câu lạc bộ phàn nàn rằng hình ảnh bị khóa không hiển thị như trước, Nefos đơn giản là... mở khóa lại. Trong khi Nilsen tuyên bố hình ảnh bị khóa "70% thời gian" kể từ khi Azdoufal và tôi liên hệ, rõ ràng là Nefos đã đưa ra quyết định ưu tiên khách hàng thay vì mối đe dọa bảo mật.

Vào ngày 9 tháng 6, Azdoufal phát hiện rằng mặc dù Nefos đã khóa hình ảnh hộ chiếu và giấy tờ tùy thân bằng mã thông báo (tokens), mọi thứ khác trong hồ sơ người dùng vẫn dễ dàng truy cập: số hộ chiếu, số điện thoại, địa chỉ email, địa chỉ nhà, tất cả mọi thứ.

Một hacker chỉ cần gõ lệnh curl -X POST https://ccsnubev2.com/v8/api/userProfile.php -d "user_id=[NUMBER]&[CLUB NAME]=test&language=en" vào dòng lệnh, và máy chủ sẽ tự nhiên cung cấp một lượng lớn thông tin cá nhân. Sau khi chúng tôi đưa vấn đề này đến sự chú ý của Nefos, lỗ hổng này cũng đã bị bịt lại.

Vậy làm sao công ty có thể bất cẩn đến vậy? "Tôi không muốn đổ lỗi cho người khác vì cuối cùng trách nhiệm thuộc về chúng tôi," Nilsen nói. Nhưng ông đã chỉ tay về phía 9Series, một công ty thuê ngoài mà ông tuyên bố chịu trách nhiệm phát triển ứng dụng PuffPal và tạo ra tất cả các API dễ bị tổn thương mà nó sử dụng để kéo dữ liệu không được bảo vệ từ cơ sở dữ liệu người dùng của Nefos. (9Series chưa phản hồi vào thời điểm xuất bản).

Hiện tại, Nefos đang gửi email cho mọi câu lạc bộ để thông báo rằng thành viên sẽ không thể sử dụng mã QR để vào cửa nữa — nhưng họ vẫn có thể truy xuất ID từ máy chủ của Nefos sau khi quét thẻ RFID của thành viên hoặc nhập số điện thoại của họ.

Nilsen tuyên bố công ty ông sẽ không đơn giản là khởi chạy lại PuffPal không an toàn nếu các câu lạc bộ yêu cầu. "Chúng tôi sẽ nói với họ rằng chúng tôi không thể," ông nói. "Chúng tôi sẽ đảm bảo, sau sự cố này, rằng hệ thống được xác minh bởi một nhà nghiên cứu bảo mật độc lập và đảm bảo rằng nó 100% an toàn." Ông cho biết Nefos đang chia tay với 9Series và hy vọng sẽ có một ứng dụng mới trong vài tháng tới.

Nilsen nói rằng ông biết theo luật EU, công ty ông về mặt pháp lý phải tiết lộ vụ vi phạm trong vòng 72 giờ hoặc nộp phạt đáng kể, điều mà công ty đã không làm. "Tôi chắc chắn chúng tôi sẽ nhận được bất kỳ hình phạt nào," Nilsen nói.

Vụ việc này là một lời cảnh tỉnh nghiêm trọng về an ninh dữ liệu, đặc biệt khi các công ty lưu trữ thông tin nhạy cảm trên đám mây mà thiếu các biện pháp bảo mật cơ bản.