Giám đốc nhờ IT khôi phục ảnh nhạy cảm và vụ mất iPad lộ diện qua YouTube

Chào mừng bạn đến với chuyên mục PWNED, nơi chúng tôi tổng hợp những vụ việc bảo mật "dở khóc dở cười" mà phần lỗi thường nằm ở chính nạn nhân. Tuần này, chúng ta sẽ cùng xem xét ba câu chuyện xoay quanh hành vi thiếu chuyên nghiệp, sử dụng tài nguyên công ty sai mục đích và trộm cắp, tất cả đều được bộ phận IT giải quyết.

Những câu chuyện này được chia sẻ bởi Zach Lewis, hiện là CIO và CISO tại Đại học Khoa học Sức khỏe và Dược phẩm St. Louis.

CEO và bộ sưu tập ảnh nhạy cảm

Trong một công ty cũ, Lewis từng làm quản trị viên hệ thống (sysadmin) khi CEO yêu cầu giúp khôi phục các bức ảnh bị xóa nhầm khỏi thư mục chia sẻ của công ty. Các tệp này có thể được truy cập bởi bất kỳ ai trong tổ chức, và Lewis đã tìm kiếm các bản sao lưu trong Google Picasa để khôi phục lại.

Thật không may, những bức ảnh mà CEO đang tìm kiếm bao gồm nhiều nội dung rất nhạy cảm (NSFW).

"Tôi được gọi vào ngồi cùng anh ấy để xem xét. Chúng tôi bắt đầu nhấp vào ảnh để đảm bảo mọi thứ còn nguyên vẹn, chỉ kiểm tra ngẫu nhiên một vài tấm," Lewis kể lại. "Và đột nhiên, một số ảnh khiêu dâm hiện ra, và anh ấy ngồi ngay cạnh tôi. Tôi nói ngay cạnh ấy. Anh ấy chỉ nói: 'À vâng, đó chỉ là một chút phim khiêu dâm của tôi thôi'."

Sau khi khôi phục xong, Lewis rời khỏi phòng. Rõ ràng, sếp không hề có chút xấu hổ nào và không vấn đề gì khi để IT nhìn thấy những hình ảnh nhạy cảm của ông ta, hay việc lưu trữ chúng ở nơi bất kỳ nhân viên nào cũng có thể tải xuống. Chúng thậm chí còn bị lẫn lộn với ảnh chụp công việc và ảnh gia đình.

Tuy nhiên, nhận thấy đây là vi phạm chính sách và có thể dẫn đến kiện tụng, Lewis đã báo cáo với bộ phận nhân sự (HR). Đại diện HR đã chỉ đạo anh ta xóa toàn bộ nội dung nhạy cảm đó khỏi mạng lưới, dù nó thuộc về "ông lớn". Lewis đã làm vậy và may mắn thay, anh không phải chịu bất kỳ hậu quả nào sau khi xóa những tấm ảnh "trẻ con" của sếp.

Mặc chiếc mũ cao bồi

Trong một trường hợp khác, Lewis được nhờ kiểm tra máy tính của một đồng nghiệp khi nhân viên này nghĩ rằng mình đã bị nhiễm virus trên laptop. Tuy nhiên, đồng nghiệp này đã cảnh báo IT đừng lục lọi qua các tệp của ông ta.

Sau một lúc, Lewis nhận thấy một thư mục chứa đầy các thư mục con được trang trí bằng hình ảnh người lớn, bao gồm cả ảnh phụ nữ khỏa thân và ảnh của chính nhân viên đó không mặc quần áo. Tất cả các bức ảnh đều có tên tệp mô tả rất chi tiết.

Có lẽ điều gây xấu hổ nhất cho đồng nghiệp này là Lewis đã nhìn thấy những hình ảnh bán thân của ông ta. Công bằng mà nói, trong ảnh ông ta có "mặc" một chiếc mũ cao bồi (top hat) – nhưng chỉ có mỗi thứ đó thôi.

Lewis nhận định vấn đề nằm ở chỗ nhân viên thường coi máy tính làm việc như máy tính ở nhà và không nghĩ đến hậu quả của việc có hình ảnh cá nhân trên thiết bị thuộc sở hữu của công ty. Ông đề nghị thiết lập chính sách nghiêm ngặt chống lại việc này và giáo dục nhân viên.

"Chính sách chỉ là giấy tờ thôi, đúng không? Rất khó để thực thi," Lewis nói. "Bạn có thể nói chuyện trực tiếp với người dùng. Trong trường hợp người đàn ông đội mũ cao bồi này, khi trả lại máy tính, tôi chỉ nhắc nhở rằng: 'Đây là tài nguyên của công ty'."

Video của trẻ em trên YouTube vạch trần kẻ trộm

Trong một công việc khác tại một trường đại học, khi một huấn luyện viên thể thao nghỉ việc, ông ta được yêu cầu để lại chiếc iPad do trường cấp phát trên bàn làm việc. Nhưng khi bộ phận IT đến thu hồi thiết bị, chiếc máy tính bảng này đã biến mất.

Không ai tìm thấy chiếc iPad mất tích, nhưng một tháng sau, có người tải lên một video mới trên kênh YouTube của trường. Video này có sự xuất hiện của con cái của một huấn luyện viên khác và dường như được tải lên từ nhà của huấn luyện viên này.

Rõ ràng, huấn luyện viên kia đã lấy cắp chiếc iPad từ bàn của huấn luyện viên cũ và đưa cho con mình sử dụng. Những đứa trẻ sau đó đã dùng iPad này để quay một video gia đình vui nhộn và đăng lên YouTube, mà không biết rằng nó vẫn đang đăng nhập vào tài khoản YouTube chính thức của trường.

Lewis đã báo cáo cho HR, người đã gọi người được cho là kẻ trộm vào làm việc. Ban đầu, ông ta phủ nhận những đứa trẻ trong video là con của mình. Tuy nhiên, nhân viên HR đã chỉ cho ông ta bức ảnh chụp ông ta và các con trên mạng xã hội, và ông ta đã thừa nhận đó là con mình.

Huấn luyện viên sau đó nói rằng ông ta không biết iPad đó đã vào nhà mình như thế nào. Nhưng ông ta đã lấy nó và trả lại cho IT.

Về mặt bảo mật, tình huống iPad này nảy sinh rất nhiều vấn đề. Thứ nhất, chiếc iPad không được khóa đủ chặt để người khác không thể truy cập vào. Nó có quyền truy cập vào tài khoản YouTube của trường, nghĩa là bất kỳ kẻ trộm nào cũng có thể thêm nội dung của riêng mình vào đó. Nó thậm chí có thể chứa thông tin nhận dạng cá nhân (PII) về một số vận động viên sinh viên.

Bài học rút ra: Hãy đảm bảo nhân viên nghỉ việc bàn giao thiết bị trực tiếp cho IT. Đừng để họ chỉ để thiết bị trên bàn. Và hãy đảm bảo ngay cả máy tính bảng cũng yêu cầu xác thực sinh trắc học.