Tin tức An ninh mạng: Lỗ hổng Lovable, Thiết bị bảo mật màn hình mới và Botnet Trung Quốc

SecurityWeek xin gửi đến bạn bản tóm tắt những diễn biến quan trọng trong tuần qua về an ninh mạng, từ các lỗ hổng mới xuất hiện cho đến các cập nhật chính sách và cảnh báo từ các cơ quan chức năng.

Tin tức an ninh mạng

Dưới đây là những điểm nhấn đáng chú ý:

Lỗ hổng dữ liệu tại startup Lovable

Lovable, một startup chuyên về "vibe-coding" (lập trình dựa trên cảm hứng) với định giá 6,6 tỷ USD, đã gặp rắc rối lớn khi phản ứng chậm chạp trước một lỗ hổng BOLA (Broken Object Level Authorization). Lỗ hổng này cho phép bất kỳ tài khoản miễn phí nào cũng có thể đọc mã nguồn, thông tin đăng nhập cơ sở dữ liệu và lịch sử trò chuyện của người dùng khác.

Một nhà nghiên cứu đã báo cáo lỗi này qua HackerOne 48 ngày trước khi công khai, nhưng nó đã bị đóng lại mà không được xử lý cấp bách vì HackerOne cho rằng việc lộ dữ liệu này là hành vi có chủ đích của hệ thống. Ban đầu, Lovable gọi đây là quyết định thiết kế, nhưng sau đó đã phải đảo ngược quan điểm và thừa nhận một thay đổi backend vào tháng 2 đã vô tình kích hoạt lại quyền truy cập vào các dự án công khai — một thiết lập mà họ từng vá lỗi trước đó.

Thiết bị bảo mật phần cứng SilentGlass của NCSC Anh

Trung tâm An ninh Mạng Quốc gia Anh (NCSC) đã phát triển một thiết bị bảo mật phần cứng có tên SilentGlass, được thiết kế để ngăn chặn dữ liệu nhạy cảm bị đánh cắp thông qua các kết nối màn hình độ phân giải cao.

Thiết bị "plug-and-play" này hoạt động bằng cách chủ động chặn bất kỳ thứ gì bất ngờ hoặc độc hại giữa các kết nối HDMI/Display Port và màn hình. Được khuyến nghị sử dụng trong các môi trường có mức độ đe dọa cao, SilentGlass hiện đã có thể được trang bị sau khi được thử nghiệm tại các tổ chức chính phủ.

Cảnh báo về botnet Volt Typhoon

FBI, CISA và các đối tác quốc tế đã đưa ra tư vấn chung về một mạng lưới khổng lồ gồm các bộ định tuyến SOHO và thiết bị IoT bị xâm phạm, do các tác nhân đe dọa liên kết đến Trung Quốc điều hành. Nhóm nhà nước tài trợ Volt Typhoon đã sử dụng mạng botnet này để nhắm vào các lĩnh vực cơ sở hạ tầng quan trọng. Các cơ quan chức năng đã đưa ra các khuyến nghị cụ thể để phòng thủ trước các mạng lưới ngầm này.

Các tin tức đáng chú ý khác

Claude Mythos bị truy cập trái phép Anthropic xác nhận mô hình AI Claude Mythos đã bị người dùng chưa được ủy quyền truy cập thông qua môi trường của một bên thứ ba. Bloomberg đưa tin rằng một cá nhân đã phát hiện ra giao diện này cho phép kiểm tra các khả năng nâng cao của Mythos. Gã khổng lồ AI hiện đã hạn chế quyền truy cập vào cổng thông tin bị lạm dụng này.

Cơ quan Pháp bị tấn công dữ liệu France Titres, cơ quan chịu trách nhiệm về hộ chiếu và bằng lái xe của Pháp, đã xác nhận một vụ vi phạm bảo mật trên cổng thông tin ANTS có thể làm lộ dữ liệu của hàng triệu người dùng. Một tác nhân đe dọa hiện đang cố gắng bán một cơ sở dữ liệu chứa khoảng 19 triệu bản ghi, bao gồm tên, ngày sinh và định danh tài khoản duy nhất trên các diễn đàn hacker.

Google nâng cấp bảo mật doanh nghiệp Google đã giới thiệu các khả năng bảo mật mới trong Chrome Enterprise và Android. Chrome Enterprise Premium hiện cung cấp khả năng ngăn chặn mất dữ liệu tiên tiến và các tính năng giải quyết rủi ro AI. Google cũng đang mở rộng bảo mật cho thiết bị di động, chặn tải xuống dữ liệu nhạy cảm trên các thiết bị không được quản lý.

Hacker Tòa án Tối cao Mỹ bị kết án Nicholas Moore, 25 tuổi, đã bị kết án 12 tháng án treo sau khi nhận tội hành vi nhẹ vì sử dụng thông tin đăng nhập bị đánh cắp để đột nhập vào hệ thống nộp đơn trực tuyến của Tòa án Tối cao trong 25 ngày khác nhau, cùng các hệ thống tại AmeriCorps và Cơ quan Y tế Cựu chiến binh. Thay vì lợi dụng việc này để kiếm tiền, anh ta đăng ảnh chụp màn hình các tài khoản bị xâm phạm dường như chỉ để gây ấn tượng với mọi người trên mạng.

Quân đội Anh triển khai bảo vệ cáp ngầm Anh đã triển khai tài sản quân sự, bao gồm tàu chiến, tàu chở dầu hỗ trợ, trực thăng Merlin và máy bay tuần thám biển P‑8 của RAF, để bảo vệ các cáp truyền thông dưới biển trước mối đe dọa từ hải quân Nga. Tony O’Sullivan, CEO của RETN, nhận định rằng thiệt hại ngẫu nhiên không còn là mối đe dọa duy nhất và sự đa dạng hóa tuyến đường là điều bắt buộc để tránh tạo ra các điểm thất bại duy nhất.

Tin đồn về backdoor tại Iran Theo truyền thông nhà nước Iran, trong một cuộc tấn công vào thành phố Isfahan, thiết bị mạng của Cisco, Juniper, Fortinet và MikroTik đã đồng thời bị lỗi mặc dù bị ngắt kết nối khỏi internet toàn cầu. Các chuyên gia địa phương nghi ngờ các sự cố này được kích hoạt bởi các cửa sau (backdoor) được cài đặt sẵn trong firmware hoặc các thỏa hiệp chuỗi cung ứng cho phép vô hiệu hóa từ xa qua vệ tinh hoặc tín hiệu nội bộ.

Sean Plankey rút lui khỏi đề cử CISA Sean Plankey đã chính thức rút tên mình khỏi ứng cử cho vị trí Giám đốc Cơ quan An ninh mạng và Cơ sở hạ tầng An ninh (CISA) sau tình trạng bế tắc kéo dài trong việc phê duyệt tại Thượng viện. Việc rút lui này buộc Nhà Trắng phải khởi động lại quá trình tìm kiếm ứng viên.