7/7 hệ thống công bị hack trong thử nghiệm: Nguy cơ lộ toàn bộ dữ liệu dân Hàn Quốc

Một cuộc kiểm tra an ninh do Kiểm toán Hàn Quốc thực hiện cùng đội ngũ white-hat hacker cho thấy cả 7 hệ thống công của nhà nước đều bị xâm nhập thành công. Có hệ thống cho phép truy cập tới 50 triệu số cư dân tương đương quy mô dân số cả nước.

Theo báo cáo “Thực trạng bảo vệ và quản lý dữ liệu cá nhân” được Kiểm toán Hàn Quốc công bố sáng 27/1, cuộc kiểm tra an ninh tiến hành trong tháng 11–12/2024 đã ghi nhận toàn bộ 7 hệ thống công được chọn đều tồn tại lỗ hổng nghiêm trọng. Cuộc mô phỏng do Kiểm toán thực hiện cùng Viện Công nghệ An ninh Quốc gia và Bộ Tư lệnh Tác chiến mạng.

Bảy hệ thống này là các nền tảng cung cấp dịch vụ trực tiếp cho người dân và nắm giữ lượng lớn dữ liệu nhạy cảm. Dù không công bố danh tính cụ thể, cơ quan kiểm toán cho biết đây là nhóm trong số 123 hệ thống được Ủy ban Bảo vệ Thông tin cá nhân xếp vào diện quản lý trọng điểm.

Theo kết quả kiểm tra, một hệ thống cho phép truy cập thông tin của khoảng 50 triệu người, đồng nghĩa gần như toàn bộ số định danh công dân có nguy cơ bị lộ. Một hệ thống khác có thể bị hacker chiếm quyền trong vòng 20 phút, từ đó sao chép hơn 10 triệu hồ sơ người dùng. Một nền tảng khác lưu trữ thông tin quan trọng ở dạng không mã hóa, khiến hacker chỉ cần chiếm quyền quản trị là có thể tải về dữ liệu của 130.000 người.

Bên cạnh các lỗ hổng kỹ thuật, kiểm toán cũng phát hiện tình trạng nhân sự đã nghỉ việc vẫn giữ quyền truy cập hệ thống. Tại Sở Giáo dục Gyeonggi, quyền truy cập của khoảng 3.000 giáo viên hợp đồng nghỉ việc không được xóa, cho phép họ tiếp tục vào hệ thống hành chính giáo dục.

Ủy ban Bảo vệ Thông tin cá nhân hiện vận hành dịch vụ “Tìm thông tin bị lộ”, giúp người dùng kiểm tra tình trạng rò rỉ dữ liệu. Tuy nhiên, năm 2023, chỉ 1,7% người dùng Internet trong nước truy cập dịch vụ này. Kiểm toán cho rằng khi xảy ra rò rỉ dữ liệu, Ủy ban cần chủ động yêu cầu trang web bị ảnh hưởng đặt lại ID và mật khẩu, nhưng cơ quan này cho biết họ thiếu cơ sở pháp lý để thực hiện các biện pháp can thiệp mạnh.

Kiểm toán Nhà nước đã thông báo toàn bộ lỗ hổng đến người đứng đầu các cơ quan vận hành 7 hệ thống nêu trên. Các đơn vị đã hoàn tất khắc phục. Tuy nhiên, danh tính từng hệ thống và phương pháp tấn công sẽ không được công bố nhằm tránh trở thành mục tiêu cho tin tặc.

Một đại diện Kiểm toán cho biết việc giữ kín thông tin là cần thiết để ngăn rủi ro bị tấn công lợi dụng trong tương lai, bởi những điểm yếu dù đã xử lý vẫn có thể trở thành gợi ý cho các hành vi xâm nhập.

Kết quả mô phỏng cho thấy nhu cầu cấp thiết phải tăng cường tiêu chuẩn an ninh trong khối công đặc biệt khi các hệ thống đang xử lý lượng lớn thông tin nhạy cảm của người dân. Kiểm toán cho rằng việc khắc phục chỉ là bước đầu, còn việc nâng cấp tiêu chuẩn bảo vệ, chuẩn hóa quy trình xóa quyền truy cập và hoàn thiện cơ sở pháp lý mới là yếu tố quyết định để giảm nguy cơ rò rỉ dữ liệu quy mô lớn trong tương lai.

Theo The Joongang