Hacker bán 800.000 đồng cho truy cập 15 camera tại Việt Nam
Camera giám sát là thiết bị ngày càng phổ biến với các hộ gia đình tại Việt Nam, nhưng chưa được bảo vệ đúng mức. Nếu bị tấn công, người dùng sẽ bị hứng chịu hậu quả nặng nề.
Tại tọa đàm “Tiêu chuẩn an toàn thông tin mạng cơ bản cho camera giám sát”, do báo VietNamNet phối hợp với Cục An toàn thông tin (Bộ TT&TT) tổ chức sáng 22/5, ông Vũ Ngọc Sơn, Trưởng ban Công nghệ - Hiệp hội An ninh mạng quốc gia, Giám đốc kỹ thuật công ty NCS, chia sẻ góc nhìn về camera giám sát từ góc độ an ninh mạng. Ông nhận xét, có thể xem camera như máy tính đặc biệt, vì có thể nghe, nhìn, suy nghĩ (nếu tích hợp AI), phát hiện vật thể, không gian mà nó quan sát. Camera không bao giờ tắt, luôn online 24/24, ít được vá lỗi, gần như không được cập nhật bản vá, phần mềm diệt virus. Do đó, nếu bị tấn công sẽ không có ai bảo vệ.
Cùng chung quan điểm, ông Nguyễn Việt Bằng, Phó Tổng giám đốc VNPT Technology nói, camera dù nhỏ bé, đơn giản nhưng lại phức tạp, gồm các phần quang, phát sóng - WiFi và mạng LAN. Với hai giao diện mạng như vậy, camera có thể thành thiết bị để thu thập thông tin. Một camera đặt trong nhà sẽ giống như máy tính có hệ điều hành, có ghi âm, có hình ảnh và gần như là có thêm một người ở trong nhà mình nhưng chạy âm thầm. Do đó, nếu có lỗ hổng, thiết bị camera hoàn toàn có thể gửi thông tin ra ngoài.
Dù là thiết bị phổ biến và quan trọng như vậy, người dùng vẫn chưa có ý thức bảo vệ an toàn thông tin cho camera giám sát. Chuyên gia Vũ Ngọc Sơn nhắc đến một số vụ tấn công vào hệ thống camera lớn gần đây. Năm 2023, nhiều khách hàng Hikvision khi xem camera đã nhận được thông điệp cảnh báo tấn công của hacker trên màn hình. Điều đáng chú ý là hacker tấn công camera của Hikvision thông qua lỗ hổng cũ từ năm 2021 dù nhà sản xuất đã cung cấp bản vá.
Tại Việt Nam, chưa có vụ tấn công nào lớn nhưng thực trạng rất đáng báo động. Năm 2020, theo một khảo sát của Việt Nam, số camera không được cập nhật mật khẩu lên tới 70%. Năm 2023, một số hacker rao bán quyền truy cập camera tại Việt Nam, có những hệ thống lên hơn tới 100.000 camera. Số tiền bỏ ra để xem cũng khiêm tốn, chỉ khoảng 800.000 đồng để truy cập 15 camera.
Ông Vũ Ngọc Sơn chỉ ra 6 nguyên nhân chính dẫn đến mất an toàn thông tin đối với camera. Đó là người dùng đặt mật khẩu yếu, dùng chung mật khẩu, dùng tài khoản khác để quản trị hệ thống camera như Facebook, Google... Không đổi mật khẩu khi nhận bàn giao từ kỹ thuật viên; Camera có lỗ hổng zero day; Không cập nhật bản vá; Máy chủ lưu trữ có lỗ hổng và bị hacker tấn công; Phân quyền không chặt, chẳng hạn chia sẻ cho đơn vị thi công nhưng sau đó không thu hồi quyền.
Bàn về vấn đề này, ông Trần Đăng Khoa, Phó cục trưởng phụ trách Cục An toàn thông tin, Bộ TT&TT cho rằng, hiện nay nhận thức của người dùng nói chung và người dùng Việt Nam nói riêng về an toàn, an ninh mạng còn hạn chế. Tuy biết về các nguy cơ và cần đổi mật khẩu, cập nhật bản vá, nhiều người chưa quan tâm, không thực hiện. Đây là một điểm được Cục An toàn thông tin tập trung vào khi xây dựng bộ tiêu chí về yêu cầu an toàn thông tin mạng cơ bản cho camera giám sát. Ngày 7/5, Bộ TT&TT đã ban hành bộ tiêu chí này.
Theo chuyên gia Vũ Ngọc Sơn, nếu bị tấn công camera giám sát, người dùng sẽ lãnh hậu quả nghiêm trọng. Đối với hộ gia đình, vấn đề đầu tiên là quyền riêng tư bị xâm phạm, tiếp đến là nguy cơ bị tống tiền vì những hình ảnh riêng tư, âm thanh nhạy cảm hoặc các hành vi phạm tội khác. Chẳng hạn, hacker có thể dùng hình ảnh, âm thanh thu thập được qua camera giám sát để làm deepfake lừa đảo. Một hậu quả khác là bị theo dõi từ xa.
Do đó, để tránh nguy cơ mất an toàn thông tin, lộ lọt dữ liệu từ camera giám sát, ông Vũ Ngọc Sơn đưa ra một số khuyến nghị cho người dùng; Đó là cần chọn camera xuất xứ rõ ràng, công bố nơi lưu trữ video, chính sách bảo mật dữ liệu cho người dùng; Đổi mật khẩu ngay khi nhận bàn giao, sử dụng xác thực hai yếu tố; Chọn vị trí lắp đặt phù hợp, tránh lắp vị trí nhạy cảm, tại khu vực quan trọng bắt buộc lắp đặt camera đạt chuẩn, tránh trường hợp bị lộ lọt thông tin quan trọng, cấu hình truy cập tối thiểu; Thường xuyên theo dõi, cập nhật bản vá lỗi.
Theo ông Trần Đăng Khoa, để người dùng có nhận thức và kỹ năng, cần tuyên truyền để họ thấy rằng, mình cũng phải có ý thức tự bảo vệ bản thân, tổ chức. Trước hết, người dùng cần đổi mật khẩu thiết bị, không dùng mật khẩu mặc định; Xác định nên đặt thiết bị tại đâu, chỗ đó có cần đặt hay không.