Gần một triệu hộ chiếu và giấy tờ tùy thân có ảnh không được bảo vệ trên Internet công cộng

Bảo mật dữ liệu “Passport” bị rò rỉ: Hệ thống quản lý câu lạc bộ cần sa và thiết bị PuffPal bị ảnh hưởng

Sự cố rò rỉ dữ liệu từ “Passport”

Vào tháng 10 năm 2023, công ty Nefos—nhà cung cấp phần mềm quản lý “Passport” cho các câu lạc bộ cần sa—đã công bố rằng nền tảng của họ đã bị xâm phạm. Hơn 4.000 địa chỉ email, cùng với các thông tin cá nhân như tên, ngày sinh và các chi tiết liên quan đến việc sở hữu hoặc sử dụng cần sa, đã bị lộ ra công chúng.

Nguyên nhân và cách tấn công

Theo báo cáo, lỗ hổng bảo mật chủ yếu nằm ở cấu hình sai của một bucket trên Amazon S3, cho phép kẻ tấn công truy cập không giới hạn vào cơ sở dữ liệu. Các tài khoản không được mã hóa và không có biện pháp kiểm soát truy cập phù hợp, khiến dữ liệu nhạy cảm dễ dàng bị khai thác.

Những người dùng bị ảnh hưởng

• Thành viên các câu lạc bộ cần sa: Họ đã đăng ký qua “Passport” để thực hiện các giao dịch, xác nhận độ tuổi và truy cập các dịch vụ chuyên dụng.
• Người dùng thiết bị PuffPal: Khi các thiết bị này đồng bộ dữ liệu với hệ thống “Passport”, thông tin cá nhân và lịch sử sử dụng cũng bị đưa vào cơ sở dữ liệu bị rò rỉ.

Hậu quả pháp lý và tài chính

• Vi phạm quy định GDPR (Liên minh châu Âu) và CCPA (California). Các cơ quan quản lý đã mở lời thắc mắc đối với Nefos về việc không thực hiện đủ biện pháp bảo mật.
• Tiềm năng kiện tụng: Người dùng có thể yêu cầu bồi thường vì vi phạm quyền riêng tư, đặc biệt là khi dữ liệu liên quan đến hoạt động dùng cần sa – một lĩnh vực nhạy cảm trong một số khu vực.

Phản hồi của Nefos

Công ty đã:

1. Tạm ngưng truy cập vào các máy chủ bị ảnh hưởng và thực hiện kiểm tra toàn diện.
2. Cập nhật cấu hình bảo mật cho bucket S3, bao gồm mã hoá dữ liệu và thiết lập quyền truy cập chặt chẽ hơn.
3. Thông báo tới khách hàng qua email, khuyến cáo thay đổi mật khẩu và cung cấp hướng dẫn bảo vệ thông tin cá nhân.

Mặc dù Nefos khẳng định đã “khắc phục nhanh chóng” các lỗ hổng, nhưng sự cố vẫn khiến cộng đồng người dùng lo ngại về độ tin cậy của các dịch vụ quản lý cần sa.

Những biện pháp người dùng nên làm ngay

• Thay đổi mật khẩu trên mọi tài khoản liên quan tới “Passport” và các dịch vụ đồng bộ (như PuffPal).
• Kích hoạt xác thực hai yếu tố (2FA) nếu có sẵn.
• Kiểm tra lịch sử giao dịch và các hoạt động bất thường trong tài khoản.
• Theo dõi tin tức về bất kỳ vụ vi phạm bảo mật nào khác có liên quan tới nền tảng này.

Bài học rút ra cho các công ty công nghệ

1. Đánh giá và kiểm tra cấu hình đám mây thường xuyên: Đảm bảo các bucket lưu trữ dữ liệu không để lộ công khai.
2. Mã hoá dữ liệu ở mức độ nghỉ và truyền tải để giảm thiểu rủi ro khi bị xâm nhập.
3. Thực hiện kiểm toán bảo mật định kỳ và đưa ra quy trình phản hồi nhanh khi có sự cố.
4. Giáo dục người dùng về tầm quan trọng của mật khẩu mạnh và xác thực đa yếu tố.

Kết luận

Việc rò rỉ dữ liệu “Passport” đã làm sáng tỏ những lỗ hổng bảo mật nghiêm trọng trong các nền tảng quản lý ngành công nghiệp cần sa. Người dùng nên nhanh chóng thực hiện các bước bảo vệ tài khoản cá nhân, trong khi các nhà cung cấp dịch vụ cần nâng cao tiêu chuẩn an ninh để bảo vệ thông tin nhạy cảm và duy trì niềm tin của khách hàng.

Nguồn The Verge