Liên hệ góp ý Miễn trừ trách nhiệm Điều khoản sử dụng Chính sách bảo mật

Giấy phép thiết lập MXH số 387/GP-BTTTT, do Bộ Thông tin và Truyền thông cấp ngày 21/12/2024.



Gần một triệu hồ sơ cá nhân bị lộ liên quan đến dữ liệu hành lý thất lạc

phan linh
phan linh 15:10, 06/05/2025
Theo dõi

Khi hành lý bị mất, đó không chỉ là sự bất tiện mà còn có thể là cánh cổng để tội phạm mạng đánh cắp danh tính của bạn.

Mười bốn cơ sở dữ liệu công khai đã được tìm thấy trực tuyến chứa 820.750 hồ sơ nhạy cảm và dữ liệu cá nhân với tổng dung lượng là 122GB.

anh-04-3-25-1-1508
Ảnh minh họa

"Gần đây, tôi đã phát hiện ra một cơ sở dữ liệu công khai duy nhất không được bảo vệ bằng mật khẩu hoặc mã hóa. Khi xem các hồ sơ bên trong cơ sở dữ liệu, rõ ràng đó là một loại hệ thống phần mềm theo dõi đồ thất lạc và tìm thấy dành cho ngành hàng không", nhà nghiên cứu an ninh mạng Jeremiah Fowler, người đầu tiên phát hiện ra các cơ sở dữ liệu này và báo cáo với Website Planet đã chia sẻ như vậy.

Các cơ sở dữ liệu mở này chứa thông tin chi tiết về các vật phẩm bị thất lạc tại sân bay, bao gồm thiết bị y tế, máy tính, thiết bị điện tử cá nhân, ví, túi xách và đồ cổ… cùng với thông tin nhận dạng cá nhân về chủ sở hữu của chúng.

Trường hợp này có liên quan đến Phần mềm Lost and Found, do một công ty tại Đức quản lý và được nhiều sân bay trên khắp Hoa Kỳ, Canada và Châu Âu sử dụng để quản lý hành lý thất lạc bằng hệ thống nhận dạng vật phẩm tự động.

Những dữ liệu nào đã bị rò rỉ?

Ảnh chụp màn hình xác nhận thanh toán của các mặt hàng được trả lại, nhãn vận chuyển, biên lai gốc của các sản phẩm bị mất và các tài liệu bổ sung có chứa thông tin nhận dạng cá nhân (PII);

Báo cáo;

Hình ảnh và thông tin chi tiết về các mặt hàng bị mất;

Địa chỉ trả lại;

Hình ảnh có độ phân giải cao của các tài liệu: hộ chiếu, giấy phép lái xe và giấy tờ lao động

Nhà nghiên cứu Jeremiah Fowler không thể xác định được cơ sở dữ liệu vẫn có thể truy cập được đối với bất kỳ ai trên Internet trong bao lâu. Hiện vẫn chưa biết liệu có bất kỳ tác nhân đe dọa nào cũng có thể truy cập vào các cơ sở dữ liệu hay không

"Tôi đã ngay lập tức gửi thông báo tới Lost and Found Software và tất cả 14 cơ sở dữ liệu đã xác định đều bị hạn chế quyền truy cập công khai. Hiện những cơ sở dữ liệu này đã không còn có thể truy cập được trong vòng vài giờ sau khi tôi thông báo", Fowler cho biết.

Đến thời điểm này, công ty Lost and Found Software đã phản hồi thông báo của nhà nghiên cứu và bảo mật quyền truy cập vào các cơ sở dữ liệu.

Chủ sở hữu hành lý có nguy cơ bị đánh cắp danh tính

Hộ chiếu, giấy phép lái xe và các loại giấy tờ tùy thân khác bị lộ có thể cung cấp cho tội phạm dữ liệu cần thiết để gian lận danh tính, mở tài khoản dưới tên của người khác hoặc làm giả tài liệu bằng thông tin du lịch thực sự. Trên các trang web đen, dữ liệu nhận dạng riêng tư như vậy có thể có giá trị hơn 1.000 đô la.

Kiến thức nội bộ về đồ vật bị mất cũng có thể giúp kẻ lừa đảo nhắm mục tiêu vào khách du lịch bằng các chiến dịch lừa đảo tinh vi khác.

Việc đóng giả là nhân viên của bộ phận tìm đồ thất lạc và tìm thấy, những kẻ lừa đảo cũng có thể lừa nạn nhân cung cấp thêm thông tin cá nhân hoặc thông tin tài chính.

Vì chỉ có khách du lịch, hãng hàng không và dịch vụ tìm đồ thất lạc và tìm thấy mới biết được đồ vật bị mất, khi nào và ở đâu, nên yêu cầu này có vẻ hoàn toàn hợp pháp.

Làm thế nào để ngăn chặn tình trạng rò rỉ dữ liệu như vậy?

Vụ rò rỉ dữ liệu nêu bật tầm quan trọng của việc mã hóa dữ liệu nhạy cảm và triển khai các biện pháp xác thực nâng cao.

Nhà nghiên cứu Fowler cảnh báo rằng, các công ty công nghệ có nhiều khách hàng và nhiều cơ sở dữ liệu có thể cảm thấy muốn đặt cho họ những cái tên thống nhất vì sự tiện lợi. Tuy nhiên, việc sử dụng tên có thể đoán trước cho các cơ sở dữ liệu làm tăng đáng kể rủi ro an ninh mạng.

Theo chuyên gia Fowler, ông có thể dễ dàng đoán được sự tồn tại của các cơ sở dữ liệu bổ sung bằng cách chỉ thay đổi tên sân bay của khách hàng trong khi vẫn giữ nguyên cấu trúc tên của cơ sở dữ liệu.”

Tội phạm mạng sử dụng cả quét thủ công và tự động để tìm lỗ hổng. Nếu một cơ sở dữ liệu bị lộ, một tên hoặc định dạng có thể đoán trước có thể khiến toàn bộ mạng gặp rủi ro.

“Ngay cả khi một hoặc nhiều cơ sở dữ liệu được bảo mật, tội phạm vẫn có thể biết loại dữ liệu nào được lưu trữ ở đó và chúng có thể triển khai nhiều cuộc tấn công tiềm ẩn để truy cập trái phép”, nhà nghiên cứu giải thích.

Bài mới

Anh mở cuộc điều tra TikTok, Reddit về các hoạt động dữ liệu cá nhân liên quan đến trẻ em
Anh mở cuộc điều tra TikTok, Reddit về các hoạt động dữ liệu cá nhân liên quan đến trẻ em

Lê Nguyên
Lê Nguyên 15:10, 06/05/2025
Cảnh giác với thủ đoạn lừa đảo dưới hình thức tâm linh
Cảnh giác với thủ đoạn lừa đảo dưới hình thức tâm linh

Lê Nguyên
Lê Nguyên 15:10, 06/05/2025
Cảnh báo thủ đoạn lừa đảo kêu gọi đầu tư tài chính, chứng khoán trên không gian mạng
Cảnh báo thủ đoạn lừa đảo kêu gọi đầu tư tài chính, chứng khoán trên không gian mạng

Lê Nguyên
Lê Nguyên 15:10, 06/05/2025
Hàng nghìn người bị lừa mua gói giáo dục trực tuyến giả Topica English
Hàng nghìn người bị lừa mua gói giáo dục trực tuyến giả Topica English

Lê Nguyên
Lê Nguyên 15:09, 06/05/2025
Cảnh báo lừa đảo qua cuộc gọi cập nhật đăng kiểm trên VNeID
Cảnh báo lừa đảo qua cuộc gọi cập nhật đăng kiểm trên VNeID

Lê Nguyên
Lê Nguyên 15:09, 06/05/2025
Cảnh giác với thông tin sai sự thật trên mạng xã hội
Cảnh giác với thông tin sai sự thật trên mạng xã hội

Lê Nguyên
Lê Nguyên 15:09, 06/05/2025
Công an cảnh báo chiêu trò lừa đảo bán vé máy bay giá rẻ
Công an cảnh báo chiêu trò lừa đảo bán vé máy bay giá rẻ

Lê Nguyên
Lê Nguyên 15:09, 06/05/2025
Đề xuất
Chủ đề HOT
Kiến thức Phòng chống tội phạm mạng Lừa đảo thông qua tiền ảo Chống lừa đảo