Chưa đầy một tháng chuyên gia đã tìm ra 44 lỗ hổng bảo mật trên các ứng dụng chống dịch

Mới đây, Bộ Thông tin và Truyền thông (TT&TT) đã tổ chức Chương trình phát động chiến dịch tìm kiếm lỗ hổng bảo mật cho các nền tảng công nghệ chống dịch.

Tại chương trình, các chuyên gia đã đề cập tới một số nội dung liên quan đến các vấn đề đang được quan tâm gần đây như ứng dụng PC-COVID, Sổ sức khỏe điện tử hay mã QR. Ngoài ra, chương trình cũng giới thiệu tới mọi người nền tảng BugRank, nơi các chuyên gia bảo mật sẽ tìm những lỗ hổng bảo mật ở các doanh nghiệp và nhận thưởng – được gọi là Bug Bounty.

Kết thúc chương trình, ông Trần Quang Hưng, Giám đốc Trung tâm Giám sát An toàn An ninh mạng Quốc gia (NCSC), đơn vị phối hợp cùng VnSecurity để phát triển nền tảng BugRank, đã có chia sẻ thêm về các nền tảng chống dịch cũng như tình hình triển khai trong thời gian qua.

"Xuất phát từ nhu cầu thực tế, tôi nhận thấy tại Việt Nam có rất nhiều chuyên gia giỏi trong lĩnh vực an toàn thông tin. Do vậy, chúng tôi sẽ cố gắng phát động chiến dịch từ ngày 25/8 để tìm kiểm các lỗ hổng, điểm yếu bảo mật trên những nền tảng chống dịch nói chung thuộc Trung tâm Công nghệ phòng, chống dịch COVID-19 quốc gia", ông Hưng chia sẻ.

Lãnh đạo NCSC tiết lộ rằng trong vòng chưa đầy một tháng, đã có 88 chuyên gia tham gia đóng góp cho các nền tảng chống dịch này, trong đó có 44 lỗ hổng bảo mật đã được ghi nhận và xác minh. Đây là những lỗ hổng tồn tại trên các nền tảng chống dịch nói chung, chủ yếu là ứng dụng mobile (bao gồm cả ứng dụng phục vụ cho người dân lẫn cơ quan nhà nước).

Với 44 lỗ hổng đã được ghi nhận, các chuyên gia xác nhận có 16 lỗi thuộc mức độ nghiêm trọng cùng 4 lỗi mức độ cao. Theo ông Hưng, thước đo để đảm bảo an toàn thông tin cho một tổ chức, hệ thống không phải việc bị tấn công mà là việc phát hiện sớm nhất những điểm yếu trong hệ thống, qua đó đưa ra phương án khắc phục nhanh nhất, giảm nguy cơ thiệt hại cho cá nhân và tổ chức.

Về vấn đề bảo mật của những ứng dụng phổ biến với người dân trong thời gian qua như N-Covi, Bluezone,… ông Hưng cho biết: "Trong kết quả chúng tôi ghi nhận được, phần lớn lỗ hổng trên các nền tảng chống dịch đều nằm ở những thành phần khác nhau, chẳng hạn như mục truy vết. Không phải lỗ hổng nào cũng nằm trực tiếp trên các ứng dụng mà người dân cài".

Tuy nhiên, lãnh đạo NCSC cũng khẳng định có thể tồn tại những lỗ hổng bảo mật trên các ứng dụng, chẳng hạn như mã QR code. Người dân có thể vô tình để lộ những hình ảnh chứa mã QR code cá nhân, qua đó khiến người khác có thể đọc được thông tin.

Trong những phiên bản sắp tới, ông Hưng cho biết đơn vị hoàn toàn có khả năng khắc phục được những lỗi tương tự, đồng thời miêu tả cách thức hoạt động: Bản thân mã QR code sẽ được che, chỉ khi cần xác minh, người dùng bấm vào thì mã mới được hiện ra một cách đầy đủ trên ứng dụng.

Ngoài mã QR code, các đối tượng xấu cũng có thể lợi dụng một số lỗ hổng khác để khai thác thông tin, chẳng hạn tấn công phần mềm quản lý các cơ sở y tế. Điều này bắt nguồn từ việc framework vẫn còn một số lỗ hổng, tạo điều kiện cho các đối tượng xâm nhập. "Gần như tất cả những lỗ hổng đấy, chúng tôi đều phát hiện sớm và khắc phục kịp thời".

Hiện tại, các chuyên gia tham dự chương trình do Bộ TT&TT tổ chức phần lớn là người Việt. Thời gian tới, lãnh đạo NCSC kỳ vọng sẽ có nhiều chuyên gia tham dự chương trình, qua đó sớm tìm ra những điểm yếu bảo mật trên các ứng dụng như PC-COVID, Sổ sức khỏe điện tử, Tiêm chủng,… và khắc phục kịp thời.