Theo MalwareBytes, chụp ảnh lấy liền (Photo booth) đang là hoạt động phổ biến tại các đám cưới, lễ hội âm nhạc hay sự kiện thương mại. Chỉ cần nhấn nút, người dùng sẽ có ngay một tấm ảnh kỷ niệm vui nhộn. Tuy nhiên, đằng sau sự tiện lợi đó là một rủi ro bảo mật khổng lồ vừa được phanh phui.
Thú vui chụp ảnh Photo Booth có thể khiến bạn lộ toàn bộ ảnh riêng tư
Mới đây, một nhà nghiên cứu bảo mật với biệt danh Zeacer đã lên tiếng cảnh báo về một lỗ hổng nghiêm trọng trong hệ thống của Hama Film - một công ty Úc chuyên cung cấp dịch vụ Photo Booth cho các sự kiện lớn. Theo đó, hệ thống trang web lưu trữ hình ảnh của công ty này tồn tại một lỗi sơ đẳng, cho phép bất kỳ ai cũng có thể tải xuống hình và video riêng tư của hàng trăm khách hàng khác mà không cần bất kỳ bước đăng nhập nào.
Chụp ảnh ở các quầy Photo Booth tiềm ẩn nguy cơ rò rỉ hình ảnh nghiêm trọng
ẢNH: CHỤP MÀN HÌNH MALWAREBYTES
Cơ chế hoạt động của các quầy này thường là chụp ảnh, in tại chỗ và tải bản mềm lên trang web để khách tải về sau. Bạn sẽ kỳ vọng những tấm ảnh ghi lại khoảnh khắc 'xõa' hết mình cùng bạn bè, hay những phút giây hớ hênh trong các bữa tiệc độc thân sẽ được bảo mật kỹ lưỡng. Nhưng thực tế lại phũ phàng.
Theo trang tin công nghệ TechCrunch, trang web của Hama Film mắc một lỗi bảo mật cực kỳ cơ bản (thường liên quan đến việc đặt tên file hoặc đường dẫn theo quy luật dễ đoán). Kẻ xấu chỉ cần viết một đoạn mã (script) đơn giản là có thể tự động quét và tải về toàn bộ khoảnh khắc riêng tư của người lạ.
Nhiều người có thể tặc lưỡi: "Lộ vài cái ảnh vui vẻ thì có sao?". Tuy nhiên, trong kỷ nguyên của công nghệ nhận diện khuôn mặt và AI (trí tuệ nhân tạo), rủi ro là rất lớn khi:
- Danh tính bị lộ: Khách tham dự sự kiện thường đeo thẻ tên, dây đeo của công ty, khiến việc định danh trở nên dễ dàng.
- An toàn cho trẻ em: Nếu đó là những bức ảnh gia đình có trẻ nhỏ, việc chúng lọt vào tay kẻ xấu hoặc nằm vĩnh viễn trong ổ cứng của ai đó là một cơn ác mộng.
Điều đáng lo ngại hơn cả là thái độ của đơn vị cung cấp dịch vụ. Theo các báo cáo, Hama Film đã không phản hồi cảnh báo của nhà nghiên cứu Zeacer. Thay vì vá lỗi triệt để (như đặt mật khẩu, mã hóa đường dẫn), họ chỉ lẳng lặng rút ngắn thời gian lưu trữ file từ 2 - 3 tuần xuống còn 24 giờ. Động thái này chỉ làm giảm khả năng tấn công chứ không ngăn được việc hacker chạy công cụ quét ảnh hằng ngày.
Vụ việc này gợi nhớ đến sự cố của mạng xã hội Parler năm 2021 (lộ 60 TB dữ liệu) hay vụ rò rỉ 885 triệu hồ sơ của First American Financial Corp năm 2019. Tất cả đều đến từ những lỗi bảo mật cơ bản nhưng bị bỏ qua.
Đối với người dùng cá nhân, nếu bạn đã sử dụng dịch vụ này, đáng tiếc là không có cách nào để biết ảnh của mình đã bị ai tải về hay chưa. Đối với các tổ chức, công ty khi thuê dịch vụ Photo Booth cho sự kiện, cần đặt câu hỏi nghiêm túc về quy trình bảo mật dữ liệu: Ảnh được lưu bao lâu? Link tải có mật khẩu không? Và nhà cung cấp có được kiểm toán bảo mật định kỳ hay không?
