Những hộ chiếu mới của Somali. Ảnh: Finbarr O'Reilly/Reuters

Theo điều tra của Al Jazeera, lỗ hổng này xuất phát từ việc trang web e-visa của Somalia thiếu các cơ chế bảo mật cơ bản. Thông tin được xác nhận trong tuần này sau khi một nguồn tin có chuyên môn về phát triển web cảnh báo về nguy cơ rò rỉ dữ liệu.

Nguồn tin cho biết đã gửi bằng chứng và thông báo trực tiếp tới các cơ quan chức năng Somalia từ tuần trước nhằm cảnh báo về lỗ hổng, nhưng không nhận được phản hồi và sự cố vẫn chưa được khắc phục.

Dữ liệu hộ chiếu người nộp đơn có thể bị tải xuống hàng loạt

Al Jazeera cho biết họ đã tái hiện thành công lỗ hổng mà nguồn tin phát hiện, qua đó có thể tải xuống trong thời gian ngắn nhiều hồ sơ e-visa chứa dữ liệu cá nhân nhạy cảm của hàng chục người mang quốc tịch khác nhau, bao gồm Somalia, Bồ Đào Nha, Thụy Điển, Mỹ và Thụy Sĩ.

“Những vụ rò rỉ dữ liệu cá nhân nhạy cảm đặc biệt nguy hiểm vì có thể dẫn tới đánh cắp danh tính, lừa đảo tài chính hoặc bị các đối tượng xấu khai thác cho mục đích tình báo,” bà Bridget Andere, chuyên gia phân tích chính sách cấp cao của tổ chức bảo vệ quyền số Access Now nhận định.

Al Jazeera cho biết đã gửi câu hỏi và tiếp tục cảnh báo chính phủ Somalia về lỗ hổng này nhưng chưa nhận được bất kỳ phản hồi chính thức nào từ phía các cơ quan chức năng quốc gia này.

Lỗ hổng bảo mật được phát hiện chỉ một tháng sau vụ rò rỉ dữ liệu lớn

Đáng chú ý, sự cố mới xảy ra chỉ một tháng sau khi hệ thống e-visa Somalia bị tin tặc tấn công, khiến dữ liệu của hơn 35.000 người nộp đơn xin visa bị rò rỉ.

Trước đó, chính phủ Mỹ và Anh đã phát đi cảnh báo về vụ việc. Theo Đại sứ quán Mỹ tại Somalia, dữ liệu bị lộ bao gồm tên, ảnh, ngày và nơi sinh, email, tình trạng hôn nhân và địa chỉ nhà riêng của người xin visa.

Sau vụ tấn công, Cơ quan Di trú và Quốc tịch Somalia (ICA) đã chuyển hệ thống e-visa sang một tên miền mới nhằm tăng cường bảo mật, đồng thời tuyên bố mở cuộc điều tra và coi sự việc là vấn đề “đặc biệt quan trọng”.

Tuy nhiên, theo Access Now, việc tái triển khai hệ thống khi chưa khắc phục triệt để rủi ro cho thấy sự thiếu chuẩn bị trong quản trị an ninh mạng.

“Việc vội vàng triển khai hạ tầng số, rồi tái vận hành sau một vụ rò rỉ nghiêm trọng, là ví dụ điển hình cho cách tiếp cận xem nhẹ quyền và mối quan ngại của người dân, từ đó làm xói mòn niềm tin công chúng và tạo ra những lỗ hổng hoàn toàn có thể tránh được,” bà Andere nhấn mạnh.

Trách nhiệm pháp lý với người dùng chưa được thực hiện?

Theo chuyên gia Access Now, luật bảo vệ dữ liệu của Somalia yêu cầu cơ quan quản lý dữ liệu phải thông báo cho cơ quan bảo vệ dữ liệu. Trong các trường hợp rủi ro cao, phải thông báo trực tiếp cho những cá nhân bị ảnh hưởng. Tuy nhiên, đến nay, phía Somalia chưa ban hành bất kỳ thông báo chính thức nào về vụ rò rỉ dữ liệu nghiêm trọng xảy ra hồi tháng 11.

“Trường hợp này cần có biện pháp bảo vệ nghiêm ngặt hơn vì liên quan đến công dân nhiều quốc gia, kéo theo các vấn đề pháp lý xuyên biên giới,” bà Andere cảnh báo.

Vì lý do an toàn, Al Jazeera cho biết họ không công bố chi tiết kỹ thuật của lỗ hổng, nhằm tránh tạo điều kiện cho tin tặc khai thác. Toàn bộ dữ liệu nhạy cảm thu thập được trong quá trình điều tra cũng đã bị tiêu hủy để bảo vệ quyền riêng tư của các nạn nhân.

Theo các chuyên gia, nhiều chính phủ trên thế giới thường triển khai hệ thống e-visa trong thời gian gấp rút để thúc đẩy du lịch, điều đó có thể dẫn đến những lỗ hổng bảo mật ngay từ khâu thiết kế hệ thống do không được kiểm thử chặt chẽ.

“Người dân gần như không có khả năng tự bảo vệ mình trong những vụ rò rỉ như vậy, vì dữ liệu cá nhân là điều bắt buộc phải cung cấp để hoàn tất thủ tục,” bà Andere nhận định. “Bảo vệ dữ liệu và an ninh mạng thường là những yếu tố đầu tiên bị bỏ qua.”

Những lỗ hổng bảo mật trên hệ thống e-visa của Somalia, trong tình huống bị tấn công mạng sẽ ảnh hưởng rất lớn đến người dùng trên toàn thế giới, có thể gây ra hậu quả nghiêm trọng, đặc biệt trong lĩnh vực đầu tư và du lịch đối với quốc gia này.

An Lâm (Theo Al Jazeera)