Ảnh minh họa. RNZ

Ngày 31/12, ManageMyHealth cho biết đã phát hiện một sự cố an ninh mạng liên quan đến hành vi “truy cập trái phép” vào nền tảng của mình. Công ty đang phối hợp với các chuyên gia kỹ điều tra thuật số quốc tế độc lập để xác minh lỗ hổng và đánh giá quy mô dữ liệu bị ảnh hưởng.

Theo ước tính ban đầu, khoảng 6–7% trong tổng số 1,8 triệu người dùng đã đăng ký có thể bị tác động. ManageMyHealth cho biết sẽ bắt đầu thông báo trực tiếp tới các khách hàng bị ảnh hưởng trong vòng 48 giờ.

Cơ quan chức năng vào cuộc, cảnh sát được thông báo

Ông Vino Ramayah, Giám đốc điều hành ManageMyHealth, khẳng định sự cố đã được khoanh vùng và kiểm soát, vụ việc đang trong quá trình điều tra.

“Chúng tôi hiểu rõ mức độ nhạy cảm của thông tin sức khỏe cá nhân và những lo lắng mà sự cố này có thể gây ra. ManageMyHealth đang làm việc khẩn trương để xác định các trường hợp bị ảnh hưởng và cam kết trao đổi minh bạch, trực tiếp với người dùng”, ông Ramayah nhấn mạnh.

Công ty cho biết đã thông báo cho Văn phòng Ủy viên Quyền riêng tư New Zealand, đồng thời báo cáo vụ việc cho cảnh sát, đáp ứng các nghĩa vụ theo luật bảo vệ dữ liệu cá nhân.

Chính phủ cũng đang tìm kiếm sự đảm bảo từ phía cơ quan y tế. Bộ trưởng phụ trách y tế Karen Chhour mô tả vụ việc là “đáng lo ngại nghiêm trọng”, nhấn mạnh yêu cầu ManageMyHealth phải truyền thông minh bạch để duy trì niềm tin công chúng.

Người phát ngôn của Bộ Y tế New Zealand nói với đài RNZ rằng họ đang làm việc "chặt chẽ" với các nhà điều hành ứng dụng:

"Bộ trưởng Y tế đã yêu cầu cơ quan y tế quốc gia New Zealand (Health NZ) và công ty Manage My Health khẩn cấp đảm bảo rằng mọi biện pháp đang được thực hiện để bảo vệ dữ liệu bệnh nhân và quyền riêng tư của bệnh nhân. Chúng tôi cũng kỳ vọng Manage My Health sẽ truyền đạt thông tin một cách minh bạch để đảm bảo niềm tin của công chúng vào sản phẩm của họ."

Nghi vấn giao thức mã hóa lỗi thời, nhóm tin tặc yêu cầu tiền chuộc

Trong khi ManageMyHealth chưa công bố chi tiết kỹ thuật, chuyên gia an ninh mạng Daniel Ayers cho rằng hệ thống của nền tảng này có thể đã sử dụng giao thức mã hóa bảo vệ dữ liệu lỗi thời TLS 1.2 (ra đời từ năm 2008), không đáp ứng các tiêu chuẩn bảo mật hiện đại.

Theo Ayers, một nhóm tội phạm mạng có tên Kazu đã tuyên bố đánh cắp khoảng 108 GB dữ liệu, tương đương hơn 400.000 tệp tin, và đưa ra yêu cầu tiền chuộc 60.000 USD, hạn chót là ngày 15/1.

“Nếu những tuyên bố này là chính xác, đây sẽ là một trong những vụ rò rỉ dữ liệu y tế lớn nhất tại New Zealand, thậm chí vượt quy mô vụ tấn công hệ thống y tế Waikato trước đây”, ông Ayers nhận định, đồng thời cảnh báo cần nghiêm túc xem xét khả năng đây là một vụ tấn công tống tiền (ransomware.)

Bác sĩ và bệnh nhân lo lắng vì thiếu thông tin

Dù doanh nghiệp khẳng định sự cố đã được kiểm soát, nhiều bác sĩ gia đình (GPs) cho biết họ chỉ biết thông tin qua truyền thông, trong khi chưa nhận được bất kỳ hướng dẫn chính thức nào.

Tiến sĩ Luke Bradford, Chủ tịch Hiệp hội Bác sĩ Gia đình New Zealand, cho rằng việc thiếu thông tin là “rất thất vọng”, bởi ManageMyHealth là công cụ thiết yếu giúp bệnh nhân tiếp cận và quản lý hồ sơ y tế cá nhân.

“Nếu dữ liệu không an toàn, thì thông tin riêng tư nhất của bệnh nhân cũng không an toàn”, ông nói.

Chủ tịch General Practice NZ, bác sĩ Bryan Betty, cũng nhấn mạnh mọi vụ xâm phạm dữ liệu y tế đều phải được xử lý với mức độ khẩn cấp cao nhất, kèm theo minh bạch đầy đủ cho cả bệnh nhân lẫn các cơ sở y tế đang sử dụng nền tảng này.

Vụ việc ManageMyHealth một lần nữa cho thấy ngành y tế - với lượng dữ liệu nhạy cảm khổng lồ - đang trở thành mục tiêu hấp dẫn của tội phạm mạng. Các chuyên gia cảnh báo, song song cùng với tiến trình đầu tư công nghệ, các nền tảng y tế số cần thường xuyên rà soát tiêu chuẩn mã hóa, kiểm thử an ninh và xây dựng kịch bản ứng phó minh bạch để hạn chế rủi ro cho bệnh nhân.

An Lâm (Theo RNZ)