 |
| Các hệ thống AI được thiết kế để chống gian lận danh tính lại đang trở thành nguồn rò rỉ dữ liệu khổng lồ cho tội phạm mạng. Ảnh minh hoạ. |
Kho dữ liệu bị lộ bao gồm số giấy tờ tùy thân, họ tên đầy đủ, địa chỉ, số điện thoại và email. Trong đó, Mỹ là quốc gia chịu ảnh hưởng nặng nề nhất với hơn 200 triệu hồ sơ bị phơi bày.
Theo nhóm nghiên cứu Cybernews, các cơ sở dữ liệu bị lộ (nhiều bộ dữ liệu nằm trong cùng một máy chủ MongoDB) được phát hiện ngày 11/11. Đơn vị liên quan được xác định là IDMerit, một nhà cung cấp dịch vụ xác thực danh tính kỹ thuật số dựa trên công nghệ AI. Dù lỗ hổng đã được vá ngay sau khi có thông báo, nhưng các chuyên gia cảnh báo rằng dữ liệu khó có thể không bị giới tội phạm mạng chú ý.
Báo cáo an ninh cho thấy các cơ sở dữ liệu này chứa thông tin định danh khách hàng (KYC - Know Your Customer). Đây là loại dữ liệu vốn được các tổ chức tài chính sử dụng để xác minh danh tính nhiều bước nhằm ngăn chặn gian lận và tài trợ khủng bối. Trớ trêu thay, chính những dữ liệu dùng để chống gian lận này lại bị rò rỉ và có thể trở thành “mỏ vàng” cho tội phạm mạng.
Chưa dừng lại ở đó, vào ngày 19/2, nhóm nghiên cứu tiếp tục công bố một vụ rò rỉ dữ liệu AI khác. Lần này, mục tiêu bị ảnh hưởng là người dùng ứng dụng Android có tên "Video AI Art Generator & Maker" - một ứng dụng cung cấp dịch vụ biến ảnh selfie thành các tác phẩm điện ảnh với hơn 500.000 lượt tải xuống.
Hàng triệu tệp tin đa phương tiện đã bị bỏ ngỏ do lỗi cấu hình lưu trữ đám mây, cho phép bất kỳ ai cũng có thể truy cập mà không cần xác thực. Các dữ liệu bị lộ bao gồm: 2,87 triệu video và hình ảnh do AI tạo ra; 386.000 tệp âm thanh AI. Đặc biệt là 385.000 video và 1,57 triệu hình ảnh gốc do người dùng tải lên.
Nhà phát triển ứng dụng này, Codeway, đã thực hiện thắt chặt bảo mật dữ liệu vào ngày 3/2 sau khi nhận được cảnh báo.
Ngoài Mỹ, dữ liệu của người dùng từ 25 quốc gia khác bao gồm Đức, Pháp, Trung Quốc và Brazil cũng nằm trong phạm vi rò rỉ. Thông tin cá nhân bị lộ trong vụ việc bao gồm họ tên đầy đủ, địa chỉ, mã bưu chính, ngày sinh, số giấy tờ định danh quốc gia, số điện thoại, giới tính, địa chỉ email và metadata viễn thông.
Với quy mô rò rỉ lên tới hàng tỷ bản ghi bao gồm cả thông tin viễn thông (metadata), các chuyên gia cảnh báo về những rủi ro hạ nguồn như: chiếm đoạt tài khoản, lừa đảo có chủ đích (phishing), gian lận tín dụng, hoán đổi SIM (SIM swap) và các tổn hại quyền riêng tư dài hạn.
Dù những sự cố kể trên không xuất phát từ các lỗ hổng phần mềm phức tạp hay mã độc tinh vi, nhưng việc dữ liệu cá nhân bị phơi bày rộng rãi chính là “phát súng” mở màn cho phần lớn các cuộc tấn công mạng nguy hiểm sau này.
Trước thực trạng đó, các chuyên gia an ninh mạng khuyến cáo người dùng nên chủ động kiểm tra địa chỉ email trên những nền tảng uy tín như Have I Been Pwned để xác định liệu thông tin cá nhân của mình có nằm trong danh sách rò rỉ hay không. Bên cạnh đó, việc sử dụng trình quản lý mật khẩu và chuyển đổi sang mã khóa (passkey) là những biện pháp cấp thiết để tăng cường lớp bảo vệ.
Cuối cùng, sự tỉnh táo và tinh thần cảnh giác cao độ trước các chiến dịch lừa đảo qua tin nhắn hay email vẫn là 'lá chắn' quan trọng nhất để người dùng tự bảo vệ mình trong không gian số.
Lệ Thanh (theo Forbes)
Bình luận