Năm 2020 là năm rất khắc nghiệt đối với bảo vệ dữ liệu cá nhân, vì nó đã đánh dấu một số lượng kỷ lục lớn về thông tin xác thực và dữ liệu PI bị rò rỉ.
Con số khổng lồ 20 tỷ hồ sơ đã bị đánh cắp trong một năm, tăng 66% so với 12 tỷ vào năm 2019. Đáng kinh ngạc, đây là mức tăng gấp 9 lần so với số lượng tương đối “nhỏ” 2,3 tỷ hồ sơ bị đánh cắp trong năm 2018.
Xu hướng này dường như phù hợp với cấp số mũ; thậm chí tệ hơn, chúng ta vẫn chưa thấy những thất bại từ chiến dịch “Solorigate”, có khả năng làm giảm ngay cả những con số này vào cuối năm 2021.
Được tìm thấy trong số dữ liệu bị rò rỉ là:
- Tên người dùng
- Mật khẩu
- Thẻ tín dụng
- Chi tiết tài khoản ngân hàng
- Thông tin chăm sóc sức khỏe và dữ liệu cá nhân khác.
Những kẻ độc hại sử dụng kho tàng thông tin này để lừa đảo và tấn công trong tương lai.
Chỉ trong quý đầu tiên của năm 2020, chính phủ Hà Lan quản lý để mất một ổ cứng chứa dữ liệu bí mật của công dân. Trong khi đó, chính phủ Anh đã tiết lộ 28 triệu dữ liệu trẻ em cho các công ty cá cược và Microsoft đã tiết lộ 250 triệu hồ sơ hỗ trợ khách hàng – bao gồm dữ liệu địa lý, địa chỉ IP và thông tin cá nhân khác của khách hàng.
Đến tháng 4, Zoom đã mất 500.000 mật khẩu khi bắt đầu giai đoạn làm việc từ xa trên toàn cầu. Vào tháng 6 của quý 2, Oracle cũng đã làm rò rỉ hàng tỷ dữ liệu theo dõi web bằng cách lưu trữ dữ liệu trên một máy chủ không an toàn.
Quý 3 bắt đầu với ứng dụng chiến dịch của Joe Biden tiết lộ dữ liệu cử tri nhạy cảm của hàng triệu người dùng. Tiếp theo là 300.000 người dùng Spotify trở thành nạn nhân của các nỗ lực tiếp quản tài khoản sau khi thông tin đăng nhập của họ được công khai.
Năm kết thúc với Solorigate: một sự cố có tác động lâu dài vẫn chưa được nhìn thấy đầy đủ. Cuối cùng, năm 2020 đã khép lại với tổng cộng 1114 sự cố, với một số chính phủ và các thương hiệu nổi tiếng — chẳng hạn như Estee Lauder, Marriott, Nintendo và GoDaddy — liên quan đến các vụ vi phạm quy mô lớn.
Nỗ lực chống rò rỉ dữ liệu
Xu hướng vi phạm dữ liệu này khá thất vọng khi so sánh với con số đáng kinh ngạc 120 tỷ đô la trong chi tiêu bảo mật CNTT toàn cầu, con số này đã tăng lên nhanh chóng mỗi năm.
Giải pháp khả thi duy nhất cho sự không nhất quán này nằm ở nhận thức của người dùng và khả năng các công nghệ hiện có đang thiếu điều gì đó quan trọng để lật ngược tình thế đối với những xu hướng này.
Nguyên nhân phổ biến nhất đằng sau vi phạm dữ liệu là do rò rỉ một số biện pháp xác thực – đây có thể là tên người dùng, mật khẩu, mã thông báo, khóa API hoặc máy chủ hoặc ứng dụng không có mật khẩu cẩu thả.
Người dùng đang đăng ký vào các trang web và dịch vụ của bên thứ ba bằng địa chỉ email và thông tin đăng nhập của công ty mỗi ngày. Song song đó, chúng tạo ra những điểm mù lớn trong tầm nhìn và một lĩnh vực Shadow IT mà cho đến nay chưa có công cụ kiểm toán hoặc bảo mật nào có thể giảm thiểu được. Mỗi nhân viên có khoảng 200 tài khoản – cứ 1.000 nhân viên thì có 200.000 mật khẩu không xác định hoặc yếu, nhiều trong số đó có thể liên quan đến công ty.
Khi các bên thứ ba này bị xâm nhập, thông tin xác thực có thể được sử dụng lại để truy cập trái phép vào các dịch vụ khác của công ty, chẳng hạn như tài khoản email hoặc máy chủ VPN, sử dụng các kỹ thuật tấn công như nhồi nhét thông tin xác thực hoặc phun mật khẩu.
Đây chính xác là trường hợp của British Airways, hãng đã nhận khoản phạt GDPR kỷ lục 20 triệu bảng sau khi dữ liệu của 400.000 hành khách bị vi phạm, được khởi tạo thông qua một cổng VPN được truy cập bởi một tài khoản bị xâm phạm.
Hầu hết các tổ chức lớn sử dụng công nghệ ngăn chặn rò rỉ dữ liệu nhưng không bảo vệ được việc rò rỉ mật khẩu và chiếm đoạt tài khoản. Điều này cho thấy nhu cầu rõ ràng về một cách tiếp cận mới – kết hợp giữa các biện pháp kiểm soát công nghệ và cải thiện nhận thức của người dùng ngay lập tức nhằm triển khai quan điểm mới về bảo vệ tài khoản.
Source: Thehackernews
Fanpage: Trí Việt JSC