Phát biểu tại buổi thuyết trình có tên “Tôi sẽ giết bạn” trong khuôn khổ Hội nghị bảo mật thường niên Def Con diễn ra ở Las Vegas (Mỹ), chuyên gia bảo mật Chris Rock của hãng bảo mật Kustodian (Úc) đã đưa ra kịch bản rằng một người đang sống có thể bị chuyển sang trạng thái “chết” trên giấy, khi hacker có thể khai thác các lỗ hổng bảo mật trên hệ thống đăng ký khai sinh, khai tử kỹ thuật số tại một số quốc gia, trong đó có Úc.
Chris Rock cho rằng một số người có thể khai thác các lỗ hổng bảo mật để tự “giết chết” mình nhằm lấy tiền bảo hiểm nhân thọ mà họ được chi trả, hoặc có thể “giết chết” người khác trên giấy tờ nhằm mục đích trả thù hoặc gây phiền toái cho các thủ tục hành chính về sau.
Những “nạn nhân” này sẽ không biết rằng mình đã “chết” trên danh nghĩa cho đến khi thực hiện các thủ tục hành chính như đổi mới bằng lái xe hoặc hộ chiếu.
Bên cạnh đó, Chris Rock cho rằng các hacker cũng có thể dễ dàng tạo ra những em bé “ảo” trên hệ thống quản lý dân số trực tuyến, nhằm các mục đích xấu như nhận tiền trợ cấp cho đến khi những đứa trẻ “ảo” này đến tuổi trưởng thành. Sau 18 năm, những tin tặc có thể lợi dụng tên tuổi của những em bé “ảo” mà mình đã tạo ra trước đó cho các mục đích tội phạm.
Chris Rock cho biết mình đã hoàn toàn sốc khi phát hiện ra rằng quá trình khai tử cũng như khai sinh trên các hệ thống quản lý dân số kỹ thuật số của chính phủ Úc được thực hiện rất dễ dàng.
“Họ thậm chí còn không muốn bảo mật quá trình này”, Chris Rock cho biết. “Tôi có thể “giết chết” bất kỳ ai ở bất kỳ bang nào”.
Để khai tử một người tại Úc thông qua hệ thống quản lý dân số đòi hỏi phải có xác nhận của bác sĩ và giám đốc dịch vụ tang lễ. Trước đây quá trình này đỏi hỏi giấy xác nhận, nhưng hiện tại một số tiểu bang như Victoria, Queensland, Nam Úc đã chuyển sang hệ thống trực tuyến. Các hệ thống này không đòi hỏi đăng nhập và thông thường chỉ cần tên bác sĩ, số xác minh danh tính đã được khai báo của bác sĩ...
Vấn đề đặt ra là những thông tin chi tiết này đều có thể truy cập công khai trên trang web của Cơ quan Quy chế Sức khỏe Chuyên môn của Úc, để cho phép các bệnh nhân có thể xác nhận bác sĩ đang chăm sóc mình là hợp pháp, tuy nhiên bên cạnh đó các hacker cũng có thể khai thác các thông tin này.
Bước thứ 2 của quá trình khai tử đó là chữ ký của giám đốc dịch vụ tang lễ, bao gồm cả cách thức để xử lý thi thể, cũng có thể được hacker làm giả dễ dàng bằng cách mạo nhận danh tính của một giám đốc dịch vụ tang lễ. Hoặc đơn giản hơn, một người bất kỳ cũng có thể đăng ký để trở thành giám đốc dịch vụ tang lễ tại Úc một cách dễ dàng chỉ bằng cách điền vào một mẫu đơn nhỏ.
Để chứng minh điều này, trong quá trình nghiên cứu về vấn đề “giết người trên Internet”, Chris Rock đã làm một trang web giả về dịch vụ tang lễ, trong đó anh cũng đã nộp đơn đăng ký để trở thành giám đốc dịch vụ tang lễ và bất ngờ đơn của anh đã được phê duyệt sau vài ngày.
Chris Rock cho rằng sở dĩ chính phủ Úc muốn quá trình khai sinh, khai tử được thực hiện dễ dàng nhằm giúp quá trình khai báo được thực hiện đơn giản, tuy nhiên đây cũng là “con dao hai lưỡi” để tin tặc và những tên tội phạm mạng có thể khai thác.
Chuyên gia bảo mật này cho biết ông bắt đầu nghiên cứu về vấn đề “khai sinh, khai tử” từ một năm trước đây sau khi bệnh viện Austin tại bang Victoria đã vô tình tuyên khai báo 200 bệnh nhân đã chết. Đây là một lỗi do quá trình khai tử trực tuyến.
Hiện tại Cơ quan quản lý khai sinh, khai tử và kết hôn của bang Victoria đang nắm giữ 14 triệu hồ sơ và mỗi năm có thêm 77.000 khai sinh mới, 37.000 khai tử, 29.000 đơn đăng ký kết hôn và 11.000 giấy đăng ký đổi tên. Đây là cơ quan được Chris Rock khai thác các lỗ hổng cho nghiên cứu cũng như làm ví dụ minh họa cho bài thuyết trình của mình.
Theo Chris Rock, mặc dù đang nắm giữ các thông tin quan trọng nhưng cơ quan này lại thiếu đi sự bảo mật cần thiết. Bên cạnh đó, cho dù nếu hệ thống của một bang này được bảo mật đủ mạnh thì chỉ cần hệ thống tại một bang khác thiếu bảo mật cũng có thể bị hacker lợi dụng vì mục đích xấu.
“Đây là vấn đề toàn cầu”, Chris Rock cảnh báo, trong bối cảnh nhiều quốc gia đang áp dụng các hệ thống khai báo và khai tử trực tuyến thì hacker luôn có những biện pháp để khai thác vào các hệ thống cho những mục đích khác nhau.
Bình luận (0)