Lỗ hổng bảo mật nghiêm trọng đe dọa quyền điều khiển xe và dữ liệu khách hàng toàn cầu

Eaton Zveare – chuyên gia bảo mật tại công ty phần mềm Harness đã phát hiện lỗ hổng nghiêm trọng trong cổng thông tin dành cho đại lý của một hãng sản xuất ô tô lớn. Lỗ hổng cho phép tin tặc tạo tài khoản quản trị viên với quyền truy cập không giới hạn vào hệ thống web tập trung của hãng, từ đó có thể xem dữ liệu cá nhân, thông tin tài chính, theo dõi vị trí xe, thậm chí điều khiển một số tính năng từ xa như mở khóa.

Phát hiện được Zveare đưa ra vào đầu năm 2025 trong một dự án cá nhân. Mặc dù khó tìm ra nhưng khi đã khai thác thành công, tin tặc có thể bỏ qua hoàn toàn bước đăng nhập để tạo tài khoản quản trị viên ở cấp quốc gia. Nguyên nhân xuất phát từ việc mã lỗi được tải ngay khi mở trang đăng nhập, cho phép chỉnh sửa để vượt qua cơ chế xác thực.

Theo chuyên gia này, với quyền truy cập nói trên, anh có thể tiếp cận dữ liệu của hơn 1.000 đại lý tại Mỹ, tra cứu thông tin xe và chủ sở hữu chỉ bằng tên hoặc số VIN. Thử nghiệm trên xe của một người bạn cho thấy hệ thống chỉ yêu cầu xác nhận bằng lời nói để chuyển quyền sở hữu tài khoản.

Cổng thông tin còn cho phép đăng nhập một lần để truy cập hệ thống của các đại lý khác và mạo danh người dùng mà không cần mật khẩu – tương tự lỗi từng được phát hiện trên hệ thống của Toyota năm 2023. Bên trong, Zveare phát hiện dữ liệu định danh, một số thông tin tài chính, khả năng theo dõi vị trí thời gian thực của xe đang cho thuê, bảo dưỡng hoặc vận chuyển, thậm chí có thể hủy lệnh vận chuyển.

Ảnh minh họa.

Hãng xe đã khắc phục lỗi ngay khi nhận báo cáo vào tháng 2/2025 và khẳng định chưa có dấu hiệu bị khai thác trước đó. Tuy nhiên, Zveare cảnh báo: “Chỉ cần hai lỗ hổng API đơn giản cũng đủ phá tung cánh cửa bảo mật”.

Không chỉ ngành ô tô, lĩnh vực hàng không cũng vừa ghi nhận sự cố tương tự. Air France và KLM – hai hãng hàng không lớn của châu Âu thông báo về vụ vi phạm dữ liệu do tin tặc xâm nhập vào nền tảng của một đối tác thứ ba. Sự cố được phát hiện khi đội ngũ an ninh nhận thấy hoạt động bất thường, sau đó đã phối hợp với nhà cung cấp để ngăn chặn và tăng cường bảo mật.

Theo hai hãng, hệ thống nội bộ không bị ảnh hưởng và các dữ liệu nhạy cảm như mật khẩu, thông tin hộ chiếu, thẻ tín dụng hay số dư dặm bay vẫn được bảo toàn. Tuy nhiên, thông tin bị lộ bao gồm họ tên, email, số điện thoại, số thẻ thành viên chương trình khách hàng thân thiết (Blue Flyer) và hạng thẻ.

Vụ việc này có nhiều điểm tương đồng với cuộc tấn công vào hãng Qantas của Úc hồi tháng 7/2025, khi tin tặc khai thác hệ thống tổng đài để xâm nhập nền tảng dịch vụ của bên thứ ba và đánh cắp 6 triệu hồ sơ khách hàng. Nhóm Scattered Spider bị nghi đứng sau các vụ tấn công này.

Một câu hỏi đang được giới an ninh mạng đặt ra: liệu Qantas, Air France và KLM có cùng sử dụng nền tảng Salesforce – hệ thống đang bị tin tặc nhắm đến hay không. Trước đó, nhiều thương hiệu lớn như Allianz Life, Cisco, Louis Vuitton, Chanel và Christian Dior cũng bị truy cập dữ liệu qua đối tác thứ ba, nhưng từ chối tiết lộ nền tảng họ sử dụng. Tính đến nay, Google là công ty duy nhất công khai thừa nhận tin tặc đã đánh cắp thông tin khách hàng doanh nghiệp từ Salesforce thông qua hình thức lừa đảo qua giọng nói (voice phishing) để chiếm quyền đăng nhập của nhân viên.

 Thanh Hiền (t/h)