Hãy tưởng tượng bạn đang gửi thư tình qua bưu điện nhưng quên không bỏ vào phong bì - đó chính là tình cảnh của 3 triệu máy chủ FTP đang hoạt động trên Internet. Một nghiên cứu mới từ SecurityWeek cho thấy một nửa trong tổng số 6 triệu máy chủ FTP (File Transfer Protocol) công khai trên toàn cầu đang vận hành mà không có bất kỳ lớp mã hóa bảo vệ nào. Con số này không chỉ gây choáng váng mà còn phản ánh thực trạng đáng báo động về tình hình bảo mật dữ liệu toàn cầu.

Khi quá khứ trở thành cơn ác mộng hiện tại

FTP - giao thức truyền tập tin được phát triển từ năm 1971, tức là đã 'sống' được hơn nửa thế kỷ. Trong thời đại Internet sơ khai, việc bảo mật chưa được coi trọng như ngày nay. FTP ra đời với mục đích đơn giản: giúp máy tính truyền file cho nhau một cách nhanh chóng và đơn giản nhất có thể. Tuy nhiên, sự đơn giản này lại trở thành lỗ hổng chết người trong thời đại số hiện tại.

Chúng tôi cho rằng việc tiếp tục sử dụng FTP không mã hóa giống như việc để cửa nhà rộng mở trong khu phố đầy trộm cướp. Dữ liệu truyền qua FTP truyền thống hoàn toàn 'khỏa thân' - username, password, và toàn bộ nội dung file đều hiển thị dưới dạng plain text (văn bản thô). Bất kỳ ai có kiến thức cơ bản về network monitoring (giám sát mạng) đều có thể dễ dàng đánh cắp thông tin này.

Cuộc săn lùng dữ liệu không khoan nhượng

Các chuyên gia an ninh mạng đã cảnh báo về nhiều loại tấn công nhắm vào máy chủ FTP không bảo mật. Man-in-the-middle attack (tấn công người ở giữa) cho phép kẻ tấn công chặn bắt và sửa đổi dữ liệu đang được truyền. Packet sniffing (đánh hơi gói tin) giúp hacker thu thập thông tin đăng nhập và dữ liệu nhạy cảm. Brute force attack (tấn công vét cạn) có thể dễ dàng thành công do nhiều máy chủ FTP sử dụng mật khẩu yếu mà không có cơ chế bảo vệ bổ sung.

Đặc biệt nghiêm trọng là các cuộc tấn công credential stuffing (nhồi thông tin đăng nhập), trong đó hacker sử dụng các cặp username/password đã bị rò rỉ từ các vụ vi phạm dữ liệu khác để thử nghiệm trên hàng loạt máy chủ FTP. Theo thống kê của các nhóm nghiên cứu bảo mật, tỷ lệ thành công của phương pháp này có thể lên tới 0.1-2%, con số tưởng nhỏ nhưng với hàng triệu máy chủ FTP thì số lượng bị xâm nhập sẽ rất đáng kể.

Tác động lan rộng từ cá nhân đến doanh nghiệp

Hậu quả của việc sử dụng FTP không mã hóa không chỉ dừng lại ở việc mất dữ liệu. Các doanh nghiệp có thể đối mặt với việc rò rỉ thông tin khách hàng, tài liệu nội bộ, mã nguồn phần mềm, và các tài liệu tài chính nhạy cảm. Theo GDPR và các luật bảo vệ dữ liệu cá nhân, các công ty có thể bị phạt lên tới 4% doanh thu hàng năm nếu để xảy ra rò rỉ dữ liệu do thiếu biện pháp bảo mật cơ bản.

Tại Việt Nam, Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân cũng quy định mức phạt lên tới 5% tổng doanh thu của năm liền kề đối với các vi phạm nghiêm trọng. Chúng tôi ước tính có khoảng 15.000-20.000 máy chủ FTP của Việt Nam đang kết nối trực tiếp với Internet, trong đó ít nhất 40% đang hoạt động mà không có mã hóa đầy đủ.

Lộ trình nâng cấp bảo mật khẩn cấp

Giải pháp tức thì là chuyển đổi sang FTPS (FTP Secure) hoặc SFTP (SSH File Transfer Protocol). FTPS sử dụng SSL/TLS encryption để mã hóa toàn bộ quá trình truyền dữ liệu, trong khi SFTP hoạt động thông qua SSH tunnel (đường hầm SSH) để đảm bảo bảo mật cao hơn. Các quản trị viên hệ thống cần thiết lập certificate SSL hợp lệ, cấu hình firewall chặn port 21 (FTP truyền thống) và chỉ cho phép kết nối qua port 22 (SFTP) hoặc port 990 (FTPS).

Đối với người dùng cuối, chúng tôi khuyến nghị ngay lập tức kiểm tra tất cả các ứng dụng và dịch vụ đang sử dụng FTP. Nâng cấp lên các phần mềm FTP client hỗ trợ FTPS/SFTP như FileZilla Pro, WinSCP, hoặc Cyberduck. Đồng thời, thay đổi toàn bộ mật khẩu đã từng sử dụng với FTP không mã hóa và kích hoạt xác thực hai yếu tố (2FA) nếu có thể. Thời gian vàng để vá lỗ hổng này đang dần cạn kiệt trước khi tin tặc khai thác triệt để.