Hàng triệu bệnh nhân đang chịu cảnh 'lột trần' trước mặt tội phạm mạng khi thông tin sức khỏe cực kỳ riêng tư của họ bị đánh cắp. Nền tảng telemedicine (khám bệnh từ xa qua internet) Hims vừa xác nhận bị tin tặc xâm nhập, để lộ loại dữ liệu nhạy cảm nhất trong hệ thống PHI (Protected Health Information - thông tin sức khỏe được bảo vệ). Khác với các vụ rò rỉ thông thường chỉ có tên tuổi hay email, lần này là toàn bộ hồ sơ bệnh án điện tử. Chúng tôi cho rằng đây là một trong những vụ vi phạm dữ liệu y tế nghiêm trọng nhất năm 2024.

Kho báu dữ liệu nhạy cảm trong tầm tay tin tặc

Hims là nền tảng telemedicine chuyên cung cấp dịch vụ khám chữa bệnh trực tuyến cho các vấn đề 'kín đáo' như rối loạn cương dương, tâm thần, giảm cân và chăm sóc da. Điều này có nghĩa threat actors (kẻ tấn công mạng) đã có trong tay những thông tin mà ngay cả người thân trong gia đình cũng chưa chắc được biết. Database (cơ sở dữ liệu) bị đánh cắp chứa đựng chẩn đoán bệnh, đơn thuốc, kết quả xét nghiệm và toàn bộ lịch sử khám chữa bệnh của bệnh nhân.

Theo luật HIPAA (Health Insurance Portability and Accountability Act) của Mỹ, PHI bao gồm 18 loại thông tin định danh cá nhân liên quan đến sức khỏe. Tuy nhiên, dữ liệu từ Hims còn 'đặc biệt' hơn - đó là những thông tin mà xã hội thường coi là 'nhạy cảm' hoặc 'xấu hổ'. Chúng tôi nhận định rằng loại thông tin này có giá trị 'tống tiền' cực cao trên dark web (mạng tối), bởi nạn nhân sẵn sàng trả tiền để tránh bị phơi bày.

Kỹ thuật tấn công và điểm yếu hệ thống

Mặc dù Hims chưa công bố chi tiết về phương thức tấn công, nhưng dựa trên các vụ breach (vi phạm dữ liệu) tương tự, chúng tôi phân tích có thể tin tặc đã khai thác vulnerability (lỗ hổng bảo mật) trong API (giao diện lập trình ứng dụng) hoặc sử dụng credential stuffing (tấn công bằng thông tin đăng nhập bị rò rỉ từ trước). Đặc biệt, các nền tảng telemedicine thường tích hợp với nhiều third-party services (dịch vụ bên thứ ba) như hệ thống thanh toán, giao thuốc, tạo ra nhiều attack surface (bề mặt tấn công).

Điểm yếu lớn nhất của Hims và nhiều startup y tế khác là việc ưu tiên tốc độ phát triển hơn bảo mật. Zero-trust architecture (kiến trúc không tin tưởng) và end-to-end encryption (mã hóa đầu cuối) vẫn chưa được triển khai đầy đủ. Database thường được lưu trữ trên cloud (điện toán đám mây) với cấu hình bảo mật mặc định, tạo cơ hội cho insider threats (mối đe dọa nội bộ) và external attacks (tấn công từ bên ngoài).

Cơn ác mộng PHI và tác động lan tỏa

Khác với thông tin tài chính có thể thay đổi, PHI là dữ liệu 'không thể thu hồi'. Bệnh nhân bị ảnh hưởng phải đối mặt với nguy cơ identity theft (đánh cắp danh tính), medical identity theft (đánh cắp danh tính y tế), và đáng sợ nhất là targeted blackmail (tống tiền có mục tiêu). Tại Việt Nam, theo báo cáo của Hiệp hội An ninh mạng quốc gia, giá PHI trên dark web cao gấp 10-50 lần so với thông tin thẻ tín dụng.

Chúng tôi dự báo trong 3-6 tháng tới, nạn nhân sẽ bắt đầu nhận được email tống tiền với nội dung 'Tôi biết bạn đang điều trị [tên bệnh]'. Đối với các vị trí lãnh đạo cao cấp, chính trị gia hoặc người nổi tiếng, đây có thể trở thành vũ khí chính trị hoặc công cụ ép buộc trong đàm phán kinh doanh. Tổn hại về mặt tinh thần và danh tiếng là không thể định lượng được.

Hành động bảo vệ khẩn cấp cho người Việt

Nếu bạn đang sử dụng các nền tảng telemedicine nước ngoài, hãy thực hiện ngay các bước sau: Đổi mật khẩu tất cả tài khoản liên quan và kích hoạt 2FA (xác thực hai yếu tố). Liên hệ ngân hàng để được cảnh báo về các giao dịch khả nghi. Đăng ký dịch vụ credit monitoring (giám sát tín dụng) miễn phí từ các tổ chức tài chính. Quan trọng nhất, tuyệt đối không trả tiền nếu nhận được email tống tiền - thay vào đó hãy báo ngay cho Cục An toàn thông tin.

Đối với các doanh nghiệp y tế Việt Nam, vụ việc này là hồi chuông cảnh báo về tầm quan trọng của data governance (quản trị dữ liệu) và privacy by design (bảo mật ngay từ thiết kế). Chúng tôi khuyến nghị triển khai ngay data classification (phân loại dữ liệu), encryption at rest (mã hóa khi lưu trữ), và regular penetration testing (kiểm thử thâm nhập định kỳ). Đầu tư vào cybersecurity không phải chi phí mà là bảo hiểm cho uy tín thương hiệu.