Sáu tháng - thời gian đủ dài để một đứa trẻ học nói những từ đầu tiên, cũng là khoảng thời gian mà các hacker đã 'cư trú' trong hệ thống của BWH Hotels mà không ai phát hiện. Tập đoàn khách sạn này vừa công bố thông tin về vụ tấn công mạng nghiêm trọng, khiến dữ liệu cá nhân của hàng nghìn khách hàng rơi vào tay tin tặc. Điều đáng lo ngại hơn cả không phải số lượng dữ liệu bị đánh cắp, mà là thời gian kéo dài của cuộc tấn công - minh chứng rõ nét cho sự yếu kém trong giám sát an ninh mạng của doanh nghiệp lớn.

Khi khách sạn trở thành 'mỏ vàng' dữ liệu cá nhân

BWH Hotels - tập đoàn sở hữu các thương hiệu khách sạn nổi tiếng như Best Western, WorldHotels và SureStay - đã thừa nhận trong thông báo chính thức rằng threat actors (các tác nhân đe dọa) đã xâm nhập thành công vào hệ thống đặt phòng của họ. Thông tin bị đánh cắp bao gồm tên khách hàng và thông tin liên lạc, tuy nhiên công ty vẫn chưa công bố con số chính xác về số lượng nạn nhân bị ảnh hưởng.

Chúng tôi cho rằng việc BWH Hotels giấu kín số liệu cụ thể không phải ngẫu nhiên. Theo kinh nghiệm từ những vụ tấn công tương tự như Marriott International (2018 với 500 triệu hồ sơ khách hàng) hay Hyatt Hotels (2017), con số thật có thể lên đến hàng triệu hồ sơ khách hàng. Ngành khách sạn đặc biệt hấp dẫn với tin tặc vì lưu trữ không chỉ thông tin cá nhân mà còn cả thói quen di chuyển, sở thích cá nhân và thông tin thanh toán của khách hàng.

Cuộc tấn công 'marathon' kéo dài 6 tháng

Điều đáng báo động nhất trong vụ việc này không phải là việc hacker xâm nhập được hệ thống - điều này đã trở nên phổ biến - mà là thời gian họ 'cư trú' mà không bị phát hiện. Sáu tháng là một khoảng thời gian cực kỳ dài trong lĩnh vực an ninh mạng, đủ để tin tặc thực hiện reconnaissance (trinh sát hệ thống), lateral movement (di chuyển ngang qua các hệ thống con) và data exfiltration (trích xuất dữ liệu) một cách có hệ thống.

Theo phân tích của chúng tôi, đây có dấu hiệu của một cuộc tấn công APT (Advanced Persistent Threat - tấn công dai dẳng nâng cao). Khác với các cuộc tấn công 'smash and grab' (đột nhập nhanh và lấy đi ngay), APT được thiết kế để tồn tại lâu dài trong hệ thống mục tiêu. Tin tặc sẽ sử dụng các kỹ thuật như living-off-the-land (sử dụng các công cụ có sẵn trong hệ thống), file-less malware (mã độc không file) để tránh bị phát hiện bởi các giải pháp bảo mật truyền thống.

Tác động domino: từ thông tin cá nhân đến rủi ro quốc gia

Vụ tấn công này không chỉ ảnh hưởng đến BWH Hotels mà còn tạo ra hiệu ứng domino. Thông tin khách hàng bị đánh cắp có thể được sử dụng cho các cuộc tấn công social engineering (kỹ thuật tấn công dựa trên tâm lý học xã hội) nhắm vào cá nhân và tổ chức khác. Tin tặc có thể kết hợp dữ liệu từ BWH với thông tin từ các nguồn khác để tạo ra hồ sơ chi tiết về nạn nhân, từ đó thực hiện spear phishing (tấn công lừa đảo có mục tiêu) hiệu quả hơn.

Tại Việt Nam, theo báo cáo của Cục An toàn thông tin, năm 2023 ghi nhận hơn 13.000 cuộc tấn công mạng, tăng 51% so với năm trước. Dữ liệu cá nhân của công dân Việt Nam từ các nguồn quốc tế như BWH Hotels có thể trở thành 'nguyên liệu' cho các cuộc tấn công nhắm vào doanh nghiệp và cơ quan nhà nước trong nước. Điều này đặc biệt nguy hiểm khi nhiều lãnh đạo doanh nghiệp và quan chức thường xuyên lưu trú tại các khách sạn quốc tế.

Bài học xương máu và hướng dẫn phòng chống

Vụ việc BWH Hotels một lần nữa chứng minh rằng không có tổ chức nào là 'quá lớn để thất bại' trong lĩnh vực an ninh mạng. Chúng tôi khuyến nghị các doanh nghiệp Việt Nam, đặc biệt là ngành du lịch - khách sạn, cần triển khai ngay các biện pháp sau: triển khai SIEM (Security Information and Event Management - quản lý thông tin và sự kiện bảo mật) để giám sát 24/7, thực hiện penetration testing (kiểm thử xâm nhập) ít nhất 6 tháng một lần, và đào tạo nhân viên nhận diện các dấu hiệu tấn công APT.

Đối với cá nhân từng đặt phòng tại BWH Hotels, hãy thực hiện ngay các bước sau: thay đổi mật khẩu tài khoản loyalty program của BWH và các trang đặt phòng khác, bật xác thực hai yếu tố (2FA) cho tất cả tài khoản quan trọng, giám sát chặt chẽ email và điện thoại để phát hiện các cuộc tấn công lừa đảo sử dụng thông tin cá nhân bị lộ. Hãy nhớ rằng, trong thời đại số, thông tin cá nhân chính là tài sản quý giá nhất mà chúng ta cần bảo vệ.