Bạn có tin rằng khi xóa một chiếc chìa khóa, nó vẫn có thể mở được ổ khóa trong 23 phút tiếp theo? Đó chính là điều đang xảy ra với API key (khóa giao tiếp ứng dụng) của Google Cloud Platform. Một nhà nghiên cứu bảo mật vừa phát hiện ra lỗ hổng nghiêm trọng này, cho thấy những chiếc "chìa khóa số" này vẫn hoạt động bình thường dù đã bị xóa khỏi hệ thống. Google tuyên bố việc xóa diễn ra ngay lập tức, nhưng thực tế lại hoàn toàn khác biệt.

Khi lời hứa "xóa ngay lập tức" chỉ là lời nói suông

API key là những đoạn mã bí mật cho phép các ứng dụng giao tiếp với dịch vụ Google Cloud. Giống như chìa khóa nhà, chúng cấp quyền truy cập vào tài nguyên quan trọng như cơ sở dữ liệu, dịch vụ thanh toán hay hệ thống lưu trữ. Khi một nhân viên IT phát hiện API key bị lộ hoặc không còn cần thiết, họ thường xóa ngay để đảm bảo an toàn.

Nhưng nghiên cứu mới cho thấy Google đã "nói một đằng, làm một nẻo". Trong tài liệu chính thức, gã khổng lồ công nghệ cam kết API key sẽ bị vô hiệu hóa ngay sau khi xóa. Thế nhưng thực tế, chúng vẫn hoạt động trơn tru trong khoảng thời gian "vàng" 23 phút. Đây là khoảng thời gian đủ dài để kẻ xấu thực hiện nhiều cuộc tấn công nghiêm trọng.

23 phút - cánh cửa vàng cho tin tặc

Chúng tôi cho rằng 23 phút là một khoảng thời gian cực kỳ nguy hiểm trong thế giới an ninh mạng. Để hiểu rõ mức độ nghiêm trọng, hãy tưởng tượng một kịch bản thực tế: một nhân viên phát hiện API key của công ty bị lộ trên GitHub (nền tảng chia sẻ mã nguồn). Họ lập tức xóa key này và nghĩ rằng đã "cứu" được công ty khỏi nguy hiểm.

Tuy nhiên, tin tặc đã kịp sao chép API key trước đó. Trong 23 phút tiếp theo, họ có thể thoải mái truy cập vào hệ thống, tải xuống dữ liệu khách hàng, xóa file quan trọng hoặc thậm chí cài đặt backdoor (cửa sau) để duy trì quyền truy cập lâu dài. Điều đáng lo ngại là quản trị viên hoàn toàn không hề biết về "cuộc xâm nhập ma" này.

Tác động domino đến doanh nghiệp Việt Nam

Google Cloud Platform đang được hàng nghìn doanh nghiệp Việt Nam tin dùng, từ startup công nghệ đến các tập đoàn lớn. Theo thống kê của Cục An toàn thông tin (Bộ TT&TT), số vụ tấn công mạng nhằm vào doanh nghiệp Việt Nam tăng 25% trong năm 2024. Lỗ hổng API key này có thể trở thành "miếng mồi ngon" cho tin tặc trong thời gian tới.

Rủi ro đặc biệt cao đối với các công ty fintech, e-commerce và startup đang sử dụng Google Cloud để xử lý dữ liệu thanh toán. Một API key bị lộ có thể dẫn đến việc tin tặc truy cập vào thông tin thẻ tín dụng, dữ liệu cá nhân của hàng triệu khách hàng. Chi phí khắc phục có thể lên đến hàng tỷ đồng, chưa kể thiệt hại về uy tín thương hiệu.

Hành động ngay để bảo vệ hệ thống

Chúng tôi khuyến cáo các doanh nghiệp Việt Nam thực hiện ngay các bước sau để giảm thiểu rủi ro. Thứ nhất, thiết lập monitoring (giám sát) liên tục cho tất cả API key đang sử dụng. Khi phát hiện key bị lộ, ngoài việc xóa, cần thay đổi ngay các password và access token (mã truy cập) liên quan. Thứ hai, áp dụng nguyên tắc rotation (luân phiên) API key định kỳ mỗi 30-60 ngày, thay vì chờ đến khi có sự cố.

Quan trọng hơn cả, các công ty cần xây dựng incident response plan (kế hoạch ứng phó sự cố) chi tiết cho trường hợp API key bị compromise (xâm phạm). Plan này phải bao gồm việc giám sát hoạt động bất thường trong 30 phút sau khi xóa key, đồng thời thiết lập alert (cảnh báo) tự động khi có truy cập đáng nghi. Google chưa công bố lịch trình sửa lỗi, vì vậy việc tự bảo vệ mình là lựa chọn duy nhất hiện tại.