Khi một công ty bị hack hai lần trong thời gian ngắn, câu hỏi đặt ra không phải là "tại sao" mà là "họ đã làm sai gì". Nhóm hacker khét tiếng ShinyHunters vừa tuyên bố thực hiện cuộc tấn công thứ hai nhằm vào Instructure - công ty công nghệ giáo dục có trụ sở tại Mỹ. Thông tin cá nhân (PII - Personally Identifiable Information) của hàng trăm triệu người đang trong tình trạng bấp bênh. Công ty này hiện đang "vật lộn" để giành lại quyền kiểm soát khỏi tay những kẻ tấn công.

Khi hacker "gõ cửa" lần hai

ShinyHunters không phải cái tên xa lạ trong thế giới an ninh mạng. Nhóm này từng "để lại dấu ấn" trên nhiều tập đoàn lớn như Microsoft, Tokopedia hay BigBasket với hàng chục triệu tài khoản người dùng bị đánh cắp. Việc họ quay lại tấn công Instructure lần thứ hai cho thấy một thực tế đáng lo ngại: công ty này chưa thể vá được những lỗ hổng bảo mật căn bản.

Instructure vận hành nền tảng Canvas LMS (Learning Management System - Hệ thống quản lý học tập), được sử dụng bởi hàng nghìn trường học và đại học trên toàn thế giới. Chúng tôi cho rằng việc bị tấn công hai lần liên tiếp không chỉ là vấn đề kỹ thuật mà còn phản ánh sự thiếu nghiêm túc trong chiến lược bảo mật của doanh nghiệp.

Lỗ hổng kép hay năng lực phòng thủ yếu kém?

Phân tích từ các chuyên gia cho thấy, việc cùng một nhóm hacker có thể xâm nhập thành công hai lần thường xuất phát từ ba nguyên nhân chính. Thứ nhất, công ty chưa phát hiện hết các backdoor (cửa hậu) mà hacker cài đặt trong lần tấn công đầu. Thứ hai, quá trình incident response (ứng phó sự cố) không triệt để, chỉ "vá víu" tạm thời. Thứ ba, hệ thống giám sát và phát hiện xâm nhập (IDS - Intrusion Detection System) hoạt động kém hiệu quả.

Đặc biệt đáng chú ý, ShinyHunters thường khai thác các lỗ hổng SQL Injection và API vulnerabilities (lỗ hổng giao diện lập trình ứng dụng) để thực hiện các cuộc tấn công. Những lỗ hổng này hoàn toàn có thể phòng tránh được nếu doanh nghiệp áp dụng đúng quy trình secure coding (lập trình bảo mật) và thực hiện penetration testing (kiểm thử xâm nhập) định kỳ.

Cơn ác mông dữ liệu giáo dục

Con số "hàng trăm triệu" thông tin cá nhân bị đe dọa không chỉ là số liệu khô khan. Đó là tên tuổi, địa chỉ email, số điện thoại của sinh viên, giảng viên từ khắp nơi trên thế giới. Ngành giáo dục đang trở thành mục tiêu "béo bở" của các nhóm ransomware (mã độc tống tiền) vì chứa đựng lượng lớn dữ liệu nhạy cảm nhưng lại có hệ thống bảo mật tương đối yếu.

Tại Việt Nam, nhiều trường đại học cũng đang sử dụng các nền tảng LMS tương tự để triển khai học trực tuyến. Theo thống kê của Cục An toàn thông tin, năm 2023 có tới 52% các cuộc tấn công mạng nhằm vào lĩnh vực giáo dục và đào tạo. Chúng tôi đánh giá rằng vụ việc Instructure sẽ trở thành "case study" điển hình về việc bảo vệ dữ liệu trong môi trường giáo dục số.

Phòng thủ chủ động thay vì bị động ứng phó

Các tổ chức giáo dục Việt Nam cần rút ra bài học từ sự cố này bằng cách thực hiện ngay các biện pháp bảo vệ cụ thể. Đầu tiên, thực hiện security audit (kiểm toán bảo mật) toàn diện cho tất cả hệ thống LMS đang sử dụng. Tiếp theo, triển khai multi-factor authentication (xác thực đa yếu tố) cho tất cả tài khoản quản trị và giảng viên. Cuối cùng, thiết lập hệ thống backup (sao lưu) dữ liệu tự động với chu kỳ hàng ngày và lưu trữ offline.

Đặc biệt quan trọng, các trường học cần xây dựng incident response plan (kế hoạch ứng phó sự cố) chi tiết và tổ chức diễn tập định kỳ 6 tháng một lần. Vụ việc Instructure cho thấy, không có hệ thống nào là "bất khả xâm phạm", nhưng sự chuẩn bị kỹ lưỡng có thể giảm thiểu tối đa thiệt hại khi sự cố xảy ra.