Bạn có bao giờ nghĩ rằng việc upload video lên Vimeo lại có thể khiến thông tin cá nhân của mình rơi vào tay tin tặc không? Điều tưởng chừng không thể này đã xảy ra thực tế khi Vimeo - nền tảng chia sẻ video hàng đầu thế giới - vừa xác nhận dữ liệu người dùng bị lộ do công ty đối tác Anodot bị tấn công mạng. Vụ việc này một lần nữa cho thấy mối nguy hiểm từ chuỗi cung ứng bảo mật - xu hướng tấn công ngày càng tinh vi của các nhóm hacker. Không ai có thể đảm bảo an toàn tuyệt đối khi dữ liệu được chia sẻ giữa nhiều bên thứ ba.

Khi đối tác trở thành 'cửa hậu' cho tin tặc

Anodot - công ty chuyên về phát hiện bất thường dữ liệu (data anomaly detection) của Israel - đã trở thành mắt xích yếu trong hệ sinh thái bảo mật của Vimeo. Chúng tôi tìm hiểu được rằng Anodot cung cấp dịch vụ giám sát và phân tích dữ liệu thời gian thực, giúp các công ty như Vimeo phát hiện sớm các vấn đề về hiệu suất và bảo mật. Tuy nhiên, chính công cụ bảo vệ này lại trở thành điểm xâm nhập cho kẻ tấn công.

Vimeo đã chính thức thừa nhận trong thông báo gửi đến người dùng rằng thông tin của một số khách hàng và người dùng đã bị truy cập trái phép thông qua vụ tấn công nhắm vào Anodot. Công ty cho biết họ đã ngay lập tức ngắt kết nối với Anodot và tiến hành điều tra toàn diện. Điều đáng lo ngại là thời gian từ khi xảy ra tấn công đến khi phát hiện có thể kéo dài hàng tuần, đủ để tin tặc thu thập một lượng lớn thông tin nhạy cảm.

Giải mã cơ chế tấn công chuỗi cung ứng

Supply chain attack (tấn công chuỗi cung ứng) là phương thức mà tin tặc không trực tiếp tấn công mục tiêu chính, mà thay vào đó xâm nhập vào các nhà cung cấp dịch vụ, đối tác có quyền truy cập vào hệ thống của mục tiêu. Trong trường hợp này, thay vì tấn công trực tiếp vào hạ tầng bảo mật mạnh mẽ của Vimeo, tin tặc đã chọn Anodot làm 'cửa hậu'. Đây là chiến thuật ngày càng phổ biến vì các công ty lớn thường có hàng trăm đối tác, và không phải tất cả đều có mức độ bảo mật tương đương.

Theo đánh giá của chúng tôi, vụ việc này phản ánh một xu hướng đáng báo động trong ngành công nghệ. Các nghiên cứu gần đây cho thấy 62% các vụ tấn công mạng vào doanh nghiệp lớn trong năm 2023 đều có liên quan đến bên thứ ba. Điều này buộc các công ty phải xem xét lại toàn bộ hệ sinh thái đối tác của mình, không chỉ tập trung vào bảo mật nội bộ.

Cái giá phải trả cho sự tin tưởng mù quáng

Mặc dù Vimeo chưa công bố chính xác số lượng người dùng bị ảnh hưởng, nhưng với hơn 260 triệu người dùng toàn cầu, ngay cả việc chỉ một phần nhỏ bị tác động cũng có thể ảnh hưởng đến hàng triệu người. Thông tin có thể bị lộ bao gồm email, mật khẩu được mã hóa, thông tin hồ sơ và có thể cả dữ liệu thanh toán của người dùng trả phí. Tại Việt Nam, với hàng trăm nghìn người dùng Vimeo, đặc biệt là các nhà sáng tạo nội dung, designer và doanh nghiệp, rủi ro này không hề nhỏ.

Chúng tôi nhận định rằng thiệt hại từ vụ việc này sẽ không chỉ dừng lại ở việc lộ thông tin. Tin tặc có thể sử dụng dữ liệu thu được để thực hiện các cuộc tấn công phishing tinh vi, mạo danh Vimeo hoặc các dịch vụ liên quan để lừa đảo người dùng. Đối với các doanh nghiệp Việt Nam đang sử dụng Vimeo để lưu trữ nội dung marketing hoặc đào tạo nội bộ, nguy cơ rò rỉ thông tin độc quyền cũng cần được cân nhắc nghiêm túc.

Lộ trình tự bảo vệ trước 'hiệu ứng domino'

Người dùng Vimeo tại Việt Nam cần thực hiện ngay các bước sau để bảo vệ tài khoản. Trước tiên, thay đổi mật khẩu Vimeo và kích hoạt xác thực hai yếu tố (2FA) nếu chưa bật. Kiểm tra tất cả các tài khoản khác sử dụng cùng mật khẩu hoặc email và thay đổi chúng. Đặc biệt quan trọng, theo dõi sát sao email và tin nhắn lạ trong thời gian tới, vì tin tặc thường khai thác thông tin rò rỉ để thực hiện các chiến dịch lừa đảo mục tiêu.

Đối với doanh nghiệp, đây là lúc cần đánh giá lại toàn bộ chiến lược quản lý rủi ro bên thứ ba. Thiết lập quy trình kiểm tra bảo mật nghiêm ngặt cho tất cả đối tác có quyền truy cập dữ liệu. Xây dựng kế hoạch ứng phó sự cố bao gồm cả tình huống đối tác bị tấn công. Quan trọng nhất, đừng đặt quá nhiều dữ liệu nhạy cảm vào một 'giỏ' duy nhất - phân tán rủi ro bằng cách sử dụng nhiều nhà cung cấp dịch vụ khác nhau cho các chức năng khác nhau.