Một lỗ hổng bảo mật nghiêm trọng từ nhiều năm trước vẫn đang đặt hàng chục nghìn hệ thống camera giám sát của Hikvision vào tình trạng báo động. Dù đã được cảnh báo, sự chủ quan của người dùng cùng với các vấn đề trong chính sách bảo mật của hãng đã biến những thiết bị này thành mục tiêu dễ dàng cho tội phạm mạng, làm dấy lên lo ngại sâu sắc về an toàn thông tin cá nhân và an ninh quốc gia.
Cụ thể, lỗ hổng mang mã CVE-2021-36260 được phát hiện trong phần mềm của camera Hikvision đã được Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) xếp hạng mức độ nghiêm trọng lên đến 9,8/10 – mức gần như tuyệt đối. Lỗ hổng này cho phép kẻ tấn công có thể chiếm quyền điều khiển thiết bị mà không cần xác thực.
Điều đáng báo động là, dù đã nhiều năm trôi qua, một báo cáo gần đây cho thấy vẫn còn hơn 80.000 thiết bị trên toàn cầu chưa được vá lỗi, trở thành "cửa sau" rộng mở cho những kẻ có ý đồ xấu.
Với trụ sở tại Trung Quốc và khách hàng tại hơn 100 quốc gia, Hikvision từ lâu đã nằm trong tầm ngắm của giới chức phương Tây. Ngay từ năm 2019, Ủy ban Truyền thông Liên bang Mỹ (FCC) đã tuyên bố Hikvision là "mối nguy cơ không thể chấp nhận được đối với an ninh quốc gia Mỹ".
David Maynor, Giám đốc cấp cao về tình báo mối đe dọa tại Cybrary, cho biết camera Hikvision "chứa đựng các lỗ hổng hệ thống dễ bị khai thác hoặc tệ hơn là sử dụng thông tin đăng nhập mặc định". Ông nhấn mạnh rằng chưa có sự thay đổi rõ rệt nào trong chính sách của Hikvision cho thấy hãng đã thực sự tăng cường các biện pháp bảo vệ. Các chuyên gia cũng lo ngại những nhóm tội phạm mạng có liên quan đến địa chính trị như MISSION2025/APT41 có thể lợi dụng những lỗ hổng này cho các mục đích lớn hơn.
Tuy nhiên, vấn đề không chỉ nằm ở riêng Hikvision. Tội phạm mạng đang tích cực sử dụng các công cụ tìm kiếm chuyên dụng như Shodan hay Censys để rà quét các thiết bị IoT (Internet of Things) dễ bị tấn công. Sự thiếu hiểu biết và thói quen không thay đổi mật khẩu mặc định của người dùng đã vô tình tiếp tay cho chúng.
Paul Bischoff, một nhà nghiên cứu về quyền riêng tư tại Comparitech, giải thích rằng việc bảo mật các thiết bị IoT như camera vốn phức tạp hơn nhiều so với ứng dụng điện thoại. Ông chia sẻ: "Trong khi điện thoại sẽ thông báo khi có bản cập nhật và có thể tự động cài đặt, các thiết bị IoT lại không mang lại sự tiện lợi tương tự". Người dùng thường phải tự tìm và tải xuống các bản vá lỗi một cách thủ công, một quy trình mà đa số thường bỏ qua.
Cách đây không lâu, Chính phủ Canada đã ra lệnh cho gã khổng lồ chuyên về camera giám sát của Trung Quốc Hikvision chấm dứt hoạt động tại nước này.
Sự việc của Hikvision một lần nữa gióng lên hồi chuông cảnh báo về tầm quan trọng của việc nâng cao nhận thức bảo mật. Để tự bảo vệ mình và gia đình, người dùng các thiết bị camera giám sát cần:
Kiểm tra và cập nhật firmware: Thường xuyên truy cập trang web của nhà sản xuất để kiểm tra các bản cập nhật phần mềm (firmware) mới nhất cho thiết bị.
Thay đổi mật khẩu mặc định: Không bao giờ sử dụng mật khẩu do nhà sản xuất cung cấp. Hãy tạo một mật khẩu mạnh và duy nhất.
Cân nhắc khi lựa chọn: Tìm hiểu kỹ về lịch sử bảo mật và chính sách của thương hiệu trước khi quyết định mua sắm các thiết bị có kết nối Internet.
