Hệ thống quét mã QR COVID-19 của Myanmar bị tấn công nghiêm trọng

13:26, 06/10/2020

Hệ thống quét mã QR Saw Saw Shar của Myanmar chủ yếu được những người lao động sử dụng để đi lại ở Yangon trong thời gian giãn cách xã hội nhưng cổng thông tin này đã khiến dữ liệu cá nhân của nhiều công dân Myanmar không được bảo vệ.

Cổng đăng ký mã QR theo dõi sức khỏe cần thiết cho việc đi lại ở Yangon, thành phố lớn nhất của Myanmar trong thời gian giãn cách trên toàn quốc. Tuy nhiên, tuần vừa qua cổng này đã phải chịu hàng loạt cuộc tấn công mạng.

Ứng dụng thông tin được liên kết với các mã QR theo dõi khỏe của Saw Saw Shar được phát triển bởi nhóm hỗ trợ ứng phó ICT khẩn cấp và ngăn chặn COVID-19. Ứng dụng xuất hiện trên mạng vào tháng 4, có các tính năng ghi lại lịch sử hành trình của người dùng và đưa ra lời nhắc về các vùng nóng có nguy cơ lây nhiễm. Ứng dụng cũng có một bảng điều khiển hiển thị các con đường lây nhiễm Covid-19 theo vùng trong Myanmar.

Người dân Yangon, trong trường hợp đặc biệt có thể dựa vào cổng đăng ký quét mã QR Saw Saw Shar để trình ra những mã QR cho phép họ đi lại ở thành phố này, nơi đang có chốt chặn nghiêm ngặt chỉ cho phép người lao động và các phương tiện có đăng ký mới có thể được phép đi qua các điểm kinh doanh thiết yếu.

Theo thông tin từ Phòng thương mại Công nghiệp Myanmar (UMFCCI), hệ thống website bị tấn công mạng và đã phải tạm dừng để bảo trì và ngăn chặn thiệt hại.

Sau đó, UMFCCI cũng cho biết, hệ thống đã cung cấp lại dịch vụ nhưng các cuộc tấn công vẫn tiếp diễn. "Các cuộc tấn công như vậy là không thể chấp nhận và đây là những hành vi phạm tội vì hệ thống này được tạo lập hỗ trợ mở lại việc kinh doanh mặt hàng thiết yếu cho người dân ở Yangon như thực phẩm và các dịch vụ khác, đồng thời giúp các thương nhân kinh doanh các mặt hàng đó đi lại trong thành phố trong thời gian cách ly".

Các chuyên gia an ninh mạng địa phương đã xem xét về việc thiếu sự bảo vệ chủ động đối với dữ liệu cá nhân của các công dân Myanmar. Lynn Htun, một chuyên gia an ninh mạng tại địa phương cho biết: "Cả trang web và ứng dụng đều không được thiết kế với mục đích bảo mật. Tính bảo mật của trang web cũng như ứng dụng kém đến mức những người có ít hoặc không có kiến thức về tấn công cũng có thể khai thác và trích xuất dữ liệu trên trang web".

Dễ dàng khai thác

Cổng đăng ký quét mã QR của Saw Saw Shar đã cho phép tội phạm mạng dễ dàng truy nhập tới dữ liệu cá nhân. Lynn Htun giải thích: "Có những lỗ hổng như người dùng có thể xem, chỉnh sửa và thay thế dữ liệu của người dùng khác chỉ bằng việc thay đổi các chữ số cuối cùng trong chuỗi URL. Điều này cho thấy không có kỹ năng hack nào cũng có thể yêu cầu để sử dụng trang web với mục đích sai trái và ứng dụng thiếu các điều khoản bảo mật rất cơ bảnVí dụ, chỉ cần thay thế ảnh, các tin tặc có thể in một thẻ QR mới kèm theo thông tin chi tiết của người dùng đính kèm với ảnh của họ để mạo danh người dùng khác".

"Lời khuyên của chúng tôi cho các nhà vận hành và phát triển trang web cũng như ứng dụng là kiểm tra các điều khoản bảo mật của trang web và ứng dụng trong giai đoạn UAT (giai đoạn kiểm thử chấp nhận của người dùng) trước khi đưa vào sử dụng công khai", Lynn Htun cho biết.

Minh Thùy (t/h)