1 tỷ bản ghi thông tin nhận dạng cá nhân bị rò rỉ vào năm 2014

Vào trung tuần tháng 3/2015, Bộ phận Nghiên cứu và Phát triển IBM X-Force đã phát hành Báo cáo Thông tin về nguy cơ an ninh hàng quý của IBM X-Force (IBM X-Force Threat Intelligence), theo đó ít nhất 1 tỷ bản ghi thông tin có thể nhận dạng cá nhân (personally identifiable information - PII) đã được phát hiện là bị rò rỉ vào năm 2014.

Ảnh minh họa - nguồn: internet.Ảnh minh họa - nguồn: internet.

Báo cáo năm 2015, trong đó nêu bật những phát hiện trong quý cuối cùng của năm 2014, đã liệt kê hơn 9.200 lỗ hổng bảo mật mới ảnh hưởng đến hơn 2.600 nhà cung cấp độc lập, tương ứng với mức gia tăng 9,8% so với năm 2013 và là mức cao nhất trong vòng một năm trong suốt lịch sử 18 năm thực hiện báo cáo này của IBM X-Force.
 
Những phát hiện quan trọng khác bao gồm: Tổng số lượng hồ sơ bị vi phạm trong năm 2014 cao hơn năm 2013 gần 20% (với 800 triệu hồ sơ bị rò rỉ). Ở mức 74,5%, số lượng các sự cố bảo mật tại Hoa Kỳ cao hơn nhiều so với các nước khác. Phần lớn (40,2%) các kiểu tấn công phổ biến nhất không được tiết lộ, trong đó phần mềm độc hại và DDoS đứng thứ hai với tương ứng 17,2% cho mỗi kiểu. Tiết lộ của US-CERT về một lớp lỗ hổng bảo mật có ảnh hưởng đến hàng ngàn ứng dụng Android trong đó riêng việc phê chuẩn chứng nhận SSL không đúng cách đã chiếm tới gần 15% tổng số lỗ hổng bảo mật trong năm, nâng con số cuối cùng lên một mốc đỉnh cao mới trong lịch sử.

Các nhà nghiên cứu cho rằng những nguyên nhân dẫn đến sự gia tăng đó chủ yếu là do sự thờ ơ về vấn đề bảo mật của các nhà phát triển phần mềm, những người thường chậm chạp trong việc vá các lỗ hổng bảo mật trên các ứng dụng, bất chấp các cảnh báo và mức độ nhận thức cao hơn về các lỗ hổng đó. Trong thực tế, cứ 17 ứng dụng ngân hàng đang sử dụng Apache Cordova bắt đầu được theo dõi trong tháng 10/2014 thì có 10 ứng dụng (59%) vẫn còn chứa các lỗ hổng bảo mật còn chưa được vá trong tháng Giêng năm nay.
 
Báo cáo cũng cho thấy có sự gia tăng về các lỗ hổng bảo mật “do các nhà thiết kế”, những lỗ hổng đang ngày càng trở nên nguy hiểm, dễ nhận biết, gắn với những cái tên và biểu tượng dễ nhớ (chẳng hạn như: Heartbleed và Shellshock) mà mãi mãi sẽ gắn liền với lỗ hổng đó. Những lỗ hổng bảo mật này tiết lộ các vết nứt có thể dễ dàng bị khai thác trong các hệ thống nền tảng cơ bản và các thư viện đang hỗ trợ gần như tất cả các nền tảng web và hệ thống quản lý nội dung phổ biến.

IBM X-Force cũng sẽ ra mắt trang web về sự cố an ninh tương tác IBM X-Force Interactive Security Incident để giúp người dùng có được sự hiểu biết sâu sắc về các hành vi vi phạm an ninh được công bố công khai theo thời gian. Địa chỉ trang web: http://ibm.co/1GARvPe.

(PV)