H-a-c-k

 Không biết có đúng thế không?

Tháng 5/2017, bốn quân nhân của PLA là Wu, Wang, Xu và Liu đã tấn công vào Equifax, một trong ba công ty báo cáo tín dụng lớn nhất Mỹ gây thiệt hại hàng tỉ Mỹ kim, ảnh hưởng đến 147 triệu người dùng. Hacker khai thác lỗ hổng n-day (CVE-2017-5638) trong phần mềm Apache Struts mà Equifax sử dụng, dù bản vá đã có từ tháng 3/2017. Do chậm cập nhật, 4 chàng lính phương Đông đã xâm nhập qua yêu cầu web độc hại, thực thi mã từ xa, trích xuất thông tin nhạy cảm (số an sinh xã hội, địa chỉ, lịch sử tín dụng).

Đây bị xem là sự cố tồi tệ và đáng xấu hổ bậc nhất trong ngành tài chính ngân hàng Mỹ bởi lỗi bị khai thác không phải bí ẩn cao siêu gì, không phải zero-day mà kiểu lỗi n-day, tức đã được công khai về phương pháp khai thác, mức độ nguy hiểm và đã có bản vá. Bị tấn công bởi n-day đồng nghĩa "ngu và lì".

Bạn xây một ngôi nhà, an ninh vòng trong vòng ngoài. Nếu kẻ trộm mở được khóa để ăn trộm và cách thức mở khóa dựa vào một lỗi kỹ thuật chưa biết thì đó là zero-day. Nhưng nếu loại khóa bạn dùng đã không còn được bày bán do lỗi, nhà sản xuất cũng khuyến cáo liên tục, cho phép đổi trả, đám kẻ trộm cũng biết rõ lỗi của loại khoá này thậm chí truyền tai nhau cách để check số seri xem có phải loại khóa lỗi không. Vậy nếu nhà bạn bị trộm đột nhập cuỗm sạch vì không chịu thay khóa, lỗi phần lớn là do bạn.

Sébastien Raoult là một chàng soái ca người Pháp, song thường tài thì đi kèm tật. Raoult rất thích Pokémon và hack các hệ thống lớn. Anh là thành viên cốt cán của nhóm ShinyHunters phỏng theo trò pokémon chuyên săn đám quái vật hiếm. Rất nhiều vụ đình đám mà nhóm đã thực hiện trong suốt 5 năm qua, nạn nhân bao gồm đại gia Google, Microsoft và AT&T. Chiêu ưa thích của nhóm là khai thác lỗ hổng n-day bằng cách tạo những kịch bản để quét diện rộng. Dựa vào mã phiên bản phần mềm, dịch vụ để xác định chỗ nào chưa vá sẽ tiến hành "đột nhập". Nhóm thường không tống tiền mà bán dữ liệu lấy cắp được thu tiền tươi thóc thật bởi theo họ sẽ chẳng bòn được đồng nào bằng cách tống tiền cả.

Mới đây ShinyHunters tuyên bố đã xâm nhập hệ thống của CIC Việt Nam chỉ trong 24 giờ bằng cách khai thác lỗ hổng n-day trong phần mềm EOL (phần mềm hết vòng đời không còn được hỗ trợ kỹ thuật, gọi tắt là hết đát). Kết quả là họ đánh cắp hơn 160 triệu bản ghi, bao gồm thông tin tín dụng của gần như toàn bộ dân số Việt Nam và rao bán với giá 175.000$ trên BreachForums mà không đòi tiền chuộc.

Trong hệ thống lớn, để tồn tại lỗi n-day lại còn của những phần mềm hết-đát thì thực sự tắc trách. Nếu những gì phía hacker tuyên bố là đúng thì đây phải là một vụ lớn về trách nhiệm.