Nỗi lo từ hơn 800.000 camera giám sát bị lộ ở Việt Nam

Hơn 800.000 camera tại Việt Nam bị chia sẻ dữ liệu hình ảnh lên mạng, trong đó nhiều thiết bị có thể bị chiếm quyền điều khiển để leo thang tấn công.

Về quê sau thời gian đi làm xa, Tuấn Hưng (Hà Nội) bất ngờ khi khi thấy trong nhà, mỗi phòng đều được gắn một camera. Bố anh mới tập mua hàng qua các trang thương mại điện tử, nói đã sắm gần chục chiếc vì "rẻ quá" và giúp ông có thể ngồi một chỗ giám sát được cả nhà. Gần 10 camera được mua với giá 200-500 nghìn đồng một chiếc, lắp từ ngoài sân, phòng khách đến phòng ngủ.

Ủng hộ sự cẩn thận của bố, nhưng khi xin mật khẩu đăng nhập, Hưng mới tá hỏa: Mọi camera vẫn để nguyên mật khẩu mặc định của nhà sản xuất. "Bố tôi nghĩ làm gì có ai vào xem camera nhà mình, và cũng vì đổi mật khẩu quá phức tạp với ông", Hưng nói. "Điều khiến tôi lo nhất là hình ảnh của gia đình có thể bị rò rỉ nếu ai đó vô tình đăng nhập được".

Thực tế, tình trạng ảnh, video từ camera giám sát được chia sẻ trên mạng đã xuất hiện từ lâu và nhiều lần được cảnh báo, tuy nhiên vẫn còn tồn tại trên quy mô lớn.

Khi công bố dự thảo Quy chuẩn kỹ thuật quốc gia về yêu cầu an toàn thông tin cơ bản cho IP camera tại Việt Nam tuần này, Bộ Thông tin và Truyền thông cho biết hệ thống của Bộ phát hiện hơn 800 nghìn camera giám sát tại Việt Nam đang bị chia sẻ dữ liệu hình ảnh công khai, theo số liệu tính đến tháng 5.

Hình ảnh từ một camera giám sát tại Việt Nam xuất hiện trên website chuyên chia sẻ hình ảnh camera. Ảnh: Lưu Quý

Trước đó, từ 2014 đã tồn tại một website cho phép truy cập vào hơn 700 nghìn camera giám sát khắp thế giới, trong đó có hàng nghìn chiếc tại Việt Nam. Dữ liệu hình ảnh thậm chí là món hàng được đem ra mua bán, nhất là các camera được lắp đặt ở những nơi nhạy cảm như phòng ngủ, thay đồ, cửa hàng spa. Trên Facebook và Telegram, nhiều hội nhóm rao bán quyền truy cập vào những camera đang hoạt động với số tiền từ vài trăm nghìn đồng.

Ví dụ, một dịch vụ có giá 800.000 đồng, cho phép người mua được tiếp cận 15 camera tại các khu vực nhạy cảm như trên. Người cung cấp khẳng định "có hàng trăm nghìn lựa chọn cho người mua", cho thấy lượng camera bị kiểm soát không nhỏ.

Theo ông Vũ Ngọc Sơn từ Hiệp hội An ninh mạng quốc gia NCA, có nhiều nguyên nhân dẫn đến việc bị xâm phạm camera, trong đó phổ biến là do người dùng không đổi mật khẩu khi lắp đặt, dùng mật khẩu yếu hoặc đặt chung mật khẩu với tài khoản khác, tương tự trường hợp của gia đình Tuấn Hưng.

Ngoài ra, về mặt kỹ thuật, nhiều camera có lỗ hổng bảo mật nhưng không được cập nhật, máy chủ của nhà sản xuất có lỗi khiến hacker có thể tấn công và xâm nhập. Một số đơn vị lắp đặt camera cho nhiều người cùng quản lý, nhưng không phân quyền chặt chẽ dẫn đến việc người ngoài có thể truy cập với đặc quyền cao.

Vì sao cần quy chuẩn an toàn thông tin với camera?

Trong 5 năm qua, Việt Nam nhập khẩu khoảng 16 triệu camera giám sát, thuộc nhiều chủng loại khác nhau và 96,3% là từ Trung Quốc, theo thống kê của Tổng cục Hải quan.

Theo các chuyên gia, camera giám sát có thể coi như một máy tính, với đầy đủ bộ xử lý, có kết nối Internet và có thể nghe, nhìn, phân tích nếu tích hợp AI, trong khi chưa có các tiêu chuẩn, yêu cầu kỹ thuật cao như máy tính khi hoạt động tại Việt Nam. Thiết bị này thường hoạt động 24/24, có khu vực con người không thể tiếp cận nhưng được trang bị camera. Điều này khiến một camera bị tấn công có thể còn nguy hiểm hơn các thiết bị khác, khi nó có thể thu thập thông tin của một cá nhân, gia đình hay cơ quan, tổ chức.

Tuy nhiên, khác với máy tính, camera ít được vá lỗi và gần như không được cập nhật bản vá, phần mềm diệt virus. Việt Nam cũng chưa có tiêu chuẩn an toàn cho loại thiết bị này.

Theo ông Vũ Ngọc Sơn, camera bị tấn công dễ để lại hậu quả nghiêm trọng. "Đó là quyền riêng tư bị xâm phạm, bị theo dõi từ xa, tống tiền vì hình ảnh riêng tư, làm deepfake lừa đảo, hoặc trở thành bàn đạp để hacker tấn công hệ thống khác bên trong mạng lưới", ông nói. "Tiêu chuẩn camera rất cần thiết để có hành lang cho nhà sản xuất, cung cấp dịch vụ tại Việt Nam tuân theo".

Theo đánh giá của Bộ Thông tin và Truyền thông, vấn đề an toàn, bảo mật liên quan đến camera giám sát đang trở thành một vấn đề nhức nhối khi nhiều vụ lộ lọt thông tin cá nhân, dữ liệu hình ảnh camera riêng tư bị thu thập trái phép và tung lên mạng xã hội "gây bất an cho người sử dụng và làm ảnh hưởng đến an toàn, an ninh xã hội".

Ngoài ra, trong số hơn 800 nghìn camera bị xâm nhập trên Internet, Bộ cho biết có khoảng 360 nghìn camera (45%) tồn tại điểm yếu, lỗ hổng bảo mật và dễ bị khai thác tấn công, chiếm quyền điều khiển. Thống kê mới nhất cho thấy 5% địa chỉ IP nằm trong các mạng botnet nguy hiểm đến từ các camera bị dính mã độc.

Trong xu hướng xây dựng thành phố thông minh Việt Nam đang đẩy mạnh, Bộ đánh giá camera giám sát thông minh là một trong các thiết bị nền tảng, chiếm đa số hạng mục triển khai và thời gian tới sẽ có thêm hàng chục triệu camera giám sát được đưa vào sử dụng.

Một số mẫu camera của hãng nước ngoài được sản xuất tại Việt Nam. Ảnh: Lưu Quý

Từ kinh nghiệm tại một số quốc gia như Singapore, Mỹ, Anh, Bộ Thông tin và Truyền thông đưa ra dự thảo Quy chuẩn kỹ thuật quốc gia về yêu cầu an toàn thông tin cơ bản cho IP camera, đang được lấy ý kiến đến ngày 23/10.

Theo dự thảo, camera lưu hành, nghiên cứu và phát triển tại Việt Nam cần đáp ứng quy định về mật khẩu, quản lý lỗ hổng bảo mật, cập nhật, quản lý kênh giao tiếp, bảo vệ dữ liệu người dùng, xóa dữ liệu.

Một số yêu cầu chi tiết được nhắc đến như mật khẩu mặc định phải được khởi tạo duy nhất trên mỗi thiết bị và phải đáp ứng về độ phức tạp để chống lại các cuộc tấn công tự động; nhà sản xuất phải có hệ thống trực tuyến cho phép tiếp nhận và công bố thông tin về lỗ hổng; dữ liệu cá nhân thu thập, xử lý bởi thiết bị camera được truyền giữa thiết bị và các dịch vụ liên quan phải sử dụng kênh kết nối được mã hóa an toàn.

Theo đánh giá của Bộ, việc đưa ra quy chuẩn có thể gây ra một số tác động như tăng chi phí, giảm hiệu suất sản xuất và giảm sự linh hoạt trong sử dụng. Bù lại, người dùng sẽ tăng cảm giác an tâm khi sử dụng, bảo vệ quyền riêng tư và dữ liệu cá nhân, giảm thiểu rủi ro mất dữ liệu quan trọng và thông tin nhạy cảm.