Nỗi lo từ việc lộ hơn 800.000 camera giám sát ở Việt Nam

Hơn 800.000 camera giám sát tại Việt Nam đã bị lộ dữ liệu hình ảnh lên mạng, trong đó nhiều thiết bị có thể bị chiếm quyền điều khiển, dẫn đến nguy cơ tấn công.

Khi trở về quê sau thời gian dài làm việc xa, Tuấn Hưng (Hà Nội) bất ngờ khi phát hiện trong nhà mình có camera gắn ở mỗi phòng. Bố anh mới bắt đầu mua sắm qua các trang thương mại điện tử và đã mua gần chục chiếc vì thấy giá cả “rẻ quá”, giúp ông dễ dàng giám sát mọi hoạt động trong nhà. Các camera này được lắp đặt ở nhiều vị trí từ sân trước, phòng khách đến phòng ngủ, với giá dao động từ 200 đến 500 nghìn đồng mỗi chiếc.

Mặc dù Hưng ủng hộ sự cẩn thận của bố, nhưng khi xin mật khẩu đăng nhập, anh mới tá hỏa khi phát hiện tất cả camera vẫn để nguyên mật khẩu mặc định từ nhà sản xuất. Hưng chia sẻ: “Bố tôi nghĩ không ai lại vào xem camera nhà mình, và cũng vì đổi mật khẩu quá phức tạp với ông”. Anh rất lo lắng về khả năng hình ảnh của gia đình bị rò rỉ nếu ai đó vô tình truy cập.

Trên thực tế, tình trạng rò rỉ ảnh và video từ camera giám sát đã xảy ra từ lâu và được cảnh báo nhiều lần, nhưng vẫn tồn tại ở quy mô lớn. Bộ Thông tin và Truyền thông mới đây đã công bố dự thảo Quy chuẩn kỹ thuật quốc gia về yêu cầu an toàn thông tin cho IP camera, cho biết hệ thống của bộ này đã phát hiện hơn 800.000 camera tại Việt Nam đang chia sẻ dữ liệu hình ảnh công khai, tính đến tháng 5.

Trước đó, từ năm 2014, đã tồn tại một trang web cho phép truy cập vào hơn 700.000 camera giám sát toàn cầu, trong đó có hàng nghìn camera ở Việt Nam. Dữ liệu hình ảnh từ những camera này đã trở thành hàng hóa giao dịch, đặc biệt là những camera lắp đặt tại những vị trí nhạy cảm như phòng ngủ hay cửa hàng spa. Nhiều nhóm trên Facebook và Telegram rao bán quyền truy cập vào các camera hoạt động với giá từ vài trăm nghìn đồng.

Chẳng hạn, một dịch vụ có giá 800.000 đồng cho phép người mua truy cập vào 15 camera ở các khu vực nhạy cảm. Người cung cấp khẳng định có “hàng trăm nghìn lựa chọn cho người mua”, cho thấy số lượng camera bị kiểm soát rất lớn.

Ông Vũ Ngọc Sơn từ Hiệp hội An ninh mạng quốc gia NCA cho biết, nhiều nguyên nhân dẫn đến việc camera bị xâm phạm, trong đó phổ biến là người dùng không đổi mật khẩu khi lắp đặt, sử dụng mật khẩu yếu hoặc sử dụng chung mật khẩu với tài khoản khác, tương tự trường hợp của Tuấn Hưng.

Ngoài ra, nhiều camera có lỗ hổng bảo mật mà không được cập nhật, hoặc máy chủ của nhà sản xuất có lỗi, khiến hacker dễ dàng xâm nhập. Một số đơn vị lắp đặt camera cho nhiều người cùng quản lý nhưng không phân quyền chặt chẽ, dẫn đến việc người ngoài có thể truy cập với đặc quyền cao.

Tại sao cần quy chuẩn an toàn thông tin cho camera?

Trong 5 năm qua, Việt Nam đã nhập khẩu khoảng 16 triệu camera giám sát với nhiều chủng loại khác nhau, trong đó 96,3% là từ Trung Quốc, theo thống kê của Tổng cục Hải quan.

Theo các chuyên gia, camera giám sát thực chất là một máy tính, với bộ xử lý, có kết nối Internet và có thể nghe, nhìn, phân tích nếu được tích hợp AI. Tuy nhiên, các thiết bị này chưa có các tiêu chuẩn kỹ thuật cao như máy tính khi hoạt động tại Việt Nam. Những camera này thường hoạt động 24/24 và có thể thu thập thông tin của cá nhân, gia đình hay tổ chức.

Khác với máy tính, camera ít khi được vá lỗi và gần như không được cập nhật phần mềm bảo mật. Hiện tại, Việt Nam cũng chưa có tiêu chuẩn an toàn cho các thiết bị này.

Ông Vũ Ngọc Sơn nhấn mạnh rằng việc camera bị tấn công có thể để lại hậu quả nghiêm trọng, như quyền riêng tư bị xâm phạm, theo dõi từ xa, tống tiền bằng hình ảnh riêng tư, hoặc trở thành công cụ cho hacker tấn công vào hệ thống khác trong mạng lưới. “Tiêu chuẩn camera là rất cần thiết để tạo hành lang cho nhà sản xuất và cung cấp dịch vụ tại Việt Nam tuân thủ”, ông nói.

Bộ Thông tin và Truyền thông đánh giá, vấn đề an toàn và bảo mật liên quan đến camera giám sát đang trở thành vấn đề nhức nhối, khi có nhiều vụ lộ lọt thông tin cá nhân và dữ liệu hình ảnh bị thu thập trái phép. Trong số hơn 800.000 camera bị xâm nhập, khoảng 360.000 camera (45%) có điểm yếu và dễ bị tấn công. Các thống kê mới nhất cho thấy 5% địa chỉ IP trong các mạng botnet nguy hiểm đến từ các camera bị mã độc.

Trong xu hướng xây dựng thành phố thông minh tại Việt Nam, Bộ đánh giá camera giám sát thông minh là một trong những thiết bị nền tảng, và sẽ có thêm hàng chục triệu camera được đưa vào sử dụng trong thời gian tới.

Dựa trên kinh nghiệm của một số quốc gia như Singapore, Mỹ, và Anh, Bộ Thông tin và Truyền thông đã đưa ra dự thảo Quy chuẩn kỹ thuật quốc gia về yêu cầu an toàn thông tin cơ bản cho IP camera, đang được lấy ý kiến đến ngày 23/10.

Theo dự thảo, camera lưu hành, nghiên cứu và phát triển tại Việt Nam cần tuân thủ quy định về mật khẩu, quản lý lỗ hổng bảo mật, cập nhật, quản lý kênh giao tiếp và bảo vệ dữ liệu người dùng.

Một số yêu cầu cụ thể bao gồm: mật khẩu mặc định phải được khởi tạo duy nhất cho từng thiết bị và phải đáp ứng yêu cầu về độ phức tạp để chống lại các cuộc tấn công tự động; nhà sản xuất phải có hệ thống trực tuyến để tiếp nhận và công bố thông tin về lỗ hổng; và dữ liệu cá nhân thu thập từ thiết bị camera phải được truyền qua kênh kết nối an toàn và được mã hóa.

Bộ cho rằng việc ban hành quy chuẩn có thể làm tăng chi phí và giảm hiệu suất sản xuất, nhưng bù lại, người dùng sẽ cảm thấy an tâm hơn khi sử dụng, bảo vệ quyền riêng tư và dữ liệu cá nhân, cũng như giảm thiểu rủi ro mất dữ liệu quan trọng và thông tin nhạy cảm.