2,57 triệu secrets bị lộ trên GitHub chỉ trong năm 2024 - con số lớn này không chỉ phản ánh mức độ lỏng lẻo của bảo mật doanh nghiệp hiện nay mà còn đặt ra một câu hỏi lớn: chúng ta có thực sự nghiêm túc và nhận thức được tầm quan trọng của bảo mật dữ liệu hay không? Có một thực tế đáng lo ngại: dù đã có cảnh báo, 99% lập trình viên vẫn không có hành động khắc phục. Vậy nguyên nhân do đâu? Là do thiếu kiến thức bảo mật, do lười, hay đơn giản là vì "chưa thấy quan tài chưa đổ lệ"? Đi sâu vào phân tích, bốn ngành dưới đây đang phải trả giá đắt nhất cho sự chủ quan của mình!
1. DỊCH VỤ CNTT & PHÁT TRIỂN PHẦN MỀM (47,3%)
Là ngành có chuyên môn công nghệ cao nhất, lẽ ra các công ty phần mềm phải dẫn đầu trong việc bảo vệ dữ liệu. Tuy nhiên, paradox xảy ra: chính họ lại là nhóm bị lộ secrets nhiều nhất, chiếm đến **! ** tổng số cases. Đây không đơn thuần là một con số, mà phản ánh cả một hệ thống tư duy bảo mật chưa đủ nghiêm túc! Một trong những nguyên nhân chính là văn hóa “chạy nhanh, fix sau” của ngành này. Khi dự án có deadline sát nút, khi khách hàng yêu cầu liên tục thay đổi tính năng, bảo mật thường bị đẩy xuống cuối danh sách ưu tiên. Lập trình viên cần kết nối API nhanh, thế là họ hardcode credentials vào mã nguồn. Họ cần test hệ thống, thế là push dữ liệu lên GitHub mà quên xóa API keys. Sai lầm này không chỉ đến từ cá nhân lập trình viên mà còn từ cách các công ty vận hành: bảo mật không phải là một phần bắt buộc của quy trình phát triển, mà chỉ là một thứ “nếu có thì tốt” ❌
2. GIÁO DỤC (20,4%)
Ngành giáo dục không được nhắc đến nhiều trong các cuộc thảo luận về bảo mật, nhưng thực tế là các trường đại học, trung tâm đào tạo, nền tảng học trực tuyến đều nắm giữ một lượng dữ liệu cá nhân khổng lồ: thông tin sinh viên, lịch sử thanh toán, dữ liệu học tập, và thậm chí cả tài liệu nghiên cứu nội bộ. Với mức độ số hóa ngày càng cao, việc các API keys, tokens bị lộ đồng nghĩa với nguy cơ hệ thống bị xâm nhập, dữ liệu bị đánh cắp và danh tiếng tổ chức bị ảnh hưởng nặng nề. Một trong những nguyên nhân lớn nhất của vấn đề này là sự thiếu hụt nhân sự và quy trình bảo mật. Không như các công ty công nghệ, hầu hết các tổ chức giáo dục không có team security chuyên trách. Các hệ thống quản lý sinh viên thường được phát triển bởi bên thứ ba hoặc do chính đội ngũ IT nội bộ xây dựng mà không có sự giám sát chặt chẽ về bảo mật. API keys thường bị hardcode vào mã nguồn hoặc được chia sẻ công khai giữa các nhóm mà không có biện pháp bảo vệ. Câu hỏi đặt ra là: một khi dữ liệu học viên bị lộ, ai sẽ chịu trách nhiệm? Sẽ không có ai đứng ra nhận lỗi, bởi lẽ trong nhiều trường hợp ngay cả những người quản lý hệ thống cũng không ý thức được rằng dữ liệu của mình có thể đã bị đánh cắp từ lâu.
3. TRUYỀN THÔNG & GIẢI TRÍ (7,7%)
Với sự phát triển của nền tảng kỹ thuật số, các công ty truyền thông và giải trí ngày càng phụ thuộc vào API để kết nối với đối tác quảng cáo, hệ thống phân phối nội dung và nền tảng mạng xã hội. Nhưng điều đó cũng có nghĩa là chỉ cần một API key bị lộ, hacker có thể kiểm soát toàn bộ hệ thống, từ việc chiếm quyền quản trị fanpage triệu followers đến việc chạy quảng cáo trái phép với ngân sách hàng trăm triệu đồng. Một trong những vấn đề lớn nhất của ngành này là quy trình quản lý API keys chưa đủ chặt chẽ. Nhiều công ty vẫn lưu trữ credentials trong file config mà không mã hóa, hoặc sử dụng cùng một API key cho nhiều dịch vụ khác nhau. Một khi thông tin này bị rò rỉ trên GitHub hoặc bị đánh cắp, hacker có thể dùng nó để khai thác hàng loạt hệ thống liên quan. Vấn đề nằm ở chỗ, khi một vụ lộ secrets xảy ra, công ty không chỉ mất tiền mà còn mất lòng tin từ khách hàng. Một nền tảng giải trí có hàng triệu người dùng nhưng bị hacker kiểm soát có thể mất đi giá trị thương hiệu chỉ sau một đêm. Những thiệt hại này không dễ phục hồi, và phần lớn công ty chỉ nhận ra điều đó khi đã quá muộn.
4. BLOCKCHAIN (3,2%)
Không giống các ngành khác, blockchain có một đặc điểm rất nguy hiểm: một khi thông tin bị lộ, không có cách nào khôi phục lại tài sản bị mất. Nếu một hacker lấy được private key của một ví tiền mã hóa, họ có thể chuyển toàn bộ tài sản sang một địa chỉ khác, và số tiền đó sẽ biến mất vĩnh viễn. Không có ngân hàng nào hoàn tiền, không có hệ thống hỗ trợ nào giúp khôi phục quyền truy cập. Vậy tại sao vẫn có nhiều dự án blockchain để lộ secrets? Một phần đến từ việc hệ sinh thái này còn quá mới, thiếu các tiêu chuẩn bảo mật rõ ràng. Nhiều startup crypto phát triển phần mềm mà không đầu tư đủ vào bảo mật, lập trình viên lưu trữ private key trên máy cá nhân, hoặc push thẳng lên GitHub mà quên xóa. Một lỗi nhỏ trong mã smart contract có thể bị hacker khai thác để rút cạn tài sản trong hệ thống. Với tốc độ phát triển của blockchain, chỉ trong một đêm, một dự án có thể mất hàng triệu USD chỉ vì một dòng code sai. Nhưng điều đáng buồn là rất nhiều công ty vẫn chưa học được bài học này.
5. Bao giờ doanh nghiệp của tôi bị tấn công?
Hầu hết các doanh nghiệp và tổ chức chỉ nhận ra tầm quan trọng của bảo mật khi đã phải trả giá. Nhưng khi đã để secrets bị lộ, thì gần như không còn cơ hội sửa chữa, dữ liệu bị đánh cắp, tài khoản bị chiếm đoạt, hệ thống bị xâm nhập. Điều này đặt ra một câu hỏi lớn: Tại sao một vấn đề có thể phòng tránh lại cứ lặp đi lặp lại? Phải chăng nguyên nhân nằm ở tâm lý chủ quan? Hay vấn đề nằm ở tư duy vận hành? Hay do sự phụ thuộc vào những biện pháp bảo mật truyền thống? Câu chuyện này có một điểm chung: hacker không cần phải quá giỏi để đánh cắp dữ liệu - chúng chỉ cần bạn mắc sai lầm. Và điều nguy hiểm nhất không phải là một secrets bị lộ, mà là sự im lặng khi sự cố đã xảy ra. Nếu ngay cả khi đã có cảnh báo, chúng ta vẫn không hành động, thì vấn đề không còn nằm ở hacker nữa mà nằm ở chính cách chúng ta nhìn nhận về bảo mật. Vậy câu hỏi đặt ra không phải là “Bao giờ doanh nghiệp của tôi bị tấn công?” mà là “Tôi có muốn chờ đến khi bị tấn công mới hành động?”
📌 Bài viết trích từ Báo cáo Tình trạng lộ lọt dữ liệu Secrets tại Việt Nam 2024 do CyStack thực hiện. Xem báo cáo đầy đủ tại link trong phần bình luận.