Mã hóa dữ liệu trong hộ chiếu vaccine để đảm bảo an toàn thông tin

Thứ hai, 06/12/2021 23:33

Nếu hộ chiếu vaccine không mã hóa dữ liệu, người dùng sẽ đứng trước nguy cơ rò rỉ dữ liệu và tội phạm mạng sẽ có thể lợi dụng các dữ liệu đó cho các loại tấn công khác nhau.

20211206-ta10.jpg

Hộ chiếu vaccine COVID-19 đang được các quốc gia triển khai nhằm nỗ lực đưa thế giới trở lại bình thường sau đại dịch. Tuy vậy, việc bảo mật dữ liệu cho hộ chiếu vaccine COVID-19 lại là một trở ngại cho quá trình này, do nhiều người lo ngại vấn nạn rò rỉ dữ liệu.

Theo trang Fast Company, nhiều hộ chiếu vaccine COVID-19 hoạt động bằng cách tạo ra mã QR hoặc mã vạch 2D và mỗi người dùng có thể quét mã vạch này để hiển thị bằng chứng đã tiêm chủng. Mã vạch được sử dụng trong một số hộ chiếu này không an toàn vì chúng không được tạo bằng dữ liệu mã hóa. Tuy nhiên, không phải là không có cách, thậm chí mã vạch trên hộ chiếu vaccine có thể được đảm bảo an toàn nếu các chính phủ quốc gia, các tổ chức quốc tế và các công ty công nghệ toàn cầu hợp tác với nhau để tận dụng tối đa những khả năng thú vị mà công nghệ này mang lại.

Thông tin xác thực của mỗi cá nhân được nhúng trong mã vạch, chứng minh tình trạng tiêm chủng và một số chi tiết cá nhân khác, tùy thuộc vào định dạng của mã vạch. Những thông tin này có thể bao gồm tên đầy đủ và ngày sinh của người dùng. Để đảm bảo tính xác thực và ngăn chặn gian lận, mã vạch cũng chứa một chữ ký số duy nhất.

Những hệ thống hộ chiếu vaccine thất bại vì thiếu bảo mật

Một số chương trình hộ chiếu vaccine đã phải xóa bỏ vì thiếu an toàn an ninh thông tin, trong đó có những chương trình ở bang New York và Quebec (Canada). Trong các trường hợp này, hộ chiếu vaccine đã bị chỉ trích vì mã vạch của người dùng bị lấy quá dễ dàng.

Chẳng hạn đối với trường hợp ở New York, theo Viện Nghiên cứu Kinh tế của Mỹ (AIER), ngoài những yếu tố như hệ thống hoạt động quá chậm chạp, cồng kềnh, ứng dụng tải yêu cầu người dùng phải có thiết bị smartphone iOS hoặc Android mới nhất, nghĩa là những người dùng điện thoại đã ra đời cách đây 4-5 năm sẽ không thể tải ứng dụng vaccine COVID-19, thì chương trình hộ chiếu vaccine của New York còn bị chỉ trích có các giao thức bảo mật vô cùng lỏng lẻo, khiến một cá nhân ngẫu nhiên dễ dàng đánh cắp danh tính của người khác. Bởi vì, để xem ai đó có đủ điều kiện nhận hộ chiếu vaccine hay không (và có được hồ sơ sức khỏe COVID-19 của họ), tất cả những gì cần là họ và tên, ngày sinh và mã bưu chính, không cần cả địa chỉ. Nếu nhập đủ thông tin, sau đó bạn sẽ được đưa đến màn hình thứ hai, và sẽ nhập thêm một số thông tin tương đối dễ dàng hơn để “xác minh danh tính”. Ngay cả khi nhập sai thông tin ở bước một, vẫn có thể quay lại và trả lời không giới hạn số lần cho đến khi có được sự kết hợp phù hợp. Chính vì thế, chương trình hộ chiếu vaccine COVID-19 này của New York đã thất bại và phải thay thế bằng một hệ thống khác.

Để giảm thiểu một số lo ngại, EU đã thiết lập tiêu chuẩn mở của riêng mình đối với hộ chiếu vắc xin - gọi là Chứng chỉ COVID kỹ thuật số của EU (EUDCC). Chứng chỉ này đã được 27 quốc gia EU và 18 quốc gia khác thông qua.

Tuy nhiên, điều này chưa giải quyết được vấn đề nội dung của chứng chỉ vaccine không được mã hóa, vì vậy bất kỳ ai có quyền truy cập vào mã vạch (và có các kỹ năng cần thiết) đều có thể giải mã và truy xuất mọi thông tin cá nhân có trong đó. Đây là trường hợp của hộ chiếu COVID-19 áp dụng ở EU, Canada, Vương quốc Anh, California và New Zealand. 

Để mã hóa các nội dung, dữ liệu của chứng chỉ COVID, phải có khóa mã hóa được liên kết với chứng chỉ và danh tính kỹ thuật số của chủ sở hữu. Hiện tại, hầu hết các mã vạch COVID-19 không mã hóa nội dung do thiếu hệ thống nhận dạng kỹ thuật số cũng như yêu cầu khi hoạt động ngoại tuyến (không kết nối được với mạng internet). 

Ngoài ra, còn một vấn đề khác với chứng chỉ COVID-19 hiện tại, đó là các chứng chỉ được ký bởi tổ chức phát hành (ví dụ: Dịch vụ Y tế Quốc gia của Anh) bằng cách sử dụng khóa hoặc mã của khu vực hoặc quốc gia cụ thể. Nếu ai đó có được khóa, họ có thể tạo chứng chỉ giả. Các nhà chức trách sẽ phải phản hồi các hộ chiếu COVID gian lận bằng cách thu hồi mã khóa bị xâm phạm, điều này có nghĩa là tất cả các chứng chỉ COVID hiện có sẽ trở nên không hợp lệ.

Thông tin trên trang Threat Post cho biết, một số tên tội phạm đã rao bán chứng chỉ COVID-19 được ký bằng khóa bị đánh cắp trên dark web. EU đã tổ chức "một số cuộc họp cấp cao" để điều tra hành vi trộm cắp này. Dirk Schrader, phó chủ tịch toàn cầu về nghiên cứu bảo mật của New Net Technologies (NNT), cho biết vụ rò rỉ khóa chứng chỉ COVID-19 này có thể sẽ là một vấn đề lớn khi khách du lịch ngày càng cần những bằng chứng chứng minh họ đã tiêm phòng. “Thị trường giấy chứng nhận tiêm chủng giả mạo như vậy có vẻ đầy hứa hẹn”, Dirk Schrader nói.

Mã hóa dữ liệu trong hộ chiếu vaccine để đảm bảo an toàn thông tin - Ảnh 1.

Một chứng chỉ vaccine COVID-19 mang tên Hitler Adolf sinh ngày 1/1/1900 trên mạng dark web, cho thấy tội phạm mạng có thể làm giả chứng chỉ tiêm chủng và bán ra ngoài. (Ảnh: Threat Post)

Tại sao sử dụng mã vạch?

Cho đến nay, việc quản lý danh tính kỹ thuật số cho người dùng máy tính vẫn bao gồm các bước  đơn giản là thông tin đăng nhập tên người dùng và mật khẩu. Về cơ bản, đó là một hệ thống đã hoạt động được hơn 60 năm. Nhưng sự bùng nổ của xu hướng làm việc và giải trí trực tuyến, những thách thức về an ninh mạng cũng như những lo ngại về quyền riêng tư đang thúc đẩy người dùng mong muốn kiểm soát chặt chẽ hơn danh tính kỹ thuật số của chính họ.

Mỗi cá nhân chúng ta, về cơ bản, được tạo thành từ hàng triệu sự thật/thông tin nhỏ về bản thân. Chúng ta muốn, những thông tin xác thực trong mã vạch có thể cho phép chúng ta chia sẻ một sự thật, thông tin duy nhất thay vì toàn bộ danh tính của chúng ta, phù hợp với từng tình huống cụ thể. Điều này chỉ có thể có được nếu dữ liệu được mã hóa đầy đủ.

Và chứng chỉ COVID-19 có thể thực hiện điều đó. Đó là một bằng chứng đơn giản về một sự thật cá nhân, về lý thuyết cho phép bạn chứng minh rằng bạn đã được chủng ngừa mà không cần tiết lộ thêm bất kỳ chi tiết nào khác. Thực tế về những hệ thống chứng chỉ không hoàn toàn an toàn, cho thấy cơ sở hạ tầng nhận dạng kỹ thuật số vẫn chưa đủ mạnh mẽ.

Rủi ro tấn công mạng từ hộ chiếu vaccine

Thông tin cá nhân liên quan đến giấy chứng nhận tiêm chủng không đặc biệt quá nhạy cảm vì những thông tin này thường dễ dàng tìm thấy ở những nơi khác, chẳng hạn như bằng lái xe, học bạ hoặc hộ chiếu. Nhưng trong tương lai, khi công nghệ này phổ biến hơn, chúng ta có thể sẽ sử dụng các chứng chỉ tương tự chứa thông tin xác thực có thể xác minh được trong hầu hết mọi khía cạnh của cuộc sống - chẳng hạn như để truy cập vào một tòa nhà hoặc dịch vụ hoặc phê duyệt mua hàng (cả tại cửa hàng và trực tuyến).

Điều này có hậu quả tích cực và tiêu cực cho người dùng. Về mặt tích cực, chúng ta sẽ chỉ cần cung cấp lượng thông tin cá nhân tối thiểu theo cách thân thiện với người dùng. Ví dụ, chúng ta sẽ có thể đăng ký vào các trang web mà không cần nhập tên.

Nhưng nếu chúng ta trình bày mã vạch không an toàn ở nhiều nơi, mỗi nơi chứa những sự thật nhỏ về bản thân, thì cuối cùng những mã vạch này có thể được kết hợp với nhau và danh tính của cá nhân liên quan có thể bị xâm phạm.

Đây là cách nhiều tội phạm mạng hiện đang hoạt động, kết hợp dữ liệu từ các nguồn thông tin khác nhau, cho phép xây dựng danh tính kỹ thuật số của một người theo thời gian. Điều này có thể làm tăng nguy cơ bị đánh cắp danh tính và có khả năng được sử dụng làm cơ sở cho nhiều loại tội phạm mạng.

Tuy nhiên, trước tất cả những lo ngại về hộ chiếu kỹ thuật số, chúng ta nên nhớ rằng nếu có thể được bảo mật trên quy mô quốc tế, loại công nghệ nhận dạng kỹ thuật số này có tiềm năng lớn với người dân - và không chỉ được áp dụng đối với giấy chứng nhận tiêm chủng.

banner
icon

Cổng dịch vụ công
Quốc Gia

Những thông tin thủ tục hành chính
khai báo online tại đây

Xem chi tiết icon
icon

Chính sách
pháp luật Việt Nam

Cập nhật thông tin, chính sách
pháp luật Việt Nam

Xem chi tiết icon

Cổng thông tin điện tử của các đơn vị thuộc Bộ

Doanh nghiệp

Top