Các phần mềm doanh nghiệp thu thập và gửi thông tin nhạy cảm của khách hàng ra ngoài
Tuy không đưa ra những cái tên cụ thể, báo cáo của ExtraHop đã vạch ra những trường hợp khác nhau trong đó các công cụ an ninh doanh nghiệp gửi dữ liệu ra ngoài mà không báo trước cho người quản trị hệ thống. Trong số đó bao gồm phần mềm an ninh thiết bị đầu cuối, phần mềm quản lý thiết bị cho một bệnh viện, camera an inh và phần mềm phân tích an ninh được dùng bởi một tổ chức tài chính. Trong mỗi trường hợp, ExtraHop nói rằng phần mềm đã truyền dữ liệu ra bên ngoài. Trong một số trường hợp (ví dụ như phần mềm quản lý thiết bị của bệnh viện và phần mềm phân tích an ninh của tổ chức tài chính) còn có thêm rủi ro tiềm ẩn về pháp lý từ việc lộ thông tin nhạy cảm cho bên thứ ba.
"Các tổ chức doanh nghiệp đưa khối lượng dữ liệu khổng lồ vào tay các nhà cung cấp thứ ba. Trong một số trường hợp, như các ứng dụng SaaS, rõ ràng là dữ liệu của doanh nghiệp sẽ lưu trong môi trường của bên thứ ba", báo cáo của ExtraHop giải thích.
"Với các sản phẩm khác, đặc biệt là những sản phẩm đặt trong trung tâm dữ liệu của doanh nghiệp hoặc cơ sở hạ tầng đám mây, không rõ có bao nhiêu dữ liệu mà các nhà cung cấp đã gửi tới môi trường riêng của họ để phân tích".
Báo cáo lưu ý rằng việc thu thập và truyền dữ liệu không phải là hành vi bất hợp pháp hoặc rủi ro, miễn là nó được thực hiện đúng và được khách hàng biết/chấp nhận. Tuy nhiên, trong những trường hợp được phát hiện, hành vi của nhà cung cấp rõ rang là nguy hiểm.
Ví dụ, camera an ninh được phát hiện đang truyền dữ liệu đến địa chỉ IP ở Trung Quốc, địa chỉ được xác định là lưu trữ phần mềm độc hại và phần mềm phân tích có thể đã vi phạm Đạo luật Gramm-Leach-Bliley của Hoa Kỳ khi truyền thông tin nhận dạng cá nhân ra nước ngoài. Trong một trường hợp khác, các nhân viên đã tìm thấy phần mềm được cho là đã kết thúc thời gian dùng thử mà không mua vẫn tiếp tục thu thập thông tin trong ít nhất hai tháng sau đó.
ExtraHop lưu ý rằng mặc dù có thể không có bất kỳ hoạt động độc hại nào trong những trường hợp này, nhưng nhấn mạnh vẫn cần có sự theo dõi của quản trị viên để biết những ứng dụng nào đang chuyển dữ liệu qua mạng và định kỳ kiểm tra các phần mềm đang chạy, mỗi phần mềm đang truy cập những thông tin nào.
"Chúng tôi không biết lý do tại sao các nhà cung cấp này đang truyền dữ liệu về máy chủ của họ. Các công ty đều là những nhà cung cấp CNTT và bảo mật có danh tiếng, và rất có thể là họ truyền dữ liệu vì mục đích hợp pháp, do kiến trúc thiết kế của họ hoặc do cấu hình sai". "Nhưng việc một lượng lớn dữ liệu đang truyền từ môi trường của khách hàng đến nhà cung cấp mà khách hàng không biết hay không có sự đồng ý của khách hàng là vấn đề đáng ngại".
Nguyễn Anh Tuấn
The Register