Một nhà nghiên cứu an ninh mạng trong lúc lướt Instagram một cách tình cờ đã có một khám phá gây sốc khi họ thành công trích xuất số hộ chiếu của cựu Thủ tướng Australia Tony Abbott từ một bức ảnh thẻ lên máy bay mà ông chia sẻ trên mạng xã hội. Sự việc này làm nổi bật những lỗ hổng bảo mật vẫn tồn tại ngay cả trong năm 2025, mặc dù đã được báo cáo lần đầu vào năm 2020.
Nhà nghiên cứu Alex tình cờ phát hiện hình ảnh thẻ lên máy bay của Abbott khi đang lướt Instagram. Điều bắt đầu chỉ là sự tò mò về việc liệu những người nổi tiếng có nên chia sẻ những bức ảnh như vậy hay không đã nhanh chóng leo thang thành một minh chứng thực tế về rủi ro riêng tư. Sử dụng các kỹ thuật cơ bản mà bất kỳ ai cũng có thể tiếp cận, Alex đã thành công truy cập thông tin cá nhân nhạy cảm lẽ ra phải được giữ bí mật.
 |
|---|
| Ảnh chụp màn hình Instagram hiển thị #boardingpass, phản ánh thói quen mạng xã hội đã dẫn đến vi phạm quyền riêng tư |
Các bước đơn giản dẫn đến vi phạm riêng tư nghiêm trọng
Quy trình này đáng ngạc nhiên là khá đơn giản và không yêu cầu kỹ năng hack nâng cao nào. Alex trước tiên đã cố gắng quét mã vạch trên thẻ lên máy bay nhưng phát hiện rằng nó không hoạt động qua hình ảnh Instagram. Tuy nhiên, họ nhận thấy điều gì đó dễ tiếp cận hơn - số tham chiếu đặt chỗ hiển thị rõ ràng trên giấy.
Với số tham chiếu đặt chỗ trong tay, Alex truy cập trang web của Virgin Australia và sử dụng tính năng quản lý đặt chỗ tiêu chuẩn của họ. Bằng cách nhập số tham chiếu đặt chỗ cùng với họ của Abbott, hệ thống đã cấp quyền truy cập vào toàn bộ chi tiết chuyến bay, bao gồm cả số hộ chiếu. Điều này cho thấy các trang web hàng không, được thiết kế để thuận tiện cho khách hàng, có thể vô tình làm lộ dữ liệu nhạy cảm khi thông tin đặt chỗ rơi vào tay kẻ xấu.
Thông tin được trích xuất từ thẻ lên máy bay:
- Số tham chiếu đặt chỗ (có thể nhìn thấy trên giấy)
- Tên hành khách ( Tony Abbott )
- Chi tiết chuyến bay ( Virgin Australia )
- Số hộ chiếu (truy cập thông qua trang web hãng hàng không)
- Số điện thoại (lấy từ hệ thống đặt chỗ)
 |
|---|
| Ảnh chụp màn hình hệ thống quản lý đặt chỗ minh họa việc truy cập thông tin nhạy cảm của hành khách có thể dễ dàng như thế nào |
Làm mờ kiểu mosaic mang lại cảm giác an toàn giả tạo
Sự việc này tiết lộ những lỗ hổng quan trọng trong cách mọi người cố gắng bảo vệ thông tin nhạy cảm trực tuyến. Các cuộc thảo luận cộng đồng nhấn mạnh rằng việc làm mờ kiểu mosaic thường được sử dụng để ẩn dữ liệu là không hiệu quả, đặc biệt trong hình ảnh động hoặc gif nơi mà mẫu thay đổi và cung cấp thêm thông tin để tái tạo lại.
Mosaic như anh ấy sử dụng trong hình ảnh không phải là cách an toàn để ẩn dữ liệu nhạy cảm, đặc biệt là loại có chuyển động như trong gif nơi anh ấy cuộn xuống, mosaic thay đổi và cung cấp thêm dữ liệu để tái tạo bản gốc. Cách an toàn là che đen hoàn toàn.
Hiểu biết kỹ thuật này cho thấy tại sao các phương pháp che đen hoàn toàn là cần thiết thay vì các kỹ thuật che mờ một phần mà nhiều người dựa vào.
Các Phương Pháp Ẩn Dữ Liệu An Toàn:
- ❌ Mosaic/làm mờ điểm ảnh (có thể được khôi phục lại)
- ❌ Lớp phủ bán trong suốt (điều chỉnh độ tương phản sẽ làm lộ dữ liệu)
- ❌ Công cụ đánh dấu (có thể không hoàn toàn mờ đục)
- ✅ Hình chữ nhật đen hoàn toàn (phương pháp được khuyến nghị)
 |
|---|
| Trang web từ Australian Signals Directorate , nhấn mạnh tầm quan trọng của việc báo cáo các mối đe dọa mạng và những lỗ hổng trong thực hành bảo mật |
Số hộ chiếu nhạy cảm hơn mong đợi
Khám phá này đã khơi mào cuộc tranh luận về mức độ nhạy cảm thực sự của số hộ chiếu trong thực tế. Ở Australia, số hộ chiếu đóng vai trò quan trọng trong hệ thống xác minh danh tính. Đất nước này sử dụng hệ thống chứng minh danh tính 100 điểm trong đó hộ chiếu đóng vai trò là tài liệu chính trị giá 60-70 điểm để chứng minh danh tính của ai đó.
Không giống như các quốc gia có hệ thống ID quốc gia, Australia phụ thuộc rất nhiều vào hộ chiếu để xác minh danh tính. Điều này làm cho số hộ chiếu trở nên đặc biệt có giá trị cho việc trộm cắp danh tính khi kết hợp với thông tin bị đánh cắp khác. Những con số này được sử dụng để đăng ký số điện thoại, dịch vụ chính phủ và các kiểm tra danh tính doanh nghiệp khác nhau.
Hệ thống nhận dạng 100 điểm của Australia:
- Hộ chiếu: 60-70 điểm (tài liệu chính)
- Giấy khai sinh: Giá trị điểm cao tương tự
- Bằng lái xe: Giá trị điểm thấp hơn
- Cần nhiều tài liệu để đạt đủ 100 điểm cho việc xác minh danh tính
Lỗ hổng vẫn còn phổ biến
Mặc dù sự việc này xảy ra vào năm 2020, các vấn đề bảo mật cơ bản vẫn tồn tại cho đến ngày nay. Nhiều hãng hàng không tiếp tục hiển thị thông tin nhạy cảm trên thẻ lên máy bay và thẻ hành lý, khiến lời khuyên tránh đăng tài liệu du lịch trực tuyến vẫn rất có ý nghĩa. Trường hợp này cho thấy thói quen chia sẻ trên mạng xã hội có thể tạo ra những rủi ro bảo mật không mong đợi.
Các tác động pháp lý khác nhau tùy theo quốc gia, với một số khu vực pháp lý có khả năng coi việc thu thập thông tin như vậy là lạm dụng máy tính, ngay cả khi được truy cập thông qua các tính năng trang web hợp pháp. Điều này tạo ra một khu vực xám nơi nghiên cứu dựa trên sự tò mò giao thoa với luật riêng tư.
Sự việc này đóng vai trò như một lời nhắc nhở rằng bảo mật thông tin cá nhân thường phụ thuộc vào việc hiểu cách những bài đăng trên mạng xã hội tưởng chừng vô hại có thể bị khai thác thông qua các phương pháp truy cập hợp pháp nhưng không mong muốn.
Tham khảo: When you browse Instagram and find former Australian Prime Minister Tony Abbott's passport number