Nỗi lo ngại của công chúng về việc rò rỉ dữ liệu từ lâu đã tập trung vào các ngân hàng, nền tảng và công ty viễn thông. Nhưng một mối đe dọa gần gũi và đáng lo ngại hơn đang lan rộng vào các không gian sinh hoạt hàng ngày: camera an ninh kết nối internet được lắp đặt trong nhà, bệnh viện và các cơ sở công cộng.
Cảnh sát gần đây đã bắt giữ bốn nghi phạm bị cáo buộc tấn công khoảng 120.000 camera giao thức Internet trên toàn quốc. Các vụ bắt giữ diễn ra chỉ một năm sau khi hàng trăm video riêng tư — được quay trong nhà, phòng karaoke, phòng tập Pilates và thậm chí cả phòng sinh — xuất hiện trên các nền tảng phát trực tuyến bất hợp pháp của Trung Quốc.
Mặc dù đã nhiều lần trấn áp, các chuyên gia cảnh báo rằng các lỗ hổng tương tự vẫn tiếp tục bị khai thác, làm dấy lên câu hỏi về hiệu quả của hệ thống quản lý và chứng nhận thiết bị kết nối của Hàn Quốc.
Điều gì khiến camera IP dễ bị tấn công?
Camera IP trở nên phổ biến vì chúng rẻ hơn và dễ lắp đặt hơn so với hệ thống camera quan sát truyền thống. Không giống như CCTV, chúng kết nối trực tiếp với internet, cho phép người dùng xem hình ảnh từ xa thông qua điện thoại thông minh.
Sự tiện lợi đó cũng chính là điểm yếu lớn nhất của chúng.
Để cho phép xem từ xa, nhiều camera IP tải hình ảnh lên máy chủ đám mây thay vì truyền trực tiếp từ thiết bị. Những máy chủ đó thường được vận hành bởi các nhà cung cấp ở nước ngoài, khiến cho các vụ xâm phạm quy mô lớn dễ xảy ra hơn — và khó khăn hơn cho các nhà chức trách Hàn Quốc trong việc giám sát.
“Một khi máy chủ đám mây bị xâm phạm, một lượng lớn hình ảnh có thể bị lộ cùng một lúc,” ông Kim Yong-dae, giáo sư chủ nhiệm bộ môn CNTT tại Trường Cao học An ninh Thông tin của KAIST cho biết.
Theo Danawa Research, gần 80% camera IP bán tại Hàn Quốc được sản xuất bởi các công ty Trung Quốc, không công ty nào trong số đó có được chứng nhận an ninh Internet vạn vật trong nước của Hàn Quốc.
Mật khẩu dễ đoán, dễ bị xâm phạm
Sự tinh vi về mặt kỹ thuật không phải là rào cản chính đối với những kẻ tấn công.
Cảnh sát cho biết việc hack camera IP thường dựa vào việc đoán mật khẩu cơ bản và phần mềm chưa được vá lỗi, chứ không phải kỹ năng tin tặc cao cấp. Nhiều thiết bị thiếu yêu cầu mật khẩu tối thiểu, cho phép sử dụng các thông tin đăng nhập như “1234” hoặc “admin”. Một số mẫu giá rẻ thậm chí không yêu cầu mật khẩu.
“Một khi camera bị hack, nó thường bị nhắm mục tiêu nhiều lần”, một quan chức cảnh sát cho biết, đồng thời kêu gọi người dùng thay đổi mật khẩu mặc định và cập nhật phần mềm thường xuyên.
Sự đơn giản đó được phản ánh trong hồ sơ của các nghi phạm bị bắt giữ trong năm nay. Chỉ có một người có nền tảng về CNTT; những người khác đều thất nghiệp, tự kinh doanh hoặc là nhân viên văn phòng bình thường.
Các vụ vi phạm an ninh liên quan đến camera IP đã tái diễn trong hơn một thập kỷ. Năm 2021, tin tặc đã xâm nhập vào bảng điều khiển nhà thông minh gắn tường tại hơn 700 khu chung cư, làm rò rỉ hình ảnh từ khoảng 400.000 hộ gia đình lên mạng đen. Gần đây hơn, hình ảnh giám sát quán bar liên quan đến các thần tượng K-pop đã lan truyền rộng rãi trên mạng xã hội sau khi bị truy cập bất hợp pháp.
Khoảng trống pháp lý
Một số chuyên gia cho rằng cách tiếp cận của Hàn Quốc dựa quá nhiều vào việc tuân thủ tự nguyện.
Tại Anh, Đạo luật An ninh Sản phẩm và Cơ sở hạ tầng Viễn thông quy định các tiêu chuẩn an ninh cơ bản cho các thiết bị kết nối, bao gồm lệnh cấm sử dụng mật khẩu mặc định như “0000”. Hàn Quốc không có yêu cầu pháp lý tương đương.
Thay vào đó, Hàn Quốc vận hành một hệ thống chứng nhận an ninh IoT tự nguyện, được khởi động vào năm 2018 dưới sự quản lý của Bộ Khoa học và Công nghệ Thông tin và Cơ quan An ninh Internet Hàn Quốc. Hệ thống này bao gồm camera IP và các thiết bị kết nối khác, nhưng tỷ lệ áp dụng còn rất thấp.
Chi phí chứng nhận dao động từ 60 triệu won đến 200 triệu won (40.600 USD đến 135.400 USD), và việc tham gia là tùy chọn. Kết quả là, chỉ có 13 trong số khoảng 3.000 nhà sản xuất IoT trong nước đăng ký chứng nhận trong nửa đầu năm nay.
“Chính phủ cần xem xét lý do tại sao chứng nhận lại không hấp dẫn và không hiệu quả”, ông Kim nói, đồng thời cho rằng các cơ quan quản lý nên đánh giá lại xem các tiêu chuẩn hiện hành có đủ để ngăn chặn tin tặc hay không.
Các quy định nghiêm ngặt hơn sắp tới
Trước mối lo ngại ngày càng tăng của công chúng, chính phủ Hàn Quốc hiện đang can thiệp mạnh mẽ hơn.
Ngày 7 tháng 12, Bộ Khoa học và Công nghệ Thông tin Hàn Quốc, Ủy ban Bảo vệ Thông tin Cá nhân và Cơ quan Cảnh sát Quốc gia đã công bố kế hoạch triển khai khung quản lý an ninh camera IP tiên tiến, mở rộng phạm vi giám sát không chỉ trong khâu sản xuất và phân phối mà còn bao gồm cả phòng chống tấn công mạng và ứng phó sự cố.
Các cơ sở được đánh giá có nguy cơ cao vi phạm quyền riêng tư — như nhà tắm công cộng, cơ sở lưu trú và các cơ sở y tế có phòng mổ — sẽ được thông báo chính thức về nghĩa vụ pháp lý của họ theo Luật Bảo vệ Thông tin Cá nhân. Các nhà chức trách cũng sẽ điều tra các công ty liên quan đến các vụ rò rỉ video quy mô lớn về các vi phạm tiềm tàng.
Các cuộc kiểm tra chung tại các địa điểm dễ bị tổn thương, bao gồm bệnh viện và các tiệm massage, dự kiến sẽ bắt đầu trong tháng này. Một dự luật riêng đang được chuẩn bị để bắt buộc sử dụng camera IP được chứng nhận an ninh tại các phòng tập thể dục, studio yoga và Pilates, bể bơi, bệnh viện và trung tâm chăm sóc sau sinh.