Theo TechCrunch, Andrew Lemon - một nhà nghiên cứu tại Red Threat (Mỹ), đã công bố những phát hiện của mình sau khi điều tra tính bảo mật của nhiều mô hình bộ điều khiển đèn giao thông khác nhau. Điều này bắt nguồn từ thiết bị mang tên Intelight X-1 chứa lỗ hổng bảo mật nghiêm trọng khi hoàn toàn không có xác thực trên giao diện web. Kết quả là, bất kỳ ai có quyền truy cập qua internet có thể toàn quyền kiểm soát đèn giao thông được kết nối.

Theo Lemon, thời gian đèn bật có thể bị thao túng, dẫn đến tình trạng kẹt xe nghiêm trọng có thể xảy ra thông qua một cuộc tấn công từ chối dịch vụ (DoS) này. Ví dụ ông tưởng tượng ra một tình huống mà đèn giao thông chuyển sang màu xanh trong 3 phút theo một hướng, sau đó khi đèn hướng còn lại chuyển sang màu xanh, thời gian đếm ngược chỉ là 3 giây. Lemon cho biết: "Tôi thực sự không tin nổi. Tôi rất sốc khi một điều hiển nhiên như vậy lại có thể bị bỏ sót".

Mức độ của lỗ hổng này vẫn chưa rõ ràng. Lemon và nhóm của mình đã xác định được khoảng 30 thiết bị có sử dụng Intelight có thể truy cập trực tuyến, nhưng tổng số vẫn chưa được biết.

Đáng chú ý hơn nữa, nỗ lực của Lemon trong việc báo cáo lỗi một cách có trách nhiệm với Q-Free, công ty sở hữu Intelight, lại mang đến phản hồi gây sốc. Thay thì tiếp thu sửa lỗi, Q-Free lại gửi cho Lemon một lá thư pháp lý. Bức thư khẳng định Intelight X-1 không còn được bán nữa và việc nghiên cứu nó có thể vi phạm đạo luật gian lận và lạm dụng máy tính (CFAA) - mặc dù không có thông tin cụ thể về hành vi vi phạm nào được Q-Free nêu ra.

Q-Free tiếp tục gây sức ép buộc Lemon phải giữ lại những phát hiện của mình, với viện dẫn những lo ngại tiềm ẩn về an ninh quốc gia và trách nhiệm pháp lý tiềm ẩn đối với Red Threat. Lemon cho biết Q-Free dường như quan tâm đến việc bịt miệng ông hơn là giải quyết vấn đề. Về phần mình, Q-Free vẫn chưa đưa ra phản hồi yêu cầu bình luận.

Bên cạnh đó, Lemon cũng phát hiện ra các lỗ hổng tiềm ẩn trong các thiết bị điều khiển giao thông do Econolite sản xuất. Các thiết bị này sử dụng giao thức NTCIP, một tiêu chuẩn công nghiệp có điểm yếu bảo mật trong một thời gian dài. Đối với các thiết bị bị lộ, kẻ tấn công có khả năng thao túng các thiết lập như thời gian chu kỳ đèn hoặc thậm chí kích hoạt nhấp nháy đồng bộ trên toàn bộ giao lộ.

Econolite thừa nhận vấn đề nhưng tuyên bố các thiết bị bị ảnh hưởng đã lỗi thời và khuyến nghị khách hàng nên nâng cấp lên các mẫu mới hơn. Họ cũng nhấn mạnh tầm quan trọng của các biện pháp bảo mật mạng phù hợp và hạn chế quyền truy cập vào cơ sở hạ tầng quan trọng từ internet mở.

Những lỗ hổng nói trên nêu bật một thực tế đáng lo ngại, đó là hệ thống đèn giao thông vốn rất quan trọng đối với mạng lưới giao thông nhưng lại dễ bị tấn công mạng. Những phát hiện của Lemon thúc giục cả nhà sản xuất và khách hàng nên ưu tiên các biện pháp bảo mật hiệu quả cho hệ thống kiểm soát giao thông. Hành động ngay lập tức là rất quan trọng để bảo vệ cơ sở hạ tầng khỏi sự gián đoạn tiềm ẩn và đảm bảo lưu thông thông suốt.