- Mùa thu năm ngoái, một lỗ hổng bảo mật nghiêm trọng mang mã CVE-2021-36260 được phát hiện trong các camera giám sát của hãng Hikvision. Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) đã xếp hạng mức độ nghiêm trọng của lỗ hổng nói trên lên đến 9,8/10. Dù đã được cảnh báo, hơn 80.000 thiết bị camera giám sát của Hikvision vẫn còn tồn tại lỗ hổng này, điều đó khiến chúng trở thành mục tiêu dễ dàng cho tội phạm mạng.
Với trụ sở đặt tại Trung Quốc, Hikvision hiện có khách hàng trải rộng trên hơn 100 quốc gia, bao gồm cả Mỹ. Tuy nhiên, vào năm 2019, Ủy ban Truyền thông Liên bang Mỹ (FCC) đã cảnh báo rằng Hikvision là "mối nguy cơ không thể chấp nhận được đối với an ninh quốc gia Mỹ".
Giám đốc cấp cao về tình báo mối đe dọa tại Cybrary David Maynor cho biết, camera Hikvision "chứa đựng các lỗ hổng hệ thống dễ bị khai thác hoặc tệ hơn là sử dụng thông tin đăng nhập mặc định". Ông nhấn mạnh rằng không có cách nào đáng tin cậy để xác minh một cách pháp lý rằng một vi phạm đã xảy ra hoặc kẻ tấn công đã bị từ chối quyền truy cập. Ông cũng chỉ ra rằng chưa có bất kỳ thay đổi nào trong chính sách bảo mật của Hikvision cho thấy công ty đã tăng cường biện pháp bảo vệ.
Tội phạm mạng đang lợi dụng sự thiếu hiểu biết và lười biếng của người dùng để tìm kiếm các thiết bị dễ bị tấn công thông qua các công cụ tìm kiếm chuyên dụng như Shodan hoặc Censys. Vấn đề càng trở nên nghiêm trọng khi nhiều camera Hikvision được cài đặt sẵn với mật khẩu mặc định mà người dùng không thay đổi.
Mức độ thiệt hại từ lỗ hổng CVE-2021-36260 hiện vẫn chưa được xác định rõ ràng. Các chuyên gia cho rằng các nhóm tội phạm mạng từ Trung Quốc như MISSION2025/APT41 và APT10 có khả năng khai thác lỗ hổng này để đạt được các mục tiêu địa chính trị.
Theo Paul Bischoff, một nhà nghiên cứu về quyền riêng tư tại Comparitech, vấn đề này không chỉ riêng của Hikvision mà còn là một thách thức chung của toàn ngành. Ông giải thích rằng các thiết bị IoT như camera không dễ dàng bảo mật như các ứng dụng trên điện thoại, bắt nguồn từ việc các bản cập nhật không được cài đặt tự động; người dùng cần tải xuống thủ công. Ông chia sẻ: "Trong khi điện thoại sẽ thông báo khi có bản cập nhật và có thể tự động cài đặt, các thiết bị IoT lại không mang lại sự tiện lợi tương tự".
Sự việc này một lần nữa nhấn mạnh tầm quan trọng của việc nâng cao nhận thức về bảo mật trong việc sử dụng các thiết bị công nghệ hiện đại.
