Mã hóa dữ liệu trong hộ chiếu vaccine để đảm bảo an toàn thông tin

Sỹ Thiên| 04/12/2021 21:36
Theo dõi ICTVietnam trên

Nếu hộ chiếu vaccine không mã hóa dữ liệu, người dùng sẽ đứng trước nguy cơ rò rỉ dữ liệu và tội phạm mạng sẽ có thể lợi dụng các dữ liệu đó cho các loại tấn công khác nhau.

Hộ chiếu vaccine COVID-19 đang được các quốc gia triển khai nhằm nỗ lực đưa thế giới trở lại bình thường sau đại dịch. Tuy vậy, việc bảo mật dữ liệu cho hộ chiếu vaccine COVID-19 lại là một trở ngại cho quá trình này, do nhiều người lo ngại vấn nạn rò rỉ dữ liệu.

Theo trang Fast Company, nhiều hộ chiếu vaccine COVID-19 hoạt động bằng cách tạo ra mã QR hoặc mã vạch 2D và mỗi người dùng có thể quét mã vạch này để hiển thị bằng chứng đã tiêm chủng. Mã vạch được sử dụng trong một số hộ chiếu này không an toàn vì chúng không được tạo bằng dữ liệu mã hóa. Tuy nhiên, không phải là không có cách, thậm chí mã vạch trên hộ chiếu vaccine có thể được đảm bảo an toàn nếu các chính phủ quốc gia, các tổ chức quốc tế và các công ty công nghệ toàn cầu hợp tác với nhau để tận dụng tối đa những khả năng thú vị mà công nghệ này mang lại.

Thông tin xác thực của mỗi cá nhân được nhúng trong mã vạch, chứng minh tình trạng tiêm chủng và một số chi tiết cá nhân khác, tùy thuộc vào định dạng của mã vạch. Những thông tin này có thể bao gồm tên đầy đủ và ngày sinh của người dùng. Để đảm bảo tính xác thực và ngăn chặn gian lận, mã vạch cũng chứa một chữ ký số duy nhất.

Những hệ thống hộ chiếu vaccine thất bại vì thiếu bảo mật

Một số chương trình hộ chiếu vaccine đã phải xóa bỏ vì thiếu an toàn an ninh thông tin, trong đó có những chương trình ở bang New York và Quebec (Canada). Trong các trường hợp này, hộ chiếu vaccine đã bị chỉ trích vì mã vạch của người dùng bị lấy quá dễ dàng.

Chẳng hạn đối với trường hợp ở New York, theo Viện Nghiên cứu Kinh tế của Mỹ (AIER), ngoài những yếu tố như hệ thống hoạt động quá chậm chạp, cồng kềnh, ứng dụng tải yêu cầu người dùng phải có thiết bị smartphone iOS hoặc Android mới nhất, nghĩa là những người dùng điện thoại đã ra đời cách đây 4-5 năm sẽ không thể tải ứng dụng vaccine COVID-19, thì chương trình hộ chiếu vaccine của New York còn bị chỉ trích có các giao thức bảo mật vô cùng lỏng lẻo, khiến một cá nhân ngẫu nhiên dễ dàng đánh cắp danh tính của người khác. Bởi vì, để xem ai đó có đủ điều kiện nhận hộ chiếu vaccine hay không (và có được hồ sơ sức khỏe COVID-19 của họ), tất cả những gì cần là họ và tên, ngày sinh và mã bưu chính, không cần cả địa chỉ. Nếu nhập đủ thông tin, sau đó bạn sẽ được đưa đến màn hình thứ hai, và sẽ nhập thêm một số thông tin tương đối dễ dàng hơn để “xác minh danh tính”. Ngay cả khi nhập sai thông tin ở bước một, vẫn có thể quay lại và trả lời không giới hạn số lần cho đến khi có được sự kết hợp phù hợp. Chính vì thế, chương trình hộ chiếu vaccine COVID-19 này của New York đã thất bại và phải thay thế bằng một hệ thống khác.

Để giảm thiểu một số lo ngại, EU đã thiết lập tiêu chuẩn mở của riêng mình đối với hộ chiếu vắc xin - gọi là Chứng chỉ COVID kỹ thuật số của EU (EUDCC). Chứng chỉ này đã được 27 quốc gia EU và 18 quốc gia khác thông qua.

Tuy nhiên, điều này chưa giải quyết được vấn đề nội dung của chứng chỉ vaccine không được mã hóa, vì vậy bất kỳ ai có quyền truy cập vào mã vạch (và có các kỹ năng cần thiết) đều có thể giải mã và truy xuất mọi thông tin cá nhân có trong đó. Đây là trường hợp của hộ chiếu COVID-19 áp dụng ở EU, Canada, Vương quốc Anh, California và New Zealand. 

Để mã hóa các nội dung, dữ liệu của chứng chỉ COVID, phải có khóa mã hóa được liên kết với chứng chỉ và danh tính kỹ thuật số của chủ sở hữu. Hiện tại, hầu hết các mã vạch COVID-19 không mã hóa nội dung do thiếu hệ thống nhận dạng kỹ thuật số cũng như yêu cầu khi hoạt động ngoại tuyến (không kết nối được với mạng internet). 

Ngoài ra, còn một vấn đề khác với chứng chỉ COVID-19 hiện tại, đó là các chứng chỉ được ký bởi tổ chức phát hành (ví dụ: Dịch vụ Y tế Quốc gia của Anh) bằng cách sử dụng khóa hoặc mã của khu vực hoặc quốc gia cụ thể. Nếu ai đó có được khóa, họ có thể tạo chứng chỉ giả. Các nhà chức trách sẽ phải phản hồi các hộ chiếu COVID gian lận bằng cách thu hồi mã khóa bị xâm phạm, điều này có nghĩa là tất cả các chứng chỉ COVID hiện có sẽ trở nên không hợp lệ.

Thông tin trên trang Threat Post cho biết, một số tên tội phạm đã rao bán chứng chỉ COVID-19 được ký bằng khóa bị đánh cắp trên dark web. EU đã tổ chức "một số cuộc họp cấp cao" để điều tra hành vi trộm cắp này. Dirk Schrader, phó chủ tịch toàn cầu về nghiên cứu bảo mật của New Net Technologies (NNT), cho biết vụ rò rỉ khóa chứng chỉ COVID-19 này có thể sẽ là một vấn đề lớn khi khách du lịch ngày càng cần những bằng chứng chứng minh họ đã tiêm phòng. “Thị trường giấy chứng nhận tiêm chủng giả mạo như vậy có vẻ đầy hứa hẹn”, Dirk Schrader nói.

Mã hóa dữ liệu trong hộ chiếu vaccine để đảm bảo an toàn thông tin - Ảnh 1.

Một chứng chỉ vaccine COVID-19 mang tên Hitler Adolf sinh ngày 1/1/1900 trên mạng dark web, cho thấy tội phạm mạng có thể làm giả chứng chỉ tiêm chủng và bán ra ngoài. (Ảnh: Threat Post)

Tại sao sử dụng mã vạch?

Cho đến nay, việc quản lý danh tính kỹ thuật số cho người dùng máy tính vẫn bao gồm các bước  đơn giản là thông tin đăng nhập tên người dùng và mật khẩu. Về cơ bản, đó là một hệ thống đã hoạt động được hơn 60 năm. Nhưng sự bùng nổ của xu hướng làm việc và giải trí trực tuyến, những thách thức về an ninh mạng cũng như những lo ngại về quyền riêng tư đang thúc đẩy người dùng mong muốn kiểm soát chặt chẽ hơn danh tính kỹ thuật số của chính họ.

Mỗi cá nhân chúng ta, về cơ bản, được tạo thành từ hàng triệu sự thật/thông tin nhỏ về bản thân. Chúng ta muốn, những thông tin xác thực trong mã vạch có thể cho phép chúng ta chia sẻ một sự thật, thông tin duy nhất thay vì toàn bộ danh tính của chúng ta, phù hợp với từng tình huống cụ thể. Điều này chỉ có thể có được nếu dữ liệu được mã hóa đầy đủ.

Và chứng chỉ COVID-19 có thể thực hiện điều đó. Đó là một bằng chứng đơn giản về một sự thật cá nhân, về lý thuyết cho phép bạn chứng minh rằng bạn đã được chủng ngừa mà không cần tiết lộ thêm bất kỳ chi tiết nào khác. Thực tế về những hệ thống chứng chỉ không hoàn toàn an toàn, cho thấy cơ sở hạ tầng nhận dạng kỹ thuật số vẫn chưa đủ mạnh mẽ.

Rủi ro tấn công mạng từ hộ chiếu vaccine

Thông tin cá nhân liên quan đến giấy chứng nhận tiêm chủng không đặc biệt quá nhạy cảm vì những thông tin này thường dễ dàng tìm thấy ở những nơi khác, chẳng hạn như bằng lái xe, học bạ hoặc hộ chiếu. Nhưng trong tương lai, khi công nghệ này phổ biến hơn, chúng ta có thể sẽ sử dụng các chứng chỉ tương tự chứa thông tin xác thực có thể xác minh được trong hầu hết mọi khía cạnh của cuộc sống - chẳng hạn như để truy cập vào một tòa nhà hoặc dịch vụ hoặc phê duyệt mua hàng (cả tại cửa hàng và trực tuyến).

Điều này có hậu quả tích cực và tiêu cực cho người dùng. Về mặt tích cực, chúng ta sẽ chỉ cần cung cấp lượng thông tin cá nhân tối thiểu theo cách thân thiện với người dùng. Ví dụ, chúng ta sẽ có thể đăng ký vào các trang web mà không cần nhập tên.

Nhưng nếu chúng ta trình bày mã vạch không an toàn ở nhiều nơi, mỗi nơi chứa những sự thật nhỏ về bản thân, thì cuối cùng những mã vạch này có thể được kết hợp với nhau và danh tính của cá nhân liên quan có thể bị xâm phạm.

Đây là cách nhiều tội phạm mạng hiện đang hoạt động, kết hợp dữ liệu từ các nguồn thông tin khác nhau, cho phép xây dựng danh tính kỹ thuật số của một người theo thời gian. Điều này có thể làm tăng nguy cơ bị đánh cắp danh tính và có khả năng được sử dụng làm cơ sở cho nhiều loại tội phạm mạng.

Tuy nhiên, trước tất cả những lo ngại về hộ chiếu kỹ thuật số, chúng ta nên nhớ rằng nếu có thể được bảo mật trên quy mô quốc tế, loại công nghệ nhận dạng kỹ thuật số này có tiềm năng lớn với người dân - và không chỉ được áp dụng đối với giấy chứng nhận tiêm chủng.

Nổi bật Tạp chí Thông tin & Truyền thông
  • Bộ KH&CN ban hành Thông tư đầu tiên sau sau hợp nhất
    Ngày 31/3/2025, Bộ Khoa học và Công nghệ (KH&CN) đã ban hành Thông tư số 01/2025/TT-BKHCN về việc sửa đổi, bổ sung một số nội dung tại Phụ lục ban hành kèm theo Thông tư số 08/2021/TT-BTTTT ngày 14/10/2021 quy định Danh mục thiết bị vô tuyến điện được miễn giấy phép sử dụng tần số vô tuyến điện, điều kiện kỹ thuật và khai thác kèm theo.
  • Bảo đảm an toàn dữ liệu người sử dụng dịch vụ bưu chính là ưu tiên hàng đầu
    Mới đây, Bộ KH&CN vừa phát hành văn bản số 509/KHCN-BC gửi các doanh nghiệp bưu chính về việc tăng cường công tác bảo đảm an toàn dữ liệu người sử dụng dịch vụ bưu chính.
  • Tăng cường huy động nguồn lực KOLs trong hoạt động thông tin đối ngoại
    Năm 2024, Cục Thông tin đối ngoại (TTĐN) đã thành công việc đưa TTĐN lên không gian mới - không gian mạng - với nhiều kết quả đáng ghi nhận. Trong đó, có việc thí điểm thành công trong huy động những người có ảnh hưởng lớn trên mạng xã hội (MXH) cùng chung tay trong thực hiện nhiệm vụ cơ bản thứ hai của TTĐN đó là quảng bá hình ảnh quốc gia.
  • Tác giả Nhật Bản với những ý tưởng lôi cuốn trẻ đọc sách
    Với máy ảnh bằng bìa giấy, các món đồ chơi hết sức đơn giản bằng kẹp quần áo và giấy màu…, tác giả Yuichi Kimura với mái đầu bạc phơ đã khiến cho khoảng 20 em nhỏ ở nhiều lứa tuổi quên hẳn đi những thiết bị điện tử, game hay những trò giải trí cuốn hút khác từ công nghệ.
  • Microsoft và 15 cột mốc định hình tầm nhìn về AI
    Gã khổng lồ công nghệ Microsoft sắp bước qua cột mốc 50 năm thành lập với nhiều thách thức trong thời đại trí tuệ nhân tạo (AI). Hãy cùng khám phá cách Microsoft sẽ phát triển nền tảng, công cụ và cơ sở hạ tầng AI cho tương lai.
Đừng bỏ lỡ
Mã hóa dữ liệu trong hộ chiếu vaccine để đảm bảo an toàn thông tin
POWERED BY ONECMS - A PRODUCT OF NEKO