Bị tấn công dữ liệu sức khỏe: Nhà sản xuất nhẫn thông minh phản hồi gây lo ngại

Sự cố bảo mật khiến dữ liệu người dùng rơi vào tay hacker

Những ngày gần đây, một nhóm hacker đã xâm nhập vào hệ thống của Oura, nhà sản xuất nhẫn đo sức khỏe nổi tiếng. Họ khai thác lỗ hổng để lấy được thông tin cá nhân và dữ liệu y tế của hàng ngàn người dùng, bao gồm nhịp tim, độ oxy trong máu, và thậm chí lịch sử bệnh lý.

Cách hacker thực hiện vụ tấn công

  • Tận dụng lỗ hổng API: Các đại lý không được bảo vệ đúng mức đã cho phép truy cập trái phép vào cơ sở dữ liệu.
  • Phương pháp “credential stuffing”: Sử dụng danh sách username-password rò rỉ từ các vụ tấn công trước để đăng nhập vào tài khoản Oura.
  • Thu thập dữ liệu qua webhook: Các yêu cầu tự động đã được chuyển sang máy chủ của hacker, cho phép họ sao chép dữ liệu trong thời gian thực.

Ảnh hưởng của vụ rò rỉ dữ liệu

  • Rủi ro y tế: Thông tin về bệnh tim mạch, giấc ngủ kém, và các chỉ số sinh lý khác có thể bị lạm dụng trong việc mua bảo hiểm hoặc các mục đích thương mại không mong muốn.
  • Mất niềm tin của người dùng: Nhiều khách hàng đã phản hồi mạnh mẽ trên các diễn đàn và mạng xã hội, yêu cầu Oura giải thích và khôi phục an toàn dữ liệu.
  • Mối đe dọa pháp lý: Luật bảo vệ dữ liệu cá nhân (GDPR, CCPA…) có thể khiến Oura phải chịu phạt lớn nếu không đáp ứng các yêu cầu khôi phục và thông báo kịp thời.

Phản hồi của Oura: “Chúng tôi đang làm mọi cách để khắc phục”

Sau khi vụ việc được công khai, Oura đã phát hành một bản tuyên bố ngắn gọn:

  • Bảo mật ưu tiên: Công ty khẳng định đã “đóng ngay” lỗ hổng và triển khai biện pháp mã hoá dữ liệu đầu cuối.
  • Thông báo cho người dùng: Oura hứa sẽ gửi email cá nhân tới những người bị ảnh hưởng, kèm theo hướng dẫn thay đổi mật khẩu và kích hoạt xác thực hai yếu tố (2FA).
  • Hợp tác với chuyên gia: Oura đã mời một công ty an ninh mạng độc lập để tiến hành đánh giá toàn diện và công bố báo cáo chi tiết trong 30 ngày tới.

Tuy nhiên, phản hồi này vẫn chưa làm dịu lo ngại của cộng đồng. Nhiều người cho rằng Oura chưa cung cấp chi tiết về phạm vi dữ liệu bị rò rỉ và thời gian hacker đã có quyền truy cập.

Những biện pháp người dùng nên thực hiện ngay

  1. Thay đổi mật khẩu: Sử dụng mật khẩu mạnh, không trùng lặp với các tài khoản khác.
  2. Kích hoạt 2FA: Đảm bảo mọi lần đăng nhập đều yêu cầu mã xác thực bổ sung.
  3. Kiểm tra quyền truy cập: Xem xét các ứng dụng và dịch vụ liên kết với tài khoản Oura, gỡ bỏ các liên kết không cần thiết.
  4. Theo dõi báo cáo tài chính: Nếu phát hiện giao dịch bất thường, liên hệ ngân hàng và cơ quan bảo vệ người tiêu dùng ngay.

Bước tiếp theo cho Oura và ngành công nghiệp đeo thiết bị

  • Cải thiện quy trình bảo mật: Áp dụng mã hoá đầu cuối mặc định cho mọi dữ liệu nhạy cảm.
  • Cập nhật thường xuyên: Phát hành bản vá bảo mật ít nhất mỗi quý, kèm theo thông báo chi tiết cho người dùng.
  • Minh bạch hơn: Công khai báo cáo bảo mật sau mỗi sự cố, để người tiêu dùng có thể đánh giá mức độ rủi ro.
  • Hợp tác chung: Các nhà sản xuất thiết bị đeo nên thành lập một liên minh bảo mật để chia sẻ thông tin về các mối đe dọa mới nhất.

Kết luận
Vụ tấn công vào Oura là lời cảnh tỉnh mạnh mẽ cho toàn bộ ngành công nghiệp thiết bị đeo thông minh. Khi dữ liệu sức khỏe trở thành “vàng” trên thị trường đen, các công ty không chỉ cần công nghệ bảo mật tiên tiến mà còn phải duy trì sự minh bạch và phản hồi nhanh chóng với người dùng. Người tiêu dùng cũng nên chủ động bảo vệ tài khoản cá nhân, áp dụng các biện pháp bảo mật cơ bản để giảm thiểu rủi ro.