Galaxy Ring: Lỗ hổng bảo mật gây rò rỉ dữ liệu sức khỏe

Nguyên nhân sự cố và cách kẻ tấn công khai thác

Bộ ring thông minh của Samsung, Galaxy Ring, đã bị một nhóm hacker có tên Rival khai thác lỗ hổng trong API của thiết bị. Nhóm này sử dụng các đoạn mã độc để truy cập trái phép vào cơ sở dữ liệu của Samsung Health, nơi lưu trữ các chỉ số sức khỏe cá nhân như nhịp tim, lượng oxy trong máu và lịch sử tập luyện.

  • API không được xác thực đầy đủ: Hacker có thể gửi yêu cầu HTTP trực tiếp tới endpoint mà không cần token truy cập hợp lệ.
  • Không có kiểm tra giới hạn tần suất: Các yêu cầu liên tục được thực hiện mà không bị chặn, cho phép hacker thu thập dữ liệu hàng loạt.
  • Mã nguồn server chưa được mã hoá: Thông tin nhạy cảm được trả về dưới dạng JSON thuần, dễ dàng đọc và lưu trữ.

Dữ liệu bị rò rỉ

Theo báo cáo ban đầu, Rival đã thu thập được:

Loại dữ liệu Mô tả
Thông tin cá nhân Họ tên, địa chỉ email, ngày sinh
Dữ liệu sức khỏe Nhịp tim, mức độ oxy, số bước, calo tiêu thụ, lịch sử giấc ngủ
Thông tin thiết bị Model ring, phiên bản firmware, địa chỉ MAC

Số lượng người dùng bị ảnh hưởng chưa được công bố chính thức, nhưng các chuyên gia bảo mật ước tính có thể lên tới hàng trăm ngàn tài khoản.

Phản hồi của Samsung

Samsung đã nhanh chóng đưa ra tuyên bố:

  • Xác nhận lỗ hổng: Công ty thừa nhận rằng API đã bị khai thác và đang làm việc để vá lỗi.
  • Cập nhật bảo mật: Một bản cập nhật phần mềm mới sẽ được phát hành trong vòng 48-72 giờ tới, bao gồm việc bổ sung token xác thực và giới hạn tần suất yêu cầu.
  • Khuyến cáo người dùng: Samsung đề nghị người dùng đăng xuất khỏi tài khoản Samsung Health, thay đổi mật khẩu và bật Xác thực hai yếu tố (2FA) ngay lập tức.

Những gì người dùng nên làm ngay

  1. Kiểm tra cập nhật: Mở ứng dụng Galaxy Wearable và Samsung Health, tải về bản cập nhật mới nhất.
  2. Đổi mật khẩu: Sử dụng mật khẩu dài, phức tạp và không trùng với các tài khoản khác.
  3. Bật 2FA: Vào Cài đặt > Bảo mật > Xác thực hai yếu tố và kích hoạt.
  4. Giám sát hoạt động bất thường: Kiểm tra lịch sử đăng nhập và các thay đổi bất thường trong dữ liệu sức khỏe.
  5. Xóa dữ liệu nếu cần: Nếu nghi ngờ dữ liệu đã bị lấy cắp, có thể xóa toàn bộ dữ liệu sức khỏe và bắt đầu lại quá trình đồng bộ.

Tầm quan trọng của bảo mật dữ liệu sức khỏe

Dữ liệu sức khỏe không chỉ là thông tin cá nhân mà còn có giá trị thương mại cao. Khi bị rò rỉ, nó có thể:

  • Bị lạm dụng trong quảng cáo mục tiêu
  • Gây rủi ro cho bảo hiểm y tế
  • Tạo ra các kịch bản tấn công xã hội (social engineering)

Vì vậy, việc đảm bảo an toàn API, mã hoá dữ liệu đầu cuốiđịnh kỳ kiểm tra lỗ hổng là những yếu tố không thể bỏ qua đối với bất kỳ nhà cung cấp thiết bị đeo thông minh nào.

Kết luận

Sự cố của Galaxy Ring là một lời cảnh tỉnh cho cả người dùng và các nhà sản xuất thiết bị IoT. Mặc dù Samsung đang hành động nhanh chóng để khắc phục, người tiêu dùng vẫn cần thận trọng, đánh giá lại các cài đặt bảo mậttheo dõi liên tục các thông báo an ninh từ nhà sản xuất. Hãy coi đây là cơ hội để nâng cao ý thức bảo mật cá nhân và bảo vệ sức khỏe số của mình.


Mua Galaxy Ring tại ShopeeMua Galaxy Ring tại TiktokMua Galaxy Ring nhập khẩuMua Galaxy Ring tại LazadaMua Galaxy Ring tại Tiki