Hướng dẫn trang điểm, đánh giá sản phẩm, video du lịch là những nội dung xuất hiện hàng ngày trên mạng xã hội. Chỉ riêng trên TikTok, đã có gần 10 triệu bài đăng sử dụng hashtag #EyeMakeup, cung cấp nguồn tài nguyên vô giá cho những ai muốn học cách nâng cấp kỹ năng trang điểm của mình. Tuy nhiên, các nhà nghiên cứu của Trend Micro đang cảnh báo những video như vậy đang làm lộ khuôn mặt, võng mạc và mống mắt của người dùng, những thông tin có giá trị dữ liệu để truy cập các thiết bị bảo mật.
Báo cáo cho biết: “Thông qua một số nội dung trên phương tiện truyền thông xã hội, chúng ta đang tạo cơ hội cho những kẻ xấu lấy nguồn sinh trắc học của mình. Khi sử dụng tin nhắn thoại, chúng ta đang phát tán các mẫu giọng nói. Thông qua các bài đăng có nội dung ảnh và video, chúng ta để lộ khuôn mặt, võng mạc, mống mắt, mẫu hình tai và trong một số trường hợp là lòng bàn tay và dấu vân tay”.
“Những dữ liệu này liên tục được công khai và chúng ta không thể kiểm soát toàn bộ chúng. Vì vậy, chúng ta không biết ai đã sử dụng dữ liệu, cũng như không biết dữ liệu sẽ được lưu giữ trong bao lâu hoặc cho mục đích gì”, báo cáo cho biết thêm.
CÔNG NGHỆ SINH TRẮC HỌC HOẠT ĐỘNG NHƯ THẾ NÀO?
Giám đốc an ninh kiêm đồng sáng lập Luca Rognoni cho biết: “Công nghệ sinh trắc học tự động hóa việc xác định danh tính các cá nhân dựa trên đặc điểm cơ thể hoặc hành vi của họ”.
“Những đặc điểm này có thể bao gồm dấu vân tay, đường nét khuôn mặt, mẫu mống mắt hoặc giọng nói. Hệ thống sinh trắc học sử dụng các cảm biến để nắm bắt thông tin và sử dụng các thuật toán để chuyển đổi nó thành một mẫu kỹ thuật số được gọi là dữ liệu sinh trắc học. Dữ liệu sinh trắc học sau đó được lưu trữ và sử dụng trong một quá trình như so sánh để xác định cá nhân”, ông nói thêm.
Các hệ thống sinh trắc học thường được coi là an toàn hơn các hệ thống dựa trên mật khẩu truyền thống, vì chúng khó bị giả mạo. Tuy nhiên, Rognoni cho biết: “Không có hệ thống nào là hoàn hảo và đã có một số trường hợp giả mạo dữ liệu sinh trắc học nổi tiếng”.
Nếu bạn nghĩ hệ thống sinh trắc học chỉ là về Face ID của Apple, bạn đã lầm: Công nghệ sinh trắc học được sử dụng trong kiểm soát biên giới tự động, mở khóa tài khoản ngân hàng, rút tiền mặt từ máy ATM và thanh toán cho tất cả các loại hàng hóa.
CÁC VIDEO ĐĂNG TRÊN MẠNG XÃ HỘI CÓ RỦI RO KHÔNG?
Rognoni nói: “Câu trả lời đơn giản là có, có nguy cơ bị đánh cắp dữ liệu sinh trắc học từ các video đăng trên mạng xã hội”.
“Tôi có thể dễ dàng lấy được hình ảnh có độ phân giải cao về khuôn mặt của một người hoặc cận cảnh mống mắt của họ từ một video trực tuyến không? Có, nếu chất lượng video đủ tốt thì rất dễ làm vậy”, Kieron Shepherd, kiến trúc sư giải pháp bảo mật cho Bắc và Tây Âu tại công ty an ninh mạng F5told Euronews Next, cho biết.
Shepherd nói thêm: “Tuy nhiên, những thứ này chỉ hoạt động được trên các hệ thống đơn giản, nhưng dữ liệu cần thiết để vượt qua các hệ thống sinh trắc học ngày càng thông minh hơn. Ví dụ, quét khuôn mặt sẽ kết hợp với chuyển động của con người, độ sâu, bóng và tông màu da, cũng như các điểm dữ liệu khác”.
Chia sẻ thêm về vấn đề này, ông khẳng định: “Chúng tôi thấy hàng tỷ mật khẩu bị rò rỉ mỗi năm. Điều khác biệt ở đây là nếu bạn phát hiện ra email hoặc mật khẩu đã bị xâm phạm, bạn có cơ hội đặt lại mật khẩu của mình, xác thực các trang web khác để ngăn chặn tin tặc sử dụng dữ liệu bị đánh cắp. Với các phương pháp xác thực sinh trắc học, việc thiết lập lại những thứ này khó khăn hơn”.
Morgan Wright, Cố vấn An ninh Trưởng tại Công ty An ninh mạng OneEuronews cho rằng rủi ro với cộng đồng người dùng nói chung là tương đối, những vấn đề này có thể không quá nghiêm trọng trong tương lai khi camera trên thiết bị ngày càng tinh vi hơn.
Tuy nhiên, Wright cũng nói thêm rằng: “Rất khó để dừng lại, ngày càng có nhiều tài nguyên để tạo ra những bức ảnh chân thực đánh lừa việc nhận dạng khuôn mặt”.
LÀM THẾ NÀO ĐỂ CÁC CHUYÊN GIA AN NINH MẠNG NGĂN CHẶN CÁC CUỘC TẤN CÔNG BẢO MẬT SINH TRẮC HỌC?
Một số cách mà các chuyên gia an ninh mạng có thể làm để ngăn chặn các cuộc tấn công bảo mật sinh trắc học.
”Đầu tiên, họ có thể theo kịp các mối đe dọa bảo mật mới nhất và phát triển các biện pháp đối phó phù hợp. Ngoài ra, họ có thể tiến hành kiểm tra thường xuyên các hệ thống sinh trắc học”, Rogoni chia sẻ.
Cuối cùng, các chuyên gia có thể triển khai các biện pháp kiểm soát bảo mật thích hợp để quản lý an toàn dữ liệu sinh trắc học của người dùng trong toàn bộ vòng đời dữ liệu. Điều quan trọng là phải có một hệ thống xác thực kép để ngăn chặn tin tặc truy cập vào tài khoản của người dùng.
David Mahdi, CSO và cố vấn CISO sectigo nói với Euronews Next: “Để duy trì bảo mật và quyền riêng tư dữ liệu, các tổ chức phải nhanh chóng áp dụng các quy trình kỹ thuật số, yêu cầu nhận dạng kỹ thuật số giả để đánh bại các cuộc tấn công này”.
Ông nói: “Trong khi chống lại đánh cắp sinh trắc học và lừa đảo là một nhiệm vụ rất khó khăn, thì cách tốt nhất để thiết lập niềm tin kỹ thuật số là sử dụng một hệ thống xác minh danh tính của những người tham gia bằng các kỹ thuật mật mã không thể phá vỡ. Điều này được thực hiện với chứng chỉ số dựa trên cơ sở hạ tầng khóa công khai (PKI). Các chính sách nhận dạng kỹ thuật số tập trung vào PKI cung cấp một mô hình xác thực về cơ bản hữu ích hơn và an toàn hơn”.
Việc dữ liệu sinh trắc học có nguy cơ bị đánh cắp không có nghĩa bạn phải ngừng hiển thị khuôn mặt của mình trên mạng xã hội, có một số bước cơ bản để đảm bảo danh tính trực tuyến.
Wright nói: “Hãy lưu ý về phông nền của bạn trước khi chụp ảnh tự sướng: Điều này bao gồm màn hình máy tính có thể hiển thị thông tin nhạy cảm hay không. Khi thực hiện video hoặc các cuộc nói chuyện trước công chúng, hãy chú ý đến bất kỳ ai ở gần với thiết bị chụp ảnh tiên tiến. Không hướng ngón tay trực tiếp vào máy ảnh, vì máy ảnh có độ phân giải cao có thể chụp được nhiều thứ hơn chúng ta tưởng”.
Mặc dù những lo ngại về việc đánh cắp dữ liệu sinh trắc học nghe có vẻ hơi đáng sợ, nhưng hiện tại, kịch bản như vậy là tương đối thấp. Tuy nhiên, điều này cũng là một mối đe dọa thực sự có khả năng xảy ra trong tương lai, vì vậy chúng ta cần sớm phòng bị bằng cách tìm ra những giải pháp hiệu quả.