Đừng giả định rằng dữ liệu người dùng của bạn trên đám mây là an toàn

Bản Tóm Tắt Nghiên Cứu là một cái nhìn ngắn gọn về công việc học thuật thú vị.

Ý tưởng lớn

Việc tổ chức không quản lý đúng cách các máy chủ họ thuê từ nhà cung cấp dịch vụ đám mây có thể cho phép kẻ tấn công nhận được dữ liệu riêng tư, nghiên cứu mà đồng nghiệp và tôi tiến hành đã chỉ ra.

Đám mây tính toán cho phép doanh nghiệp thuê máy chủ giống như họ thuê không gian văn phòng. Điều này giúp các công ty xây dựng và duy trì ứng dụng di động và trang web một cách dễ dàng hơn khi họ không cần lo lắng về việc sở hữu và quản lý máy chủ. Nhưng cách này để cung cấp dịch vụ đặt ra nhiều vấn đề về an ninh.

Mỗi máy chủ đám mây có một địa chỉ IP duy nhất cho phép người dùng kết nối và gửi dữ liệu. Sau khi tổ chức không còn cần địa chỉ này, nó được chuyển giao cho một khách hàng khác của nhà cung cấp dịch vụ, có thể là người có ý định độc hại. Địa chỉ IP chuyển nhượng như làn sóng mỗi 30 phút khi tổ chức thay đổi các dịch vụ họ sử dụng.

Khi tổ chức ngừng sử dụng một máy chủ đám mây nhưng quên loại bỏ các tham chiếu đến địa chỉ IP từ hệ thống của họ, người dùng có thể tiếp tục gửi dữ liệu đến địa chỉ này, nghĩ rằng họ đang nói chuyện với dịch vụ ban đầu. Bởi vì họ tin tưởng vào dịch vụ trước đây sử dụng địa chỉ này, các thiết bị người dùng tự động gửi thông tin nhạy cảm như vị trí GPS, dữ liệu tài chính và lịch sử duyệt web.

Một kẻ tấn công có thể lợi dụng điều này bằng cách “ngồi trên” đám mây: tuyên bố địa chỉ IP để cố gắng nhận dữ liệu dành cho tổ chức khác. Việc thay đổi nhanh chóng của địa chỉ IP ít thời gian để xác định và sửa lỗi trước khi kẻ tấn công bắt đầu nhận dữ liệu. Một khi kẻ tấn công kiểm soát địa chỉ, họ có thể tiếp tục nhận dữ liệu cho đến khi tổ chức phát hiện và sửa lỗi.

Nghiên cứu của chúng tôi về một phần nhỏ các địa chỉ IP đám mây đã phát hiện hàng nghìn doanh nghiệp có khả năng rò rỉ dữ liệu người dùng, bao gồm dữ liệu từ ứng dụng di động và theo dõi quảng cáo. Những ứng dụng này ban đầu có ý định chia sẻ dữ liệu cá nhân với doanh nghiệp và quảng cáo, nhưng thay vào đó rò rỉ dữ liệu cho bất kỳ ai kiểm soát địa chỉ IP. Bất kỳ người nào có tài khoản đám mây đều có thể thu thập cùng một dữ liệu từ các tổ chức có lỗ hổng bảo mật.

Tại sao điều này quan trọng

Người dùng điện thoại thông minh chia sẻ dữ liệu cá nhân với doanh nghiệp thông qua các ứng dụng họ cài đặt. Trong một cuộc khảo sát gần đây, các nhà nghiên cứu phát hiện rằng một nửa người dùng điện thoại thông minh thoải mái chia sẻ vị trí của họ thông qua các ứng dụng điện thoại thông minh. Nhưng thông tin cá nhân mà người dùng chia sẻ qua những ứng dụng này có thể được sử dụng để ăn cắp danh tính hoặc ảnh hưởng đến uy tín của họ.

Dữ liệu cá nhân đã trải qua sự quy định ngày càng nhiều trong những năm gần đây, và người dùng có thể hài lòng tin tưởng vào các doanh nghiệp mà họ tương tác để tuân theo những quy định đó và tôn trọng quyền riêng tư của họ. Nhưng những quy định này có thể không đủ bảo vệ người dùng. Nghiên cứu của chúng tôi chỉ ra rằng ngay cả khi các công ty có ý định sử dụng dữ liệu một cách có trách nhiệm, thực hành bảo mật kém có thể để lại dữ liệu đó nằm trong tay mọi người.

Người dùng cần biết rằng khi họ chia sẻ dữ liệu riêng tư hoặc cá nhân của mình với các công ty, họ cũng đang tiếp xúc với các thực hành bảo mật của những công ty đó. Họ có thể thực hiện các bước để giảm thiểu sự tiếp xúc này bằng cách giảm lượng dữ liệu họ chia sẻ và số lượng tổ chức họ chia sẻ nó.

Những nghiên cứu khác đang được thực hiện trong lĩnh vực này

Giới học thuật và công nghiệp đang tập trung vào việc thu thập trách nhiệm dữ liệu người dùng. Một động thái gần đây của Google nhằm giảm việc thu thập dữ liệu cá nhân của người dùng bởi quảng cáo di động, đảm bảo rằng an ninh và quyền riêng tư của họ được bảo vệ.

Đồng thời, các nhà nghiên cứu đang làm việc để giải thích rõ hơn về cách ứng dụng sử dụng dữ liệu họ thu thập. Công việc này nhằm đảm bảo rằng dữ liệu mà người dùng chia sẻ với ứng dụng được sử dụng như mong đợi thông qua việc phù hợp giữa cửa sổ xin phép và cách ứng dụng thực sự hoạt động.

Điều gì sẽ xảy ra tiếp theo

Bài viết này của Eric Pauley, sinh viên Tiến sĩ ngành Khoa học Máy tính và Kỹ thuật, Đại học Penn, được tái xuất bản từ The Conversation theo giấy phép Creative Commons. Đọc bài viết gốc.