Bulgaria: Bắt khẩn cấp chuyên gia IT vì tiết lộ lỗ hổng trong phần mềm

Các nhà hành pháp Bulgaria mới đây đã ra quyết định bắt giữ một chuyên gia công nghệ thông tin nổi tiếng tại quốc gia này - Petko Petrov - với tội danh tự ý khai thác và tiết lộ thông tin về lỗ hổng bảo mật của hệ thống phần mềm được sử dụng bởi các trường mẫu giáo địa phương.

Lỗ hổng này cho phép Petko Petrov tải xuống thông tin chi tiết của 235.543 người ở Stara Zagora, một tỉnh thuộc miền trung Bulgaria với hơn dân số chỉ vỏn vẹn 333.000 người. Như vậy, lỗ hổng hệ thống đã khiến thông tin cá nhân của khoảng 2/3 dân số tỉnh Stara Zagora rơi vào tay chuyên gia IT này.

• Hacker đánh cắp thành công 100.000 bức ảnh từ cơ sở dữ liệu của cơ quan kiểm soát biên giới

Chuyên gia IT nổi tiếng người Bulgaria Petko Petkov

Sau khi hack thành công vào lỗ hổng nêu trên, Petko Petkov đã không ngần ngại chia sẻ video ghi lại toàn bộ quá trình trên Facebook cá nhân vào ngày 25 tháng 6 vừa qua.

Đoạn video cho thấy chi tiết cách thức Petkov tiến hành một cuộc tấn công tự động vào trang web nơi các bậc phụ huynh đăng ký cho con em mình học mẫu giáo. Đồng thời trang web này cũng thuộc quản lý của chính quyền địa phương. Chuyên gia IT nổi tiếng đã sử dụng chính các lỗ hổng bảo mật để thu thập dữ liệu liệu cá nhân của công dân Bulgaria đang lưu trữ trên trang web này - chủ yếu là của các bậc phụ huynh.

Trong đoạn video được đăng tải trên Facebook, Petkov cho biết ông đã cố gắng liên hệ với nhóm quản lý trang web cũng như phần mềm lưu trữ thông tin, và tất nhiên là cả chính quyền địa phương nhưng bị phớt lờ. Đồng thời đoạn mô tả video của Petko Petkov cũng bao gồm một liên kết đến kho lưu trữ GitHub, nơi mọi người có thể tải xuống mã khai thác lỗ hổng, và chính hành động “dại dột” này đã khiến ông vướng vào vòng lao lý.

• Chiến dịch botnet GoldBrute đang cố hack 1,5 triệu máy chủ RDP trên toàn thế giới

Hành động tiết lộ công khai cách thức khai thác lỗ hổng đã khiến Petkov gặp rắc rối

Sau tiết lộ công khai của Petkov về cách thức khai thác lỗ hổng bảo mật nêu trên, nhà chức trách tỉnh Stara Zagora đã phối hợp với cơ quan an ninh Bulgaria tiến hành bắt giữ khẩn cấp nhà nghiên cứu công nghệ thông tin này vào cuối tuần trước, ngày 29/06.

Petko Petkov bị tạm giam trong 24 giờ, sau đó đã được cho tại ngoại, nhưng bị cấm rời khỏi nơi cư trú để phục vụ điều tra.

Theo báo cáo của ZedNet, các công tố viên địa phương vẫn đang chờ củng cố những cáo buộc theo Điều 319A của Bộ luật Hình sự Bulgaria, quy định về việc xử phạt cá nhân, tổ chức cố gắng lấy cắp thông tin thuộc quản lý của chính phủ thông qua các hành vi bất hợp pháp. Theo truyền thông địa phương, nếu bị chứng minh là có tội, Petkov sẽ phải đối mặt với mức án từ 1 đến 3 năm tù, đồng thời phải nộp khoản tiền phạt lên tới 5.000 leva Bulgaria (khoảng 2.900 USD).

Ngay sau khi vụ bắt giữ Petko Petkov được tiến hành, nhà chức trách tỉnh Stara Zagora cũng đã cho gỡ bỏ phần mềm chứa lỗ hổng bảo mật nghiêm trọng này. Đồng thời cho biết phía đại diện công ty phần mềm chịu trách nhiệm quản lý và duy trì trang web đã không thể trả lời ổn thỏa những câu hỏi nghi vấn từ phía các quan chức chính phủ phụ trách điều tra, do đó công ty này cũng sẽ phải chịu án phạt lớn. Tuy nhiên chi tiết về mức phạt vẫn chưa được tiết lộ.

• Góc khởi nghiệp: Bán ma túy trên dark web để đổi lấy Bitcoin, nam thanh niên “bóc lịch” 10 năm

Tỉnh trưởng Stara Zagora cho biết công ty có tên Information Services AD - doanh nghiệp đứng sau trang web chứa lỗ hổng, sẽ phải tự sửa chữa phần mềm của mình, và báo cáo chi tiết tình hình khắc phục hậu quả cho nhà chức trách.

Về phía Petkov, vị chuyên gia này cho rằng hệ thống phần mềm tương tự cũng được sử dụng ở nhiều địa phương khác của Bulgaria, điều đó có nghĩa là cho đến khi vấn đề được giải quyết ổn thỏa, tin tặc hoàn toàn có thể dễ dàng thu thập dữ liệu từ công dân Bulgaria thông qua lỗ hổng nêu trên.

Dữ liệu thu thập được thông qua các lỗ hổng mà Petko Petkov phát hiện ra bao gồm cả những thông tin thường được lưu trữ trong cơ sở dữ liệu quốc gia trung ương, được duy trì bởi Phòng quản lý Dịch vụ hành chính và dân sự Bulgaria (GRAO).

• Câu trộm điện từ giàn khoan dầu để đào Bitcoin, một người đàn ông Trung Quốc sắp được “ăn cơm Nhà nước”

Tòa nhà chính phủ Bulgaria

Được biết, cơ sở dữ liệu GRAO có giá trị và ý nghĩa tương đương trong việc xác định chỉ số an sinh xã hội (hoặc tương tự) ở một số quốc gia khác. Hệ thống này được lưu trữ dưới dạng dữ liệu cá nhân bao gồm tên, tuổi, địa chỉ, tình trạng hôn nhân, nuôi dạy con cái, dữ liệu hộ chiếu, quốc tịch và người thân (con cái, anh chị em) của khoảng 10.5 triệu công dân Bulgaria (tính cả 2 triệu người đã từ trần).