Rò rỉ dữ liệu HackerOne: Lỗ hổng BOLA API nghiêm trọng

Gần đây, nền tảng bug bounty HackerOne đã công bố một sự kiện rò rỉ dữ liệu nghiêm trọng, ảnh hưởng đến 287 nhân viên của họ. Sự cố này bắt nguồn từ một cuộc tấn công mạng nhằm vào nhà cung cấp dịch vụ quản lý phúc lợi tại Hoa Kỳ của họ, Navia Benefit Solutions. Đây là một trong những tin tức an ninh mạng đáng chú ý, làm nổi bật tầm quan trọng của bảo mật chuỗi cung ứng.

Sự cố rò rỉ dữ liệu này bắt nguồn từ một lỗ hổng API loại Broken Object Level Authorization (BOLA) trong hệ thống của Navia. Lỗ hổng đã làm lộ thông tin cá nhân và sức khỏe nhạy cảm (PII/PHI) của khoảng 2.7 triệu cá nhân trên toàn quốc, bao gồm cả nhân viên của HackerOne.

Lỗ hổng API: Broken Object Level Authorization (BOLA) và cách khai thác

Một đối tượng đe dọa không xác định đã khai thác lỗ hổng Broken Object Level Authorization (BOLA) trong một API endpoint thuộc về Navia Benefit Solutions. Lỗ hổng API BOLA là một trong những mối đe dọa hàng đầu đối với bảo mật API, thường nằm trong danh sách OWASP API Security Top 10.

Về bản chất, BOLA cho phép kẻ tấn công truy cập vào tài nguyên (đối tượng) mà họ không được phép bằng cách sửa đổi giá trị ID trong các yêu cầu API. Ví dụ, thay vì truy vấn thông tin của mình (ID 123), kẻ tấn công có thể thay đổi ID thành 124 hoặc 125 để truy cập thông tin của người dùng khác mà không cần xác thực bổ sung.

Trong trường hợp cụ thể của Navia, lỗ hổng Broken Object Level Authorization này đã cấp cho kẻ tấn công quyền truy cập trái phép, chỉ đọc (read-only) vào các hệ thống nội bộ. Mặc dù không có khả năng thay đổi dữ liệu hoặc triển khai mã độc tống tiền (ransomware), việc truy cập chỉ đọc vẫn là một rủi ro bảo mật nghiêm trọng do tính chất nhạy cảm của thông tin bị lộ.

Việc truy cập trái phép này đã khiến vụ xâm nhập không bị phát hiện trong vài tuần, cho phép kẻ tấn công thu thập một lượng lớn dữ liệu nhạy cảm. Để hiểu rõ hơn về cơ chế hoạt động và cách phòng tránh loại lỗ hổng API này, bạn có thể tham khảo tài liệu chuyên sâu của OWASP về Broken Object Level Authorization.

Diễn biến sự kiện và chậm trễ trong thông báo

Hoạt động truy cập trái phép được xác định diễn ra trong khoảng thời gian từ ngày 22 tháng 12 năm 2025 đến ngày 15 tháng 1 năm 2026. Navia chính thức phát hiện hoạt động đáng ngờ vào ngày 23 tháng 1 năm 2026 và sau đó đã nhanh chóng tiến hành một cuộc điều tra pháp y nội bộ. Họ cũng phối hợp chặt chẽ với cơ quan thực thi pháp luật liên bang để làm rõ vụ việc.

Mặc dù phát hiện rò rỉ dữ liệu vào cuối tháng 1, HackerOne báo cáo sự chậm trễ đáng kể trong việc nhận thông báo chính thức. Navia được cho là đã gửi thư thông báo vào ngày 20 tháng 2 năm 2026, nhưng HackerOne đã không nhận được thông báo chính thức cho đến tháng 3. Sự chậm trễ này đã gây ra những lo ngại nghiêm trọng về tính minh bạch và trách nhiệm giải trình.

Sau khi xác minh đầy đủ về sự cố, HackerOne đã tổ chức cuộc họp với Navia vào ngày 13 tháng 3 năm 2026 để đánh giá toàn diện phạm vi của dữ liệu bị xâm phạm. Nền tảng bug bounty này đã công khai chỉ trích sự chậm trễ trong quy trình thông báo và yêu cầu một lời giải thích thỏa đáng từ nhà cung cấp dịch vụ phúc lợi.

HackerOne hiện đang tiến hành cuộc điều tra nội bộ riêng biệt để đánh giá chi tiết các thực hành bảo mật và chính sách quyền riêng tư của Navia. Họ cũng đã đưa ra cảnh báo rằng có thể tìm kiếm các nhà cung cấp phúc lợi thay thế nếu các tiêu chuẩn bảo mật và tuân thủ không được đáp ứng theo yêu cầu.

Phạm vi dữ liệu bị ảnh hưởng và nguy cơ đánh cắp danh tính

Mặc dù các chi tiết tài chính và yêu cầu bồi thường trực tiếp không bị đánh cắp hoặc thay đổi, bộ dữ liệu bị lộ cung cấp đủ thông tin cá nhân để thực hiện các chiến dịch tấn công kỹ thuật xã hội (social engineering) tinh vi, đánh cắp danh tính và lừa đảo (phishing) có mục tiêu. Đây là một mối đe dọa mạng đáng kể, đòi hỏi các cá nhân bị ảnh hưởng phải hết sức cảnh giác.

Vụ rò rỉ dữ liệu này đã ảnh hưởng đến dữ liệu của 287 nhân viên HackerOne, đóng góp vào tổng số 2.7 triệu nạn nhân trên tổng số 10.000 khách hàng doanh nghiệp của Navia. Các loại thông tin bị lộ bao gồm chi tiết cá nhân và thông tin sức khỏe nhạy cảm, có thể được dùng để mạo danh, truy cập các tài khoản khác hoặc thực hiện các hành vi gian lận.

HackerOne đang hoạt động dựa trên giả định rằng thông tin bị xâm phạm có khả năng vẫn có thể bị các tác nhân đe dọa lạm dụng trong tương lai. Do đó, các nhân viên đã được khuyến cáo phải duy trì cảnh giác cao độ đối với các nỗ lực lừa đảo (phishing) có mục tiêu. Những cuộc tấn công này có thể khai thác dữ liệu bị đánh cắp để mạo danh nhà tuyển dụng, cơ quan chính phủ, hoặc các tổ chức đáng tin cậy khác nhằm lừa đảo thông tin hoặc truy cập hệ thống.

Các biện pháp khuyến nghị để tăng cường an toàn thông tin

Để giảm thiểu rủi ro từ sự kiện rò rỉ dữ liệu này và tăng cường an toàn thông tin cá nhân, các cá nhân bị ảnh hưởng được khuyến khích thực hiện ngay lập tức các biện pháp sau:

• Thường xuyên theo dõi các tài khoản tài chính, thẻ tín dụng và báo cáo tín dụng của mình để phát hiện bất kỳ hoạt động bất thường nào.
• Cập nhật tất cả mật khẩu liên quan trên các dịch vụ trực tuyến, đặc biệt là các dịch vụ có thể liên quan đến thông tin đã bị lộ. Nên sử dụng mật khẩu mạnh, duy nhất và bật xác thực đa yếu tố (MFA) khi có thể.
• Thay đổi các câu hỏi bảo mật nếu chúng sử dụng thông tin cá nhân có thể đã bị lộ.
• Tận dụng các dịch vụ bảo vệ danh tính và giám sát tín dụng miễn phí nếu được Navia hoặc HackerOne cung cấp.
• Luôn cảnh giác cao độ trước các email, tin nhắn văn bản, hoặc cuộc gọi điện thoại đáng ngờ. Không nhấp vào các liên kết không rõ nguồn gốc, không tải xuống các tệp đính kèm đáng ngờ, và không cung cấp thông tin cá nhân nếu không xác minh được danh tính của người yêu cầu.

Sự cố này cũng là lời nhắc nhở quan trọng cho tất cả các tổ chức về sự cần thiết phải triển khai các biện pháp kiểm soát truy cập mạnh mẽ và thực hiện kiểm tra bảo mật API định kỳ. Việc phòng ngừa các lỗ hổng API như BOLA là cực kỳ quan trọng để bảo vệ dữ liệu nhạy cảm và duy trì niềm tin của khách hàng.