Một nghiên cứu thực tế trong ngành bảo hiểm

Điều gì sẽ xảy ra nếu chỉ hai lỗ hổng cấu hình tưởng chừng nhỏ có thể mở toang cánh cửa vào hệ thống backend, phơi bày hàng triệu bản ghi khách hàng, dữ liệu tài chính và toàn bộ luồng giao tiếp nội bộ, mà không kích hoạt bất kỳ alert nào?

Đối với một tập đoàn bảo hiểm toàn cầu, đây không phải là giả định.

Khi “đủ an toàn” thực chất không hề an toàn

Một doanh nghiệp bảo hiểm lớn, quản lý hơn 8 triệu hồ sơ khách hàng bao gồm dữ liệu y tế, tài chính và thông tin hợp đồng. Đội ngũ bảo mật đã triển khai đầy đủ các lớp cơ bản: firewall, encryption, compliance. Trên bề mặt, mọi thứ đều có vẻ an toàn.

Tuy nhiên, trong một lần đánh giá bên ngoài định kỳ, ULTRA RED đã phát hiện một vấn đề nghiêm trọng: hai cấu hình sai nhỏ, nhưng khi kết hợp lại, tạo thành một đường truy cập trực tiếp vào hệ thống backend quan trọng nhất của doanh nghiệp.

Giải phẫu một cuộc xâm nhập “im lặng”

Lỗ hổng đầu tiên gần như “cơ bản đến khó tin”:

• Credential của AWS Cognito (client ID và secret) được hard-code trực tiếp trong file JavaScript public
• Bất kỳ ai có kiến thức kỹ thuật cơ bản đều có thể trích xuất

Lỗ hổng thứ hai tinh vi hơn:

• Các backend API tin tưởng mọi OAuth token được gửi đến
• Không kiểm tra role, quyền truy cập hay tính hợp lệ của request

Khi hai điểm yếu này kết hợp, một chuỗi tấn công hoàn chỉnh được hình thành.

Attacker không cần kỹ thuật phức tạp hay reconnaissance kéo dài. Họ chỉ cần:

1. Trích xuất credential từ file JavaScript
2. Dùng credential để tạo OAuth token hợp lệ
3. Sử dụng token để truy cập API nội bộ

Kết quả: truy cập thành công vào hệ thống backend và không MFA, không cảnh báo, không bị phát hiện.

Những gì thực sự bị đe dọa

Mức độ truy cập mà attacker có thể đạt được là cực kỳ nghiêm trọng:

• Đọc toàn bộ nội dung tin nhắn và giao tiếp khách hàng
• Truy cập chat logs và lịch sử hội thoại
• Xem dữ liệu nhạy cảm của khách hàng và nhân viên
• Trích xuất thông tin định danh cá nhân (PII) và dữ liệu hợp đồng
• Làm gián đoạn quy trình xử lý claims
• Giả mạo hệ thống nội bộ hoặc cổng hỗ trợ

Với một doanh nghiệp chịu ràng buộc bởi GDPR và HIPAA, mức độ phơi nhiễm này có thể đe dọa trực tiếp đến sự tồn tại của tổ chức.

Vì sao các giải pháp bảo mật truyền thống không phát hiện được?

Điểm đáng lo ngại nhất trong case này là:

Không có lỗ hổng nào, khi đứng riêng lẻ, bị xem là “nghiêm trọng”.

• Hard-coded credential: phổ biến, thường bị đánh giá thấp
• Authorization yếu: khó bị đánh giá critical nếu thiếu ngữ cảnh

Nhưng khi kết hợp? Chúng tạo thành một attack chain hoàn chỉnh, mở toàn bộ backend.

Đây chính là thực tế của hệ thống hiện đại. Trong quá trình chuyển đổi số, doanh nghiệp phải quản lý đồng thời:

• Hệ thống legacy
• Ứng dụng cloud
• Third-party integration
• Mạng lưới đối tác

Mỗi thành phần có thể an toàn riêng lẻ, nhưng các kết nối giữa chúng tạo ra những đường tấn công “vô hình”, và đó là nơi attacker khai thác.

Từ phát hiện lỗ hổng đến xác thực khả năng tấn công

Bài học ở đây không chỉ dành cho ngành bảo hiểm mà mang tính phổ quát.

Cách tiếp cận truyền thống trả lời câu hỏi:

• “Có những vulnerability nào?”

Nhưng câu hỏi quan trọng hơn là:

• “Những exposure nào thực sự có thể bị khai thác?”

Các công cụ scanning hiện tại thường tạo ra danh sách dài các rủi ro lý thuyết.

Trong khi đó, cách tiếp cận validation-first Continuous Threat Exposure Management (CTEM) tập trung vào:

• Xác minh attack chain có thực sự hoạt động hay không
• Cung cấp bằng chứng ở cấp độ attacker
  • Credential bị lộ như thế nào
  • Token được tạo ra ra sao
  • API bị truy cập thế nào
  • Dữ liệu bị lộ đến mức nào

Điều này giúp chuyển security từ Đánh giá rủi ro lý thuyết sang intelligence có thể hành động

Đồng thời:

• Loại bỏ tranh cãi trong quá trình remediation
• Giúp justify resource với lãnh đạo

Kết luận: Vấn đề không phải là lỗ hổng, mà là khả năng bị khai thác

Case study này cho thấy một thực tế quan trọng:

Không phải mọi vulnerability đều nguy hiểm, nhưng một số tổ hợp vulnerability có thể phá vỡ toàn bộ hệ thống.

Trong bối cảnh attack surface ngày càng phức tạp, doanh nghiệp không thể chỉ dừng ở việc “biết có lỗ hổng”.

Điều cần thiết là:

• Hiểu được attacker sẽ khai thác như thế nào
• Xác định được attack chain thực sự tồn tại
• Và ưu tiên xử lý những rủi ro có khả năng gây impact lớn nhất

Khuyến nghị

Để hiểu rõ hơn về:

• Phân tích kỹ thuật chi tiết của case này
• Các bước remediation cụ thể
• Và cách triển khai mô hình validation-first CTEM

Doanh nghiệp cần tiếp cận các giải pháp threat intelligence và exposure management theo hướng thực chiến.

Tại Việt Nam, Unitas là đơn vị phân phối các giải pháp của ULTRARED, giúp doanh nghiệp không chỉ tiếp cận công nghệ mà còn triển khai intelligence thành năng lực vận hành thực tế.

Thông qua Unitas, tổ chức có thể:

• Hiểu rõ exposure thực sự thay vì danh sách rủi ro lý thuyết
• Xác định attack chain có thể bị weaponize
• Chủ động phòng thủ trước khi sự cố xảy ra

Việc đầu tư vào intelligence đúng cách không chỉ giúp phát hiện—mà còn giúp tránh được những cuộc tấn công trước khi chúng bắt đầu.

Unitas cam kết đồng hành cùng doanh nghiệp, cung cấp các giải pháp và phân tích an ninh mạng tiên tiến nhất. Để nhận được tư vấn chuyên sâu hoặc hỗ trợ nhanh chóng, vui lòng liên hệ với chúng tôi qua email: info@unitas.vn hoặc Hotline: (+84) 939 586 168.

Fanpage Unitas Vietnam

Linkedin Unitas Vietnam