Nguy cơ rò rỉ email từ các dịch vụ vẫn dùng giao thức lỗi thời

Một nghiên cứu mới cho thấy nhiều người dùng mặc định rằng email được gửi qua các dịch vụ đám mây đều được mã hóa và an toàn, nhưng điều này không phải lúc nào cũng đúng.

Báo cáo từ Paubox phát hiện Microsoft 365 và Google Workspace xử lý các lỗi mã hóa kém hiệu quả khiến thông tin trong email bị lộ mà không thông báo cho người gửi.

Paubox cảnh báo: “Việc sử dụng mã hóa lỗi thời tạo ra cảm giác an toàn giả tạo, vì người dùng tưởng rằng dữ liệu nhạy cảm đã được bảo vệ nhưng thực tế thì không” .

Thiết lập mặc định âm thầm làm suy yếu khả năng mã hóa

Vấn đề không đơn thuần là lỗi kỹ thuật nhỏ mà bắt nguồn từ cách các nền tảng này được thiết kế để hoạt động trong điều kiện phổ biến. Theo báo cáo, Google Workspace sẽ chấp nhận gửi email qua giao thức TLS 1.0 hoặc 1.1 nếu máy chủ nhận chỉ hỗ trợ các phiên bản lỗi thời này.

Microsoft 365 từ chối sử dụng TLS đã bị ngưng hỗ trợ, nhưng thay vì trả lại email hay cảnh báo người gửi, nền tảng lại gửi email dưới dạng văn bản thuần (plain text), tức là không mã hóa.

Trong cả hai trường hợp, email vẫn được gửi đi mà không có bất kỳ cảnh báo nào cho người gửi. Điều đáng lo là hành vi này tiềm ẩn rủi ro tuân thủ nghiêm trọng.

Trong năm 2024, Microsoft 365 chiếm tới 43% các vụ rò rỉ email liên quan đến ngành y tế. Trong khi đó, 31,1% các tổ chức y tế bị vi phạm có cấu hình TLS sai, dù nhiều tổ chức trong số này đã bật thiết lập “force TLS” nhằm đáp ứng các yêu cầu tuân thủ.

Tuy nhiên, như Paubox chỉ ra việc “ép buộc” dùng TLS không đảm bảo email sẽ được mã hóa bằng phiên bản an toàn như TLS 1.2 hoặc 1.3. Khi điều kiện mã hóa không được đáp ứng, hệ thống vẫn âm thầm thất bại mà không cảnh báo.

Hậu quả của việc mã hóa thất bại trong im lặng là rất nghiêm trọng

Trong thực tế, các nhà cung cấp dịch vụ y tế thường xuyên gửi Thông tin sức khỏe cá nhân qua email, với giả định rằng các công cụ như Microsoft 365 và Google Workspace có các lớp bảo vệ mạnh mẽ.

Thế nhưng, cả hai nền tảng đều không buộc sử dụng mã hóa hiện đại khi xảy ra lỗi, và đều có nguy cơ vi phạm các quy định bảo mật theo HIPAA mà không ai phát hiện.

Các hướng dẫn liên bang gồm cả từ Cơ quan An ninh Quốc gia Mỹ (NSA) – từ lâu đã cảnh báo về TLS 1.0 và 1.1 do tồn tại nhiều lỗ hổng và nguy cơ bị hạ cấp mã hóa. Dẫu vậy, Google vẫn cho phép gửi email qua các giao thức này, còn Microsoft thì gửi email không mã hóa mà không cảnh báo lỗi.

Cả hai cách tiếp cận trên đều dẫn đến vi phạm tuân thủ “vô hình”. Trong một vụ rò rỉ được ghi nhận, Solara Medical Supplies đã phải trả hơn 12 triệu USD sau khi email không mã hóa làm lộ thông tin của hơn 114.000 bệnh nhân.

Những trường hợp như vậy cho thấy, ngay cả những giải pháp tiên tiến như FWAAS (Firewall-as-a-Service) hay ZTNA (Zero Trust Network Access) cũng phải được kết hợp với các chính sách mã hóa rõ ràng, có thể thực thi trên mọi kênh giao tiếp. Paubox kết luận: “Niềm tin mà không có sự minh bạch là nguyên nhân khiến tổ chức bị tấn công”.

Giao thức TLS là gì?

TLS (Transport Layer Security), hay còn gọi là Bảo mật tầng truyền tải, là một giao thức mã hóa được thiết kế để bảo vệ dữ liệu được truyền tải qua mạng máy tính. Nó hoạt động như một lớp bảo mật giữa tầng ứng dụng (application layer) và tầng giao vận (transport layer) trong mô hình mạng.

TLS là phiên bản kế nhiệm và đã thay thế hoàn toàn giao thức SSL (Secure Sockets Layer) cũ hơn, vốn do Netscape phát triển vào những năm 1990. Mặc dù đôi khi người ta vẫn sử dụng thuật ngữ "SSL/TLS", nhưng trên thực tế, tất cả các kết nối an toàn hiện đại đều sử dụng TLS.

Các chức năng chính của TLS gồm:

Mã hóa (Encryption): TLS mã hóa dữ liệu khi nó được truyền giữa hai điểm cuối (ví dụ: trình duyệt của bạn và một máy chủ web). Điều này đảm bảo rằng ngay cả khi dữ liệu bị chặn trên đường truyền, nó cũng không thể đọc được bởi bên thứ ba không được ủy quyền.

Xác thực (Authentication): TLS sử dụng chứng chỉ số (digital certificates) để xác minh danh tính của các bên giao tiếp, đặc biệt là máy chủ. Điều này giúp người dùng tin tưởng rằng họ đang kết nối với máy chủ thực sự, không phải là một máy chủ giả mạo do kẻ tấn công tạo ra.

Toàn vẹn dữ liệu (Data Integrity): TLS đảm bảo rằng dữ liệu không bị thay đổi hoặc giả mạo trong quá trình truyền tải. Nó sử dụng các thuật toán băm (hashing) để phát hiện bất kỳ sự thay đổi trái phép nào.

Ứng dụng phổ biến nhất của TLS là trong giao thức HTTPS (Hypertext Transfer Protocol Secure), là phiên bản an toàn của HTTP được sử dụng cho các trang web. Khi bạn thấy biểu tượng ổ khóa trên trình duyệt và địa chỉ trang web bắt đầu bằng https://, điều đó có nghĩa là kết nối của bạn đang được bảo vệ bởi TLS. Ngoài ra, TLS cũng được sử dụng để bảo mật các giao tiếp email (SMTP, IMAP, POP3), VPN và nhiều ứng dụng internet khác.

Có bao nhiêu phiên bản TLS?

Kể từ khi được phát triển từ SSL, giao thức TLS đã trải qua nhiều phiên bản, mỗi phiên bản đều mang lại những cải tiến về bảo mật và hiệu suất. Các phiên bản chính của TLS là:

TLS 1.0 (ra mắt năm 1999): Đây là phiên bản đầu tiên của TLS, được phát triển dựa trên SSL 3.0. Mặc dù đã được sử dụng rộng rãi, nó hiện đã bị ngừng sử dụng do các lỗ hổng bảo mật đã biết.

TLS 1.1 (2006): Phiên bản này khắc phục một số vấn đề bảo mật của TLS 1.0. Tuy nhiên, nó cũng đã bị ngừng sử dụng do các lỗ hổng và khuyến nghị nâng cấp lên các phiên bản mới hơn.

TLS 1.2 (2008): Đây là một bước tiến lớn, mang lại nhiều cải thiện về bảo mật và hiệu suất, hỗ trợ các thuật toán mã hóa mạnh mẽ hơn. Hiện tại, TLS 1.2 vẫn đang được sử dụng rộng rãi trên internet, mặc dù các trình duyệt và dịch vụ đang dần chuyển sang phiên bản mới hơn.

TLS 1.3 (2018): Đây là phiên bản mới nhất và bảo mật nhất của giao thức TLS. TLS 1.3 mang lại những cải tiến đáng kể về hiệu suất và bảo mật bằng cách: Giảm số lượng "vòng lặp" trong quá trình bắt tay (handshake), giúp thiết lập kết nối nhanh hơn; loại bỏ các tính năng và thuật toán mã hóa yếu, lỗi thời; tăng cường bảo mật bằng cách yêu cầu mã hóa tất cả các thông điệp trong quá trình handshake.

Tóm lại, có 4 phiên bản chính thức của giao thức TLS. Hiện nay, TLS 1.2 và đặc biệt là TLS 1.3 là các phiên bản được khuyến nghị và sử dụng phổ biến. Các phiên bản cũ hơn (TLS 1.0 và 1.1) đã bị coi là không an toàn và nên tránh sử dụng.