VSEC phát hiện 15 lỗ hổng bảo mật nghiêm trọng trên website chăm sóc sức khỏe nổi tiếng của Mỹ

Nghiên cứu điển hình VSEC - BLOG
Tổng quan

4 lỗ hổng rất nguy hiểm, 3 lỗ hổng nguy hiểm, 8 lỗ hổng tiềm ẩn là những lỗi được tìm thấy trong quá trình sử dụng dịch vụ Pentest của VSEC áp dụng cho một website chăm sóc sức khỏe nổi tiếng của Mỹ. Trong 2 tuần sau đó, tất cả các lỗi này đã được các chuyên gia của VSEC khắc phục kịp thời và bàn giao lại cho khách hàng yên tâm tiếp tục kinh doanh…. Tháng 6 vừa qua, VSEC có nhận được một liên hệ từ thành phố Washington, Mỹ. Một doanh nghiệp muốn chúng tôi kiểm tra mức độ an toàn trên hệ thống website – nơi kinh doanh chính thức của họ để chắc chắn rằng mọi thông tin được bảo mật tuyệt đối và xác định mức độ rủi ro họ có thể gặp phải. Sau khi xem xét khái quát trang web và hệ thống của khách hàng, VSEC đã bắt tay thực hiện nay lập tức!

Về khách hàng

Khách hàng của chúng tôi làm trong lĩnh vực y tế, cung cấp các phương pháp chăm sóc sức khỏe bằng công nghệ thông minh và phù hợp với cuộc sống hiện đại. Với một góc nhìn khác biệt, khách hàng đã chỉ ra rằng chăm sóc sức khỏe không phải chỉ quan tâm đến các vấn đề về sức khỏe và các tác nhân gây hại mà phải quan tâm cả đến cả những nhân tố cùng khả năng tiềm ẩn bên trong con người. Điều này đã thuyết phục và tạo được ấn tượng mạnh với rất nhiều người, giúp hoạt động kinh doanh của khách hàng phát triển nhanh chóng. Hiện tại doanh thu của khách hàng đã lên tới 17 triệu USD/ năm và giành được rất nhiều giải thưởng, tiêu biểu là Top 500 Doanh nghiệp phát triển vượt trội do tạp chí Inc. bình chọn năm 2016, Top 100 Doanh nghiệp tốt nhất để làm việc do tạp chí Seattle Business bình chọn năm 2014-2016.

Thách thức

Trải qua 10 năm hoạt động, hiện tại khách hàng đang lưu giữ một lượng thông tin khổng lồ trên hệ thống của mình. Đó là khối tài sản quan trọng nhất của một doanh nghiệp khi sử dụng công nghệ làm công cụ chính trong kinh doanh. Mà website, nơi bất kỳ ai cũng có thể truy cập lại là cổng thông tin chính thức tới kho dữ liệu đó. Vì vậy, việc thông tin có được an toàn hay không phụ thuộc trực tiếp vào việc website của khách hàng được bảo vệ như thế nào. Cùng với nghiên cứu thành công một khía cạnh khác biệt về chăm sóc sức khỏe, khách hàng phải liên tục thực hiện các nghiên cứu về tổ chức, về nhu cầu và mục tiêu của rất nhiều người để cho ra đời từng chiến lược, chương trình chăm sóc sức khỏe phù hợp. Điều này giúp khách hàng gây được nhiều chú ý, nhưng cũng có nghĩa sẽ ngày càng có nhiều những nhiều sự đe dọa, tấn công dữ liệu của kẻ xấu hơn. Vì vậy, kiểm tra mức độ an toàn của website không chỉ tránh được việc bị lộ thông tin khách hàng của họ, mà còn giúp bảo vệ nguồn tài nguyên của khách hàng, tránh bị kẻ xấu lạm dụng. Thêm vào đó, khách hàng là doanh nghiệp có quy mô hoạt động vừa và nhỏ, nên nguồn nhân lực còn bị hạn chế và không có nhiều kinh nghiệm về bảo mật thông tin. Nhận thấy những hiệu quả và sự hợp lý trong giá cả, khách hàng đã tìm kiếm và liên hệ với VSEC đăng ký sử dụng dịch vụ kiểm thử xâm nhập Pentest. Ở nước sở tại, ngân hàng nhà nước cũng đã ban hành nhiều quy định chặt chẽ ràng buộc ngân hàng tuân thủ và đảm bảo an toàn thông tin ví dụ như BASEL, PCI/DSS… Các nhân sự kỹ thuật kiêm nhiệm nhiều công việc khác nhau và khối lượng nhiều nên thông thường họ không đủ nguồn lực và thời gian cũng như kỹ năng để thực hiện việc đánh giá hay kiểm thử an toàn thông tin. Các quy định ngày càng cụ thể đòi hỏi các ngân hàng phải tuân thủ đúng đắn và duy trì liên tục việc kiểm tra kiểm soát.

Giải pháp

VSEC tiến hành kiểm tra 3 cổng đăng nhập chính của khách hàng: cổng đăng nhập tài khoản website chính, cổng đăng nhập trung tâm quản lý người dùng và cổng đăng nhập trang web đối tác hỗ trợ. Với 3 cổng thông tin này, VSEC áp dụng phương pháp Black Box trong Pentest để đánh giá an ninh đối với hệ thống của khách hàng từ bên ngoài mà không cần biết trước thông tin về hệ thống. Cụ thể, các chuyên gia của VSEC đóng vai trò làm người tấn công, mô phỏng các kỹ thuật thực tế để cố gắng tìm ra lỗ hổng bảo mật của website. Sau 2 tuần kiểm thử, các chuyên gia đã tìm thấy tổng cộng 15 lỗ hổng và khắc phục kịp thời tất cả. Kết thúc dịch vụ, VSEC lập báo cáo và chuyển giao quá trình thực hiện cho khách hàng, đưa ra đề xuất khắc phục cùng một số phương pháp phòng chống.

Lợi ích của dịch vụ

Pentest được biết đến có rất nhiều lợi ích. Một trong số đó là: Triển khai nhanh gọn và Khách hàng không cần cung cấp nhiều thông tin. Rút ngắn thời gian khắc phục lỗ hổng an toàn thông tin. Giảm thiểu tổng chi phí sở hữu (TCO). Kiện toàn hiện trạng bảo mật tổng thể. Chính những điều này đã kích thích khách hàng nghiên cứu, tìm hiểu, đi đến quyết định sử dụng dịch vụ của VSEC. Và sau khi trực tiếp sử dụng, khách hàng thực sự cảm thấy hài lòng về những hiệu quả mà Pentest mang lại như giảm thiểu được nhiều chi phí đầu tư trong hệ thống, tránh được phần lớn các lỗ hổng, giảm thiệt hại đáng kể và tiến độ công việc được thực hiện thuận lợi hơn trước.