Theo The Hacker News, nghiên cứu của hãng bảo mật Reflectiz đã phân tích 4.700 website và phát hiện rằng 64% ứng dụng bên thứ ba (công cụ theo dõi, module marketing, trình quản lý script…) được cấp quyền truy cập dữ liệu nhạy cảm mà không rõ mục đích hợp lệ. Con số này năm 2024 là 51%. Điều này tạo ra một lỗ hổng quyền truy cập khiến gia tăng nguy cơ tấn công mạng và tiềm ẩn nguy cơ rò rỉ, khai thác dữ liệu.
Theo nghiên cứu, một ứng dụng hoặc đoạn mã của bên thứ ba sẽ bị đánh dấu là truy cập dữ liệu không hợp lý khi nằm trong những trường hợp sau:
- Ứng dụng đọc dữ liệu không liên quan đến chức năng thực tế, chẳng hạn một chatbot nhưng lại có quyền truy cập vào các trường dữ liệu thanh toán.
- Tồn tại và hoạt động trên trang trong hơn 90 ngày không phát sinh bất kỳ hoạt động truyền dữ liệu nào, cho thấy sự hiện diện không mang lại giá trị thực tế.
- Được triển khai “ngầm” thông qua các hệ thống quản lý thẻ (Tag Manager) mà không có sự rà soát của bộ phận an ninh hoặc không tuân thủ nguyên tắc cấp quyền tối thiểu.
- hoặc được cấp quyền truy cập quá rộng, như sử dụng quyền “Full DOM Access” để thu thập toàn bộ nội dung trang web thay vì chỉ giới hạn ở các thành phần cần thiết.
Nhiều tổ chức hiện nay đang mặc định cấp quyền truy cập dữ liệu nhạy cảm cho các bên thứ ba thay vì coi đây là vấn đề cần được xem xét kỹ lưỡng. Xu hướng này đặc biệt rõ rệt trong các lĩnh vực như giải trí và bán lẻ trực tuyến, nơi áp lực tăng trưởng và tiếp thị thường khiến các bước đánh giá an ninh bị giản lược hoặc bỏ qua.
Nghiên cứu cũng chỉ ra một số công cụ cụ thể đang trở thành tác nhân gia tăng mức độ lộ lọt dữ liệu. Trong đó, Google Tag Manager chiếm khoảng 8% các trường hợp truy cập dữ liệu nhạy cảm không có cơ sở hợp lý; các ứng dụng trong hệ sinh thái Shopify chiếm 5%; Facebook Pixel chiếm 4% khi được cấp quyền vượt mức cần thiết, dẫn tới việc thu thập cả những trường dữ liệu nhạy cảm mà công cụ này không cần cho chức năng theo dõi thông thường.
Khoảng trống quản trị này không chỉ tồn tại trên lý thuyết. Khảo sát với hơn 120 lãnh đạo và chuyên gia an ninh mạng trong các lĩnh vực y tế, tài chính và bán lẻ cho thấy 24% tổ chức chỉ dựa vào các công cụ bảo mật chung như tường lửa ứng dụng web (WAF) để bảo vệ website, trong khi các rủi ro đặc thù từ ứng dụng bên thứ ba gần như chưa được kiểm soát. Ngoài ra, 34% tổ chức vẫn đang trong quá trình đánh giá các giải pháp chuyên biệt. Điều này đồng nghĩa với việc 58% tổ chức hiện chưa có biện pháp phòng vệ phù hợp, dù đã nhận thức rõ mối đe dọa từ các thành phần bên thứ ba.
Các chuyên gia cảnh báo, trong bối cảnh dữ liệu ngày càng trở thành tài sản có giá trị và các quy định về bảo vệ dữ liệu cá nhân ngày càng siết chặt. Những rủi ro âm thầm từ ứng dụng bên thứ ba có thể nhanh chóng biến thành sự cố an ninh nghiêm trọng, kéo theo hệ lụy pháp lý và uy tín cho doanh nghiệp. Việc rà soát toàn bộ các thành phần bên thứ ba đang vận hành, giới hạn quyền truy cập dữ liệu theo nguyên tắc “quyền tối thiểu” và tăng cường giám sát truy cập là những yêu cầu cấp thiết để giảm thiểu các nguy cơ.
