Một nhóm chuyên gia bảo mật vừa tiết lộ một lỗ hổng nghiêm trọng có thể ảnh hưởng đến hơn 3 triệu phòng khách sạn tại 161 quốc gia trên thế giới. Lỗ hổng này được gọi là Unsaflok, nhắm vào hệ thống khóa RFID điện tử Saflok do công ty Dormakaba sản xuất.
Theo Wired, hackers có thể tạo bản sao của thẻ khóa hoặc sử dụng điện thoại Android hỗ trợ NFC để tạo tín hiệu xác thực giả mạo, từ đó có thể mở khóa cửa phòng khách sạn chỉ trong vài giây.
Các tên tội phạm có thể vượt qua hệ thống khóa điện tử Dormakaba bằng cách tận dụng lỗ hổng nghiêm trọng.
Để thực hiện hành vi này, chúng cần lấy được thẻ khóa (thẻ từ) từ khách sạn mục tiêu, có thể thông qua việc đặt phòng hoặc quẹt thẻ đã qua sử dụng. Sau đó, chúng sẽ sử dụng đầu đọc ghi thẻ RFID để đọc mã từ thẻ và tạo ra hai thẻ khóa mới. Khi hai thẻ được chạm vào khóa, thẻ đầu tiên sẽ ghi đè một phần dữ liệu của khóa và thẻ thứ hai sẽ mở cửa.
Khi sử dụng điện thoại Android hỗ trợ NFC, hai thẻ khóa có thể được thay thế bằng điện thoại. Chỉ cần kẻ tấn công tải ứng dụng phát tín hiệu để thay thế cho thẻ khóa vật lý.
Sự cố về lỗ hổng Unsaflok khiến người ta nhớ đến vụ việc tương tự xảy ra vào năm 2012 với 10 triệu ổ khóa do công ty Onity sản xuất. Lúc đó, Onity đã từ chối cập nhật bảo mật cho các hệ thống ổ khóa, dẫn đến việc nhiều khách sạn bị tội phạm tấn công, cướp tài sản của khách.
Nhóm nghiên cứu Unsaflok đã quyết định không tiết lộ hoàn toàn chi tiết về lỗ hổng cho công chúng để bảo vệ khách sạn và tạo thời gian cho Dormakaba để khắc phục. Tuy nhiên, họ cũng cảnh báo rằng việc trì hoãn sửa lỗi có thể gây ra hậu quả nghiêm trọng.
Dormakaba thông báo rằng họ đã hợp tác với các đối tác để triển khai giải pháp tạm thời và lâu dài cho vấn đề này. Công ty cũng cam kết sẽ hợp tác chặt chẽ với các khách sạn để đảm bảo an ninh cho khách hàng.
Việc phát hiện lỗ hổng Unsaflok là một cảnh báo quan trọng đối với ngành khách sạn về tính quan trọng của việc bảo vệ an ninh hệ thống khóa cửa. Việc cập nhật phần mềm và áp dụng các biện pháp bảo mật tiên tiến là hết sức cần thiết để ngăn chặn những cuộc tấn công nguy hiểm.
