Tại Hội thảo an ninh mạng Defcon, Adam Laurie, một hacker cho biết anh ta có thể đột nhập một cách giới hạn vào hệ thống dữ liệu của khách sạn thông qua modem TV kỹ thuật số.

Bằng cách nối chiếc máy tính xách tay của mình vào bất kỳ modem TV nào của khách sạn, Adam Laurie có thể theo dõi những người ở các phòng khác đang xem chương trình TV nào, có thể biết được mức độ chi tiêu hàng ngày của họ tại khách sạn, chỉnh sửa được hóa đơn của quầy bar trong phòng, biết được số lần khách vào ra, kiểm soát được quá trình cài đặt báo thức thông qua TV, cũng như theo dõi được toàn bộ quá trình lướt web nếu người thuê phòng khách sạn lướt web thông qua TV của khách sạn. Dĩ nhiên Adam Laurie không thể thấy được những người khác đang làm gì trong phòng nhưng kỹ năng đột nhập thông qua modem TV cáp này cũng đã đưa Adam Laurie lên hàng đại cao thủ.

Laurie nhận xét:”Té ra hệ thống mạng TV trong khách sạn cũng kèm thêm một số chức năng quản lý khác mà tôi có thể đột nhập. Khách sạn là một trường hợp điển hình nhất mà vấn đề bảo mật khách hàng hầu như không được kiểm soát”.

Laurie cho biết rằng bất kỳ một hacker nào cũng có thể nối máy xách tay của mình vào cổng cáp TV USB để đột nhập vào hệ thống kiểm soát các tiện nghi giải trí tại phòng cũng như một số tiện nghi khác. Laurie cũng phát hiện ra một số hệ thống cho phép đột nhập vào mạng khách sạn thông qua số nhận dạng ID của mỗi TV ở các phòng. Bằng cách thay đổi số ID này, Laurie có thể lấy được các thông tin nêu trên ở các phòng khác nhau. Nhiều hệ thống máy ở các khách sạn cũng “trưng bày” luôn trên mạng TV các hóa đơn khách hàng, các ghi nhận về dịch vụ trong phòng như số điện thoại gọi đi, ăn uống và xem những gì …

Laurie có thể đột nhập và kiểm soát luôn được hoạt động của các thiết bị có khả năng đóng mở tự động như quầy bar, TV, tủ lạnh… điển hình là một khách sạn của tập đoàn Holiday.

Khi ngụ tại một khách sạn của tập đoàn Hilton ở Paris, Laurie đã đột nhập thành công bằng cách tương tự và khai thác được hàng đống dữ liệu như tỷ lệ khai thác phòng, tên khách trọ, hóa đơn thanh toán, thời gian lưu trú, số điện thoại gọi đi v.v... Laurie đã trưng ra các bằng chứng này tại hội thảo Defcon nhưng không tiết lộ tên tuổi khách hàng.

HOÀNG HẢI (Theo CNET)