Cựu giám đốc công nghệ của Ripple, ông David Schwartz, vừa lên tiếng cảnh báo nghiêm trọng trong tuần này về một lỗ hổng mới xuất hiện trên Windows BitLocker, cho biết đây là một trong những vấn đề bảo mật nghiêm trọng nhất mà ông từng chứng kiến trong nhiều năm qua.
Phát biểu của ông được đưa ra đồng thời với một cảnh báo khác về làn sóng lừa đảo nhắm vào người dùng XRP Ledger, cho thấy áp lực ngày càng tăng đối với cả bảo mật thiết bị cá nhân lẫn sự tin tưởng trên chuỗi.
Schwartz cảnh báo mạnh về lỗ hổng bảo mật BitLocker
Schwartz cho biết lỗ hổng này cho phép kẻ tấn công vượt qua bảo mật mã hóa ổ đĩa toàn diện của Microsoft chỉ bằng một thiết bị USB đơn giản. Việc không có yêu cầu xác thực khi truy cập đã khiến nhiều người cho rằng đây giống như một “cửa hậu”, chứ không phải chỉ là một lỗi nhỏ, vì cách khai thác rất dễ dàng, không đòi hỏi kỹ năng kỹ thuật phức tạp.
Lỗ hổng này đặc biệt nguy hiểm đối với những ai lưu trữ dữ liệu nhạy cảm trên thiết bị Windows, như khóa riêng, cụm từ khôi phục hay tài liệu làm việc. Những chia sẻ trước đây của Schwartz về bảo mật và thiết kế khuyến khích ở cấp độ giao thức từng thu hút sự chú ý của cộng đồng, nên đánh giá của ông về vấn đề BitLocker càng nhận được sự quan tâm lớn.
Thông tin này làm gia tăng lo ngại về các cuộc tấn công phần mềm đang lan sang lĩnh vực liên quan đến tiền mã hóa, nơi mà việc lộ khóa riêng có thể khiến nhà đầu tư nhỏ lẻ chịu mất mát trực tiếp và không thể đảo ngược, nếu họ chỉ dựa vào mã hóa ổ cứng để bảo vệ dữ liệu sao lưu lạnh.
Ripple CTO tiếp tục cảnh báo về làn sóng lừa đảo trên XRPL
Trong một bài đăng khác, Schwartz cảnh báo về số lượng báo cáo lừa đảo nhắm vào người dùng XRPL đang tăng mạnh. Hình thức phổ biến nhất là airdrop giả mạo và các tài khoản giả danh. Kẻ lừa đảo thường sao chép hồ sơ đã xác minh, lôi kéo người dùng kết nối ví với hợp đồng rút cạn tài sản.
Xu hướng này phản ánh sự gia tăng lừa đảo trên diện rộng mà các cơ quan tài chính đã cảnh báo trong thời gian gần đây. Với người nắm giữ XRP, rủi ro càng cao do XRPL có tính ẩn danh và gần như không có cách khôi phục nếu tài sản đã bị chuyển đi.
Schwartz, người có vị trí uy tín trong cộng đồng XRP, đã nhắc nhở mọi người không nên làm theo những lời mời airdrop không rõ nguồn gốc và cần tự xác minh thông báo chính thức trước khi liên kết bất kỳ ví nào.
Các mã độc do AI tạo ra làm tăng mối lo bảo mật
Những cảnh báo trên được đưa ra trong bối cảnh Google thông báo vừa ngăn chặn thành công một cuộc tấn công zero-day được tạo ra bằng AI, trước khi nó bị phát tán trên diện rộng. Cuộc tấn công sử dụng Python này có thể vượt qua xác thực hai yếu tố trên một công cụ quản lý mã nguồn mở phổ biến.
Những hệ thống phòng vệ AI như Big Sleep và CodeMender cũng đã được triển khai để đối phó với mối đe dọa này. Tuy nhiên, khả năng các biện pháp mã hóa đầu cuối và xác thực người dùng có kịp thích nghi với sự thay đổi này hay không vẫn còn là câu hỏi mở.
