Cảnh báo: Chụp ảnh photobooth có thể khiến dữ liệu cá nhân bị lộ chỉ với một thao tác đơn giản
Trào lưu chụp ảnh tại các trạm photobooth đang thu hút đông đảo giới trẻ tại các đô thị lớn như TP.HCM và Hà Nội. Tuy nhiên, đằng sau sự tiện lợi và nhanh chóng này, các chuyên gia an ninh mạng đã đưa ra cảnh báo về nguy cơ lộ dữ liệu cá nhân chỉ với thao tác quét mã QR đơn giản.
Cơ chế hoạt động và rủi ro tiềm ẩn
Theo cơ chế phổ biến, sau khi chụp ảnh, hệ thống photobooth lưu trữ dữ liệu trên máy chủ và cung cấp cho người dùng một link truy cập thông qua mã QR. Khi quét mã, người dùng được dẫn tới trang web chứa ảnh để tải xuống hoặc chia sẻ. Tuy nhiên, chuyên gia Ngô Minh Hiếu (Hiếu PC), Giám đốc dự án Chống lừa đảo và thành viên Hiệp hội An ninh mạng quốc gia, cho biết: "Nếu hệ thống không có cơ chế xác thực hoặc kiểm soát truy cập phù hợp, dữ liệu này có thể bị khai thác trái phép. Một số hệ thống sử dụng đường dẫn chứa mã định danh đơn giản hoặc có tính tuần tự, từ đó tiềm ẩn nguy cơ bị suy đoán và truy cập trái phép".
Nhận thức của người dùng trẻ
Ghi nhận thực tế cho thấy nhiều người trẻ chưa nhận thức rõ về rủi ro này. Quảng Gia Hân, học sinh lớp 11 Trường THPT Nguyễn Thị Diệu (TP.HCM), chia sẻ: "Em và bạn bè thích chụp photobooth vì ảnh đẹp, tiện và dễ lưu giữ kỷ niệm. Thường thì sau khi chụp, tụi em quét mã QR để xem ảnh, hệ thống sẽ lưu trên web khoảng 24 giờ rồi tự mất". Khi được hỏi về nguy cơ lộ dữ liệu, Gia Hân thừa nhận chưa từng nghĩ tới vấn đề này.
Trong khi đó, Vũ Thị Như Quỳnh, sinh viên Trường ĐH Hải Phòng, cho biết nhận thức đã thay đổi sau khi tìm hiểu: "Trước đây mình chưa nghĩ đến rủi ro. Nhưng sau khi tìm hiểu thì thấy việc quét mã QR từ photobooth cũng có thể tiềm ẩn nguy cơ lộ dữ liệu". Cô thường tải ảnh về thiết bị cá nhân trước khi chia sẻ để hạn chế rủi ro.
Hệ lụy nghiêm trọng và giải pháp
Chuyên gia Hiếu PC đánh giá mức độ rủi ro là đáng lưu ý và không nên xem nhẹ. Ông phân tích: "Nếu mã QR chỉ dẫn tới một link hoặc mã định danh ảnh mà không có xác thực và kiểm soát quyền truy cập ở phía máy chủ, thì về bản chất đây là lỗi broken access control (lỗi kiểm soát truy cập bị phá vỡ). Khi đó, người khác có thể thay đổi tham số trong đường dẫn để truy cập vào dữ liệu không thuộc quyền của mình".
Theo ông Hiếu, rủi ro không chỉ dừng lại ở việc lộ hình ảnh thông thường mà còn liên quan đến dữ liệu khuôn mặt, có thể bị lợi dụng cho mạo danh, tạo hồ sơ giả hoặc lừa đảo, đặc biệt trong bối cảnh công nghệ AI và deepfake phát triển. Để hạn chế rủi ro, ông khuyến nghị các đơn vị vận hành cần áp dụng nguyên tắc bảo mật như sử dụng link có thời hạn ngắn, kiểm tra quyền truy cập, mã hóa dữ liệu và xóa ảnh sau thời gian phù hợp.
Cảnh báo từ góc độ kỹ thuật
Kỹ sư công nghệ thông tin Lê Khánh Dũng, Công ty công nghệ An Tín Tech (TP.HCM), nhận định rằng không chỉ riêng photobooth, bất kỳ mã QR nào dẫn tới link bên ngoài đều tiềm ẩn nguy cơ nếu người dùng không kiểm tra kỹ nguồn gốc. Ông cảnh báo: "Về bản chất, mã QR chỉ là một phương tiện trung gian để dẫn người dùng đến một đường dẫn. Nếu hệ thống phía sau không được bảo vệ tốt, hoặc nếu mã QR bị thay thế, người dùng có thể bị dẫn tới các trang web giả mạo nhằm thu thập thông tin cá nhân hoặc phát tán mã độc".
Ông Dũng chỉ ra một kịch bản đáng lo ngại: kẻ xấu có thể dán đè mã QR giả lên các trạm photobooth công cộng, khiến người dùng bị chuyển hướng tới trang web giả mạo để đánh cắp dữ liệu. Ông khuyến nghị người dùng hình thành thói quen kiểm tra link sau khi quét mã QR, tránh truy cập trang web bất thường, không cung cấp thông tin nhạy cảm và sử dụng ứng dụng quét mã có cảnh báo độc hại. Ông nhấn mạnh: "Trong bối cảnh các hình thức tấn công mạng ngày càng tinh vi, việc nâng cao nhận thức của người dùng là yếu tố quan trọng không kém so với các giải pháp kỹ thuật từ phía nhà cung cấp dịch vụ".
