Đội ngũ RedTeam thuộc Công ty Cổ phần Công nghệ Giải pháp Quốc tế VNCS (VNCS Global) vừa phát hiện một lỗ hổng bảo mật có mức độ nghiêm trọng cao trong hệ thống của Sony. Lỗ hổng liên quan đến việc lộ lọt Swagger JSON – một thành phần kỹ thuật mô tả các API nội bộ của hệ thống.

Lỗ hổng Swagger File Disclosure – rủi ro từ việc lộ lọt API

Swagger JSON là công cụ phổ biến trong việc hỗ trợ nhà phát triển kiểm thử và mô tả các giao diện lập trình ứng dụng (API). Tuy nhiên, khi bị để lộ trên môi trường vận hành thực tế (production) mà không kiểm soát quyền truy cập, nó có thể trở thành điểm yếu nghiêm trọng trong hệ thống.

Thông qua file Swagger bị lộ, kẻ tấn công có thể:

  • Khám phá toàn bộ các API nội bộ đang hoạt động,
  • Nhận diện thông tin đầu vào/đầu ra, cấu trúc dữ liệu, thông tin tài khoản và quyền hạn người dùng,
  • Khai thác thông tin này để thực hiện các cuộc tấn công leo thang đặc quyền hoặc thăm dò hệ thống.

Đây là loại lỗ hổng phổ biến trong quá trình phát triển phần mềm hiện đại, nhưng nếu không được kiểm soát đúng cách, đặc biệt trong các hệ thống lớn như của Sony, nó có thể gây tổn thất nghiêm trọng về bảo mật và dữ liệu.

Lỗ hổng nói trên đã được các chuyên gia An toàn thông tin của VNCS Global phát hiện và gửi báo cáo thông qua nền tảng HackerOne – nền tảng cộng tác bảo mật được Sony sử dụng chính thức trong chương trình Bug Bounty.

sony-bug-bounty-vncs-global

Sau quá trình xác minh và đánh giá nội bộ, Sony xác nhận lỗ hổng có mức độ nghiêm trọng cao và đã tiến hành khắc phục để đảm bảo không ảnh hưởng đến hệ thống sản phẩm và người dùng. Đồng thời, VNCS Global đã nhận được sự ghi nhận từ phía Sony dưới hình thức khen thưởng trong khuôn khổ chương trình phối hợp.

VNCS Global: Dấu ấn Việt Nam trên bản đồ an ninh mạng quốc tế

Việc phát hiện và xử lý thành công lỗ hổng của Sony tiếp tục nối dài chuỗi thành tích ấn tượng của RedTeam VNCS Global trong lĩnh vực săn lỗi bảo mật (Bug Bounty)

Trước đó, đội ngũ RedTeam của công ty đã được:

  • Apple vinh danh liên tiếp trên Apple Security Hall of Fame, với 5 lỗ hổng được ghi nhận và xử lý thành công,
  • Ghi nhận đóng góp trong việc phát hiện lỗ hổng trên nhiều nền tảng quốc tế như LG, Umbraco…

Đọc thêm: Điểm Sáng Bảo Mật Quý 3/2024: Redteam VNCS Global Phát Hiện Nhiều Lỗ Hổng Bảo Mật Trên Các Nền Tảng Lớn

Về VNCS Global

VNCS Global là đơn vị cung cấp các giải pháp và dịch vụ toàn diện trong lĩnh vực an toàn thông tin, bao gồm: Giám sát an ninh mạng (SOC), đánh giá lỗ hổng – kiểm thử xâm nhập (Pentest), tư vấn tuân thủ (Compliance), bảo mật hệ thống vận hành công nghiệp (OT Security)… Với đội ngũ chuyên gia giàu kinh nghiệm, được công nhận bởi các chứng chỉ quốc tế như OSCP, OSWE, CEH, CISA, CISSP…, VNCS Global hiện là đối tác an ninh tin cậy của nhiều tổ chức thuộc lĩnh vực tài chính, công nghiệp và công nghệ.

VNCS Global cam kết không ngừng nâng cao năng lực chuyên môn, góp phần xây dựng không gian mạng an toàn, minh bạch và bền vững cho cộng đồng doanh nghiệp trong và ngoài nước.

📞 Liên hệ với chúng tôi ngay hôm nay để được tư vấn giải pháp phù hợp nhất cho tổ chức của bạn.
👉 Email: sales@vncsglobal.vn | Điện thoại: (+84) 24 62 911 419
🌐 Website: https://vncsglobal.vn