Một tập đoàn tài chính nổi tiếng bị hack trong 18 phút vì AI, 10.000 cuộc hội thoại cùng hàng tỷ giao dịch và thông tin nhạy cảm bị tiết lộ

Tờ Financial Times (FT) cho hay trong cuộc đua vũ trang về trí tuệ nhân tạo (AI), các “Big Three” ngành tư vấn là McKinsey, BCG và Bain & Co đang vô tình mở ra những kẽ hở chết người.

Vụ việc hacker xâm nhập thành công vào hệ thống của Bain & Co chỉ trong 18 phút là minh chứng rõ nhất cho thấy: Khi công nghệ chạy quá nhanh, bảo mật đôi khi chỉ còn là những lời hứa trên giấy.

18 phút và “cánh cửa mở toang” tại Bain & Co

Mới đây, một sự cố an ninh mạng nghiêm trọng đã xảy ra tại Bain & Co, một trong những tập đoàn tư vấn quản trị hàng đầu thế giới. Hacker từ tổ chức CodeWall tuyên bố chỉ mất đúng 18 phút để bẻ khóa nền tảng Pyxis của Bain.

Đây không phải là một hệ thống bỏ hoang, mà là công cụ AI cốt lõi được bộ phận tư vấn vốn cổ phần tư nhân (private equity) sử dụng để thẩm định đầu tư và phân tích thị trường.

Điều đáng nói nằm ở sự sơ hở đến mức khó tin: Hacker đã giành quyền truy cập thông qua một tên đăng nhập và mật khẩu được ghi trực tiếp trong mã nguồn web công khai. Từ lỗ hổng “sơ đẳng” này, CodeWall khẳng định đã tiếp cận được gần 10.000 cuộc hội thoại giữa nhân viên Bain và chatbot AI. Những dữ liệu này bao gồm phân tích về hàng tỷ giao dịch tiêu dùng và các câu hỏi nhạy cảm từ phía khách hàng về đối thủ cạnh tranh của họ.

Dù phía Bain & Co đã ngay lập tức lên tiếng phủ nhận việc dữ liệu độc quyền của khách hàng bị rò rỉ và khẳng định Pyxis hoạt động độc lập với hệ thống cốt lõi, nhưng việc hacker có thể chiếm quyền điều khiển tài khoản nhân viên hoặc tạo log-in mới vẫn là một kịch bản kinh hoàng đối với bất kỳ tổ chức tư vấn nào đang nắm giữ bí mật kinh doanh của các tập đoàn đa quốc gia.

Hãng Bain không phải nạn nhân duy nhất trong “mùa săn” của các hacker. Chỉ vài tuần trước đó, McKinsey cũng đã phải đối mặt với một sự cố tương tự khi các lỗ hổng trong hệ thống AI nội bộ bị phơi bày. Tiếp nối chuỗi sự kiện, Boston Consulting Group (BCG) cũng bị CodeWall “điểm danh” với một lỗi bảo mật được mô tả là “cơ bản” trong kho lưu trữ dữ liệu.

Mặc dù cả ba ông lớn đều khẳng định đã khắc phục sự cố trong vòng vài giờ và không có dữ liệu nhạy cảm nào bị ảnh hưởng, nhưng thực tế cho thấy một xu hướng đáng lo ngại. Paul Price, CEO của CodeWall, nhận định rằng các công ty tư vấn chiến lược đang quá vội vàng trong việc triển khai AI để làm hài lòng khách hàng, dẫn đến khoảng cách ngày càng lớn giữa tốc độ xây dựng và khả năng kiểm thử bảo mật.

Thật trớ trêu khi chính những đơn vị đang thu hàng tỷ USD mỗi năm từ việc tư vấn chuyển đổi số và ứng dụng AI cho các doanh nghiệp lại đang vấp ngã ở những bước cơ bản nhất. BCG kỳ vọng AI sẽ đóng góp tới 40% doanh thu của họ vào năm 2026. Bain thì bắt tay với các chuyên gia máy tính hàng đầu như Andrew Ng và Palantir để nâng tầm vị thế.

Tuy nhiên, việc tích hợp AI vào quy trình làm việc không chỉ đơn thuần là mua thêm một công cụ mạnh mẽ. Nó đòi hỏi một tư duy bảo mật hoàn toàn mới. Các chuyên gia an ninh mạng cảnh báo rằng, việc nhúng mã khóa (security tokens) hay thông tin đăng nhập vào mã nguồn mở là lỗi sai mà ngay cả một lập trình viên mới vào nghề cũng cần tránh, nhưng nó lại xuất hiện ở những nền tảng của các cố vấn cấp cao.

Theo FT, sự cố của các “Big Three” để lại những bài học xương máu cho các doanh nghiệp đang hăm hở ứng dụng AI vào vận hành. Thứ nhất, tốc độ không thể thay thế cho sự an toàn. Việc tung ra các công cụ AI nội bộ để tăng năng suất là cần thiết, nhưng nếu không qua kiểm định độc lập, đó chính là quả bom nổ chậm.

3ộ điều khiển nhiệt độ PID REX-C100, với cặp nhiệt

Giới thiệu về sản phẩm này Độ chính xác đo: + / - 0,5% FS Dung sai bù đầu lạnh: + /- 2 độ C (có thể được sửa đổi bằng phần mếm trong 0 ~ 50 độ C) Độ phân giải: 14 bit Chu ky lấy mẫu: 0,5 giây Quyền lực: AC 100-240V 50 / 60HZ Giá trị quá trình (PV), Giá trị cài đặt (SV) <iểm soát PIN (bao gồm ON / OFF, PID loại bước và PID liêr tỤc) Điều khiển tự điều chỉnh Đầu ra rơ le: công suất tiếp xúc 250V AC 3A (tải điện

Tiếp đó, dữ liệu là yếu tố sống còn của doanh nghiệp. Trong kỷ nguyên AI, các cuộc hội thoại với chatbot không chỉ là câu hỏi và trả lời, chúng là tập hợp các chiến lược, lo ngại và bí mật cạnh tranh. Nếu một hacker có thể xem 10.000 cuộc hội thoại, họ đã nắm trong tay bản đồ tư duy của cả một tổ chức.

Cuối cùng, tính minh bạch trong xử lý khủng hoảng là yếu tố sống còn để duy trì niềm tin. Việc các hãng tư vấn ngay lập tức mời chuyên gia bên thứ ba và phản hồi nhanh chóng là điểm cộng, nhưng ngăn chặn từ gốc vẫn là giải pháp rẻ hơn nhiều so với việc đi xử lý hậu quả sau khi danh tiếng đã bị tổn hại.

Trong thế giới phẳng, một hacker đơn độc cũng có thể làm lung lay cả một đế chế tư vấn lâu đời. Cuộc chơi AI giờ đây không chỉ là ai thông minh hơn, mà là ai bảo vệ được sự thông minh đó tốt hơn.

*Nguồn: FT, Wired