VN

EN

home Tin tức & Sự kiện

Tin tức

Giảng viên Trường Đại học FPT phát hiện lỗ hổng bảo mật trong nền tảng dữ liệu được sử dụng bởi Google, PayPal

Calendar Thứ Tư, 08/04/2026

Thầy Nguyễn Anh Bình – giảng viên, nghiên cứu viên tại phòng thí nghiệm An toàn thông tin,  Khoa An toàn thông tin Trường Đại học FPT – vừa phát hiện lỗ hổng bảo mật nghiêm trọng trong Apache Airflow, nền tảng mã nguồn mở phổ biến được sử dụng rộng rãi trong các hệ thống xử lý và điều phối dữ liệu trên toàn cầu.

Apache Airflow là một trong những công cụ quan trọng trong hệ sinh thái dữ liệu, đóng vai trò kết nối và điều phối luồng dữ liệu từ nhiều nguồn khác nhau về các kho dữ liệu tập trung. Trong quá trình nghiên cứu bảo mật ứng dụng cho phần mềm điều phối quy trình công việc (workflow orchestration), giảng viên Nguyễn Anh Bình nhận thấy cơ chế phân quyền của Airflow tồn tại điểm yếu có thể bị khai thác theo hướng leo thang đặc quyền (Broken Access Control), cho phép người dùng có quyền thấp truy cập vào các tài nguyên chỉ dành cho cấp độ cao hơn. Dù Airflow được thiết kế với các cơ chế bảo vệ thông tin nhạy cảm như mật khẩu hay mã truy cập hệ thống (API Keys), lỗ hổng này có thể bị khai thác để vượt qua các lớp kiểm soát, từ đó làm lộ các dữ liệu bí mật trong hệ thống.

Ngay sau khi xác định lỗ hổng, giảng viên Nguyễn Anh Bình đã chủ động gửi báo cáo tới Apache Software Foundation – tổ chức quản lý và phát triển Airflow. Apache lập tức xác nhận và xử lý báo cáo của giảng viên Trường Đại học FPT, đồng thời phát hành mã định danh lỗ hổng (CVE) trong thời gian ngắn. Apache cũng nhanh chóng triển khai bản vá và khuyến nghị cộng đồng người dùng cập nhật phiên bản mới nhằm đảm bảo an toàn hệ thống.

z7702971911505 8f8c12b8c3e446ba57dc2c2ce6887e8a topaz face upscale 4x

Giảng viên Nguyễn Anh Bình thuộc Khoa An toàn thông tin, Trường Đại học FPT.

Apache Airflow có thể hiểu đơn giản như một “người điều phối công việc” cho dữ liệu. Dữ liệu của một doanh nghiệp không nằm ở một chỗ mà rải rác ở nhiều hệ thống khác nhau như bán hàng, kế toán, marketing… Airflow sẽ giúp kết nối và sắp xếp các bước xử lý dữ liệu theo đúng thứ tự. Nhờ đó, hệ thống có thể tự động chạy theo lịch, kiểm soát lỗi và đảm bảo dữ liệu luôn được xử lý đúng cách.

Airflow hiện được sử dụng rộng rãi trên toàn cầu, trong đó có nhiều công ty công nghệ lớn như Google, Airbnb, PayPal, Twitter… Những doanh nghiệp này cần xử lý lượng dữ liệu khổng lồ mỗi ngày để phục vụ vận hành hệ thống. Với hàng chục nghìn dự án đang sử dụng trên toàn cầu, nếu các lỗ hổng không được phát hiện và khắc phục kịp thời có thể khiến hacker tấn công dữ liệu của nhiều tổ chức.

Author Thuý Anh

Tin cùng chuyên mục