How Did a 3.5 Million-Student Breach Slip Through? Oracle’s Flaw Is Just the Tip of the Iceberg
Làm sao mà một vụ rò rỉ 3,5 triệu sinh viên lại lọt lưới? Lỗ hổng của Oracle chỉ là phần nổi của tảng băng chìm

Băng nhóm Clop không chỉ tấn công một trường đại học—họ đã khai thác một sự thất bại hệ thống. Một lỗ hổng zero-day trên Oracle EBS thì đáng trách, đúng, nhưng để nguyên nó mà không vá trong vài tháng? Đó là sự tắc trách mang diện mạo doanh nghiệp.
Nói thật đi: dữ liệu của Phoenix không chỉ nhạy cảm—nó là vàng thô cho tội trộm danh tính. Số an sinh xã hội, hồ sơ tài chính, toàn bộ lịch sử... và chúng ta được bảo là phải tin tưởng họ sửa sai sau khi chuyện xảy ra? Đừng có đùa.
Là người quản lý hệ thống mạng một trường đại học nhỏ hơn, tôi nói thẳng: quy trình vá lỗi Oracle EBS của chúng tôi lâu hơn bạn tưởng. Phải xin phê duyệt từ nhà cung cấp, chạy thử nghiệm, tìm khung giờ ngừng dịch vụ. Đâu phải chỉ việc 'nhấn cập nhật'. Nhưng ba tháng? Đây là lỗi của ban lãnh đạo.
Con gái tôi bị đánh cắp số an sinh xã hội trong vụ này. Tôi đã dành 8 tiếng tuần này gọi chờ với các cơ quan tín dụng. 'Chúng tôi sẽ gửi báo cáo trong 7-10 ngày làm việc' — còn con bé thì đang sống trong khủng hoảng. Các trường giữ dữ liệu còn nhạy cảm hơn ngân hàng. Khi nào thì cơn phẫn nộ mới bắt đầu?
Tôi hiểu cảm giác đó. Không phụ huynh nào nên trải qua điều này. Nhưng đổ lỗi riêng cho đội IT là không công bằng—họ cần ngân sách và sự ủng hộ từ cấp lãnh đạo. Lỗi thật sự? Ban giám đốc chỉ quan tâm tuyển sinh, chứ không quan tâm mã hóa.
Bạn từng nhận email kiểu 'Dữ liệu của bạn có thể bị rò rỉ' chưa? Tôi nhận tới ba lần rồi. Năm 2024, 2025… và giờ lại thêm cái này. Tôi nghĩ danh tính mình bị xâm phạm còn nhiều lần hơn cả số lần đổi mật khẩu Netflix.
Kịch bản của Clop không hề thay đổi. Tìm lỗ hổng zero-day, di chuyển ngang hệ thống, rò dữ liệu, xả và lặp lại. Nhưng Phoenix không có EDR hay giám sát hành vi? Quá lạc hậu.
Nói thật này: Oracle EBS là công nghệ cũ kỹ, được giữ chân bởi các chuyên gia tư vấn. Các trường cứ dùng vì 'trước giờ vẫn dùng'. Đó không phải truyền thống—mà là một vụ rò rỉ dữ liệu đang chờ xảy ra.
Vụ kiện này rồi sẽ trở nên tồi tệ. Phoenix từng được cảnh báo về lỗ hổng EBS vài tháng trước khi xảy ra. Phớt lờ mối đe dọa đã biết? Đó không phải lỗi kỹ thuật—mà là trách nhiệm pháp lý.