Sai lầm nghiêm trọng thường gặp khi lưu trữ secrets - Biết sai nhưng vẫn làm, thì ai cứu được

Lập trình viên nào cũng hiểu tầm quan trọng của bảo mật dữ liệu, nhưng nếu nhìn vào con số từ Báo cáo Tình trạng lộ lọt dữ liệu Secrets tại Việt Nam 2024, có lẽ chúng ta cần phải tự hỏi: Vì sao vẫn có hàng triệu secrets bị lộ mỗi năm? Vấn đề nằm ở tư duy xem nhẹ bảo mật. Không ít người vẫn coi hardcode secrets hay lưu API keys trong config files là chuyện bình thường. Khi chưa gặp sự cố, họ nghĩ rằng những nguyên tắc bảo mật chỉ là "rườm rà", "làm mất thời gian". Và rồi, đến khi bị khai thác, họ lại đổ lỗi cho… số phận. Dưới đây là ba sai lầm phổ biến nhất mà dù ai cũng biết là nguy hiểm, nhưng vẫn tiếp tục xảy ra năm này qua năm khác.

1. Lưu secrets trong config files

93,72% secrets bị lộ có nguồn gốc từ config files. Nếu con số này chưa đủ để cảnh báo mức độ nghiêm trọng của vấn đề, thì hãy nhìn vào thực tế: hầu hết lập trình viên vẫn tin rằng file cấu hình là nơi lưu trữ an toàn. Sự thật là config files chỉ an toàn khi có biện pháp bảo vệ, nhưng đa số lại không hề được mã hóa hoặc kiểm soát quyền truy cập. Có những lỗi quá sơ đẳng nhưng vẫn diễn ra hàng ngày: Lưu API keys trong config.json rồi push lên GitHub mà không kiểm tra. Backup config nhưng quên đặt quyền truy cập, biến file này thành cánh cửa mở cho hacker. Để file cấu hình trên server nhưng không giới hạn quyền đọc, khiến bất kỳ ai cũng có thể lấy được secrets chỉ với một dòng lệnh. Nhiều người cho rằng chỉ cần để file config trong thư mục "khó tìm" là đủ an toàn. Nhưng nếu hacker đã vào được hệ thống, thì việc tìm ra file chứa secrets chỉ là vấn đề thời gian. Tư duy "cứ để tạm đây" chính là nguyên nhân dẫn đến hàng loạt vụ rò rỉ dữ liệu lớn. Đừng nghĩ rằng không ai biết đến file config của bạn. Hãy nghĩ đến điều gì sẽ xảy ra nếu có ai đó tìm thấy.

2. Hardcode secrets trong mã nguồn

Hardcode secrets trong mã nguồn là sai lầm không thể bào chữa, nhưng 5,66% secrets bị lộ vẫn đến từ lỗi này. Câu hỏi đặt ra là: Vì sao lỗi cơ bản này vẫn xảy ra? Câu trả lời đơn giản: Vì nó tiện. Khi cần kết nối API hoặc truy cập cơ sở dữ liệu nhanh, nhiều lập trình viên không muốn mất thời gian cài đặt quản lý secrets chuyên biệt. Vậy là họ nhét thẳng API key vào mã nguồn và commit lên repository. Ban đầu, có thể mã nguồn chỉ chạy nội bộ. Nhưng ai đảm bảo nó không bị chia sẻ? Một khi source code đã push lên GitHub hoặc thậm chí một repo nội bộ, hacker chỉ cần một công cụ quét đơn giản để tìm ra API keys bị lộ. Khi đó, toàn bộ hệ thống của bạn sẽ nằm trong tay kẻ tấn công. Sai lầm này phổ biến không phải vì thiếu hiểu biết, mà vì nhiều lập trình viên đánh đổi bảo mật để lấy sự tiện lợi nhất thời. Nhưng sự "tiện lợi" này có thể khiến doanh nghiệp mất hàng tỷ đồng chỉ sau một đêm.

3. .env files

.env files thường được quảng bá như một cách để tách secrets khỏi mã nguồn, nhưng điều này không có nghĩa là chúng an toàn tuyệt đối. Mặc dù chỉ chiếm 0,62% secrets bị lộ, nhưng con số này không phản ánh đúng mức độ rủi ro. Vấn đề thực sự nằm ở nhận thức sai lầm về .env files: Nhiều lập trình viên quên thêm .env vào .gitignore, dẫn đến việc push nhầm lên repository. Server không được cấu hình đúng cách, cho phép hacker truy cập và đọc file .env mà không gặp bất kỳ trở ngại nào. Không có cơ chế xoay vòng secrets, khiến một API key bị lộ có thể bị hacker khai thác trong nhiều tháng trời. Cần phải khẳng định: .env files không phải là giải pháp bảo mật, nó chỉ giúp secrets không nằm trong mã nguồn. Một khi hacker đã xâm nhập vào server, thì việc đọc nội dung .env dễ như mở một file văn bản. Vậy tại sao nhiều người vẫn sử dụng .env mà không có biện pháp bảo vệ nào khác? Có lẽ vì họ chưa từng đối mặt với hậu quả của việc secrets bị lộ. Nhưng bảo mật không phải là chuyện "chờ đến khi gặp vấn đề mới giải quyết". Nếu bạn vẫn nghĩ rằng .env là đủ, thì có lẽ bạn chỉ đang cầu may rằng mình không phải nạn nhân tiếp theo. Biết sai nhưng vẫn làm, thì ai cứu được? Bảo mật không phải là "một tính năng phụ", nó là yêu cầu tối thiểu trong lập trình. Nhưng nếu nhìn vào số lượng secrets bị lộ mỗi năm, rõ ràng nhiều người vẫn không coi trọng điều này. Hardcode secrets, lưu API keys trong config files, sử dụng .env files mà không bảo vệ – đây không phải là "lỗi nhỏ", mà là những lỗ hổng bảo mật nghiêm trọng có thể gây ra thiệt hại khổng lồ. Câu hỏi đặt ra là: Bạn có tiếp tục đánh cược với bảo mật, hay bạn sẽ thay đổi trước khi quá muộn?

📌 Bài viết dựa trên số liệu từ Báo cáo Tình trạng lộ lọt dữ liệu Secrets tại Việt Nam 2024 do CyStack thực hiện. Xem báo cáo đầy đủ tại link trong phần bình luận.