Cal.com, một nền tảng lập lịch mã nguồn mở được hàng triệu người tin dùng để quản lý lịch trình và đặt cuộc họp, gần đây đã đối mặt với một vấn đề bảo mật nghiêm trọng. Nền tảng này cung cấp một giải pháp thay thế cho các công cụ như Calendly, với các tính năng như đồng bộ hóa lịch, lập lịch nhóm và hội nghị truyền hình. Vào ngày 26 tháng 01 năm 2026, các nhà nghiên cứu bảo mật đã phát hiện ra rằng những kẻ tấn công có thể thực hiện chiếm quyền điều khiển tài khoản bất kỳ người dùng nào, từ đó truy cập thông tin đặt lịch nhạy cảm của toàn bộ tổ chức.
Phát hiện Lỗ Hổng Nghiêm Trọng trong Cal.com Cloud
Lỗ hổng được phát hiện trong Cal.com Cloud là một chuỗi gồm ba lỗ hổng bảo mật riêng biệt nhưng có liên kết với nhau, cùng hợp tác để tạo ra một cuộc tấn công chiếm quyền điều khiển tài khoản hoàn chỉnh.
Những điểm yếu này tồn tại trong quy trình đăng ký (signup process) và các API endpoint xử lý dữ liệu đặt lịch (booking data endpoints) của nền tảng Cal.com.
Khi kết hợp lại, chúng cho phép kẻ tấn công chiếm đoạt tài khoản người dùng và đánh cắp chi tiết cuộc họp riêng tư, tên người tham dự, email cùng toàn bộ lịch sử đặt lịch từ hàng triệu lượt đặt lịch được lưu trữ trên nền tảng.
Các nhà phân tích bảo mật từ Gecko Security đã xác định những vấn đề bảo mật nghiêm trọng này thông qua một công cụ phân tích bảo mật được hỗ trợ bởi AI, công cụ này đã quét mã nguồn của Cal.com. Để tìm hiểu thêm về báo cáo của Gecko Security, bạn có thể tham khảo tại: Cal.com: Broken Access Controls Lead to Full Account Takeover.
Cuộc điều tra của họ tiết lộ cách các lỗi tinh vi trong các thành phần cốt lõi có thể liên kết với nhau và phá vỡ hoàn toàn các rào cản bảo mật của nền tảng, ảnh hưởng đến cả tài khoản quản trị viên và người dùng trả phí. Điều này nhấn mạnh tầm quan trọng của việc kiểm tra bảo mật mã nguồn một cách toàn diện.
Chuỗi Lỗ Hổng Dẫn Đến Chiếm Quyền Điều Khiển Tài Khoản
Lỗ hổng nguy hiểm nhất được xác định là một lỗi bỏ qua xác thực (authentication bypass) cho phép kẻ tấn công thực hiện chiếm quyền điều khiển tài khoản người dùng hiện có thông qua các mã thông báo mời tổ chức (organization invite tokens).
Lỗ hổng này bắt đầu bằng một chức năng xác thực tên người dùng (username validation function) bị lỗi, không kiểm tra đúng cách liệu một địa chỉ email đã được đăng ký hay chưa trong toàn bộ hệ thống.
Khi một người cố gắng đăng ký bằng cách sử dụng một liên kết mời tổ chức, hệ thống đã chấp thuận đăng ký một cách không chính xác cho những người dùng đã có tài khoản trên nền tảng, tạo điều kiện cho hành vi chiếm quyền điều khiển tài khoản.
Quy Trình Khai Thác Bỏ Qua Xác Thực
Cuộc tấn công để chiếm quyền điều khiển tài khoản người dùng diễn ra theo ba bước cụ thể:
- Bước 1: Quá trình xác thực đăng ký đã cho phép người dùng đã thuộc về một tổ chức được bỏ qua các kiểm tra bảo mật nghiêm ngặt.
- Bước 2: Xác thực email chỉ tìm kiếm trong phạm vi tổ chức của kẻ tấn công, bỏ qua sự tồn tại của các nạn nhân ở các tổ chức khác trên nền tảng.
- Bước 3: Thao tác cơ sở dữ liệu sử dụng các địa chỉ email duy nhất toàn cầu để khớp người dùng, điều này có nghĩa là nó đã ghi đè mật khẩu của nạn nhân bằng mật khẩu do kẻ tấn công chọn.
Để khai thác lỗ hổng này, một kẻ tấn công chỉ cần tạo một liên kết mời có thể chia sẻ, điều hướng đến trang đăng ký, nhập địa chỉ email của bất kỳ nạn nhân nào và mật khẩu mà họ muốn, sau đó giành quyền truy cập đầy đủ vào tài khoản.
Đáng chú ý, không có cảnh báo nào được gửi đến chủ sở hữu tài khoản thực tế, khiến nạn nhân không hề hay biết về việc tài khoản của mình bị chiếm quyền điều khiển tài khoản.
Cal.com đã vá lỗi này trong phiên bản 6.0.8 bằng cách thêm các kiểm tra sự tồn tại của người dùng phù hợp trước khi đăng ký, ngăn chặn khả năng này xảy ra.
Lỗ Hổng IDOR trên API Endpoints và Rò Rỉ Dữ Liệu
Lỗ hổng thứ hai đã làm lộ dữ liệu đặt lịch thông qua các lỗi Tham Chiếu Đối Tượng Trực Tiếp Không An Toàn (Insecure Direct Object References – IDOR) trên các API endpoint.
Điều này cho phép bất kỳ người dùng đã xác thực nào đọc và xóa tất cả các đặt lịch trên toàn bộ nền tảng Cal.com, gây ra rủi ro nghiêm trọng về an toàn thông tin và quyền riêng tư.
Cal.com đã chặn quyền truy cập trực tiếp vào các trình xử lý tuyến nội bộ này và phát hành các bản sửa lỗi trong vòng vài ngày sau khi báo cáo.
Bạn có thể đọc thêm về lỗ hổng này và tác động của nó tại: Cal.com Bookings Flaw: Impersonate Users, Steal Data of Millions of Bookings.
Tác Động và Phạm Vi Ảnh Hưởng
Khả năng chiếm quyền điều khiển tài khoản người dùng đồng nghĩa với việc kẻ tấn công có thể truy cập vào thông tin nhạy cảm của toàn bộ các tổ chức sử dụng Cal.com.
Các chi tiết bị rò rỉ bao gồm thông tin cuộc họp, tên người tham dự, địa chỉ email, và lịch sử đặt lịch đầy đủ. Đây là những thông tin có giá trị cao đối với các cuộc tấn công lừa đảo (phishing) hoặc các chiến dịch tình báo nguồn mở (OSINT) tiếp theo.
Mức độ nghiêm trọng của chuỗi lỗ hổng này đặt ra một rủi ro đáng kể về quyền riêng tư và an toàn thông tin cho hàng triệu người dùng Cal.com trên toàn cầu.
Nguy cơ xâm nhập mạng và đánh cắp dữ liệu nhạy cảm là rất cao khi các lỗ hổng này bị khai thác thành công, đe dọa đến danh tiếng và hoạt động của các tổ chức.
Biện Pháp Khắc Phục và Cập Nhật Bảo Mật
Sau khi được báo cáo, Cal.com đã nhanh chóng triển khai các bản vá bảo mật để giải quyết những lỗ hổng nghiêm trọng này.
Cụ thể, lỗi bỏ qua xác thực đã được khắc phục trong phiên bản 6.0.8 bằng cách cải thiện cơ chế kiểm tra sự tồn tại của người dùng trong quá trình đăng ký, ngăn chặn các trường hợp chiếm quyền điều khiển tài khoản trái phép.
Đối với các lỗ hổng IDOR làm lộ dữ liệu, Cal.com đã chặn quyền truy cập trực tiếp vào các trình xử lý tuyến nội bộ liên quan đến dữ liệu đặt lịch, đảm bảo an toàn thông tin cho người dùng.
Việc cập nhật bản vá bảo mật là cực kỳ quan trọng đối với tất cả người dùng và tổ chức đang sử dụng Cal.com để đảm bảo an toàn thông tin và bảo vệ dữ liệu nhạy cảm của họ khỏi các mối đe dọa.
Các tổ chức nên đảm bảo hệ thống Cal.com của mình được cập nhật lên phiên bản mới nhất để bảo vệ khỏi các cuộc tấn công mạng tiềm tàng và các nỗ lực chiếm quyền điều khiển tài khoản. Đây là bước cần thiết để duy trì tính toàn vẹn và bảo mật của dữ liệu.
