Hacker bán dữ liệu của 538 triệu người dùng Weibo

15:02 | 31/03/2020

Mới đây, ZDNet đã đăng tải việc thông tin cá nhân của hơn 538 triệu người dùng mạng xã hội Trung Quốc - Weibo đang được rao bán trực tuyến. Các quảng cáo này đã được xem xét bởi ZDNet và các báo cáo chứng thực từ truyền thông Trung Quốc.

Trong các quảng cáo được đăng trên web đen và một vài địa chỉ khác, một hacker tuyên bố đã xâm nhập Weibo vào giữa năm 2019 và thu được một khối lượng khổng lồ dữ liệu người dùng tham gia mạng xã hội này.

Cơ sở dữ liệu được cho là chứa thông tin chi tiết của 538 triệu người dùng Weibo, bao gồm thông tin: lượt thích, tên thật, tên người dùng trang web, giới tính, địa điểm và số điện thoại của 172 triệu người dùng. Tuy nhiên, cơ sở dữ liệu này không bao gồm mật khẩu truy cập. Điều này lý giải tại sao tin tặc bán dữ liệu Weibo chỉ với giá 1.799 Yên ($ 250).

Quảng cáo bán dữ liệu người dùng Weibo

Người phát ngôn của Weibo đã không trả lời yêu cầu bình luận từ ZDNet, nhưng công ty đã cung cấp các tuyên bố cho truyền thông Trung Quốc về vấn đề này. Tuy nhiên, phản ứng của Weibo lại gây ra mâu thuẫn.

Trong một tuyên bố gửi tới trang web Trung Quốc 36kr và nhiều trang web khác, Weibo tuyên bố rằng số điện thoại nhận được vào cuối năm 2018 khi các kỹ sư của họ quan sát thấy một loạt tài khoản người dùng tải lên các dữ liệu liên lạc để cố gắng khớp tài khoản với số điện thoại tương ứng của họ. Trong tuyên bố riêng, được đăng trên hồ sơ Weibo của riêng mình, công ty cho biết họ không lưu trữ mật khẩu trong 1 file dữ liệu dạng text và người dùng không cần lo lắng.

Tuy nhiên, một số chuyên gia bảo mật Trung Quốc đã nhanh chóng chỉ ra những bất thường về kỹ thuật với phát ngôn của công ty. Theo quảng cáo của hacker, các dữ liệu thu thập được do kết xuất từ cơ sở dữ liệu SQL. Tuy nhiên, với lời giải thích của công ty, thì dữ liệu được thu thập bằng cách khớp các liên hệ với API của nó.

Thứ hai, tuyên bố của công ty cũng không giải thích cách hacker thu được các thông tin chi tiết như giới tính và địa điểm, thông tin không công khai và cũng không được API trả về khi khớp với các liên hệ.

Kẻ rao bán dữ liệu trên các phương tiện truyền thông xã hội Trung Quốc đã công bố nơi dữ liệu bắt nguồn và cách kẻ tấn công đã tiếp cận. Lý thuyết về việc phun mật khẩu (password spray) hoặc tấn công nhồi thông tin (credential stuffing) đã nhanh chóng bị bác bỏ khi các nhà nghiên cứu bảo mật nhận ra kẻ tấn công không bán mật khẩu.

Trong một số quảng cáo có tên là "@weibo", tin tặc đã cung cấp các mẫu dữ liệu mà người dùng Weibo xác nhận là chính xác.

Weibo cho biết, họ đã thông báo cho chính quyền về vụ việc này và cảnh sát đang tiến hành điều tra. Do sự kiểm soát gần như toàn bộ đối với Internet, cảnh sát Trung Quốc có thể theo dõi tin tặc địa phương một cách dễ dàng. Vào mùa hè năm 2018, một tin tặc khác đã rao bán thông tin chi tiết về khách hàng của khách sạn thuộc Tập đoàn khách sạn Huazhu. Chỉ sau ba tuần, cảnh sát Trung Quốc đã bắt giữ tin tặc này, mặc cho dữ liệu được bán trên web đen.