Những vi phạm dữ liệu do bên thứ 3 được công khai trong tháng 6/2020

10:55 | 17/08/2020

Một cuộc khảo sát gần đây của Viện nghiên cứu Ponemon (Mỹ) cho thấy, 59% các tổ chức tham gia khảo sát đã từng trải qua ít nhất 1 vi phạm dữ liệu do bên thứ 3 gây ra với tổn thất trung bình lên tới 7,5 triệu USD để khắc phục sự cố.

Các bên thứ 3 là những công ty hỗ trợ các tổ chức, thường xuyên phải truy cập, chia sẻ, hoặc duy trì dữ liệu quan trọng đối với hoạt động của tổ chức. Bên thứ 3 bao gồm rất nhiều công ty như công ty quản lý dữ liệu, công ty luật, nhà cung cấp email, công ty lưu trữ web, công ty con, nhà cung cấp dịch vụ,... Về cơ bản, bất kỳ công ty nào có nhân viên hoặc hệ thống có quyền truy cập vào hệ thống hay dữ liệu của tổ chức được xem là bên thứ 3. Tuy nhiên, rủi ro an ninh mạng từ bên thứ 3 là không giới hạn trong những công ty này. Bất kỳ phần mềm, phần cứng hoặc firmware bên ngoài nào được tổ chức sử dụng cũng tồn tại rủi ro an ninh mạng. Có nhiều công cụ để đánh giá rủi ro an ninh mạng của bên thứ 3 và nhiều cách để phòng ngừa tấn công chuỗi cung ứng phần mềm. Việc hiểu rõ những rủi ro tiềm ẩn cho phép tổ chức thực hiện các biện pháp điều chỉnh và bảo vệ mình khỏi những vi phạm an ninh mạng.

Dưới đây là những tấn công và vi phạm an ninh mạng xảy ra do bên thứ 3 được ghi nhận trong tháng 6/2020. Cần lưu ý rằng một số vi phạm vẫn đang được chứng thực khi có nhiều dữ liệu thu thập hơn.

1. Các Trung tâm Hợp nhất Quốc gia và các Sở Cảnh sát Mỹ

Vi phạm do bên thứ 3 làm rò rỉ gần 270 GB dữ liệu nhạy cảm từ hàng trăm Sở Cảnh Sát và các Trung tâm Hợp nhất (Fusion Centers) Mỹ vào ngày 22/6. Một phân tích nội bộ được thực hiện bởi Trung tâm Hợp nhất Quốc gia Mỹ, cho thấy một số tệp có chứa thông tin nhạy cảm cao như: Số định tuyến hệ thống thanh toán bù trừ tự động; Số tài khoản ngân hàng quốc tế (IBAN); Thông tin nhận dạng cá nhân (PII); Báo cáo của cơ quan thực thi pháp luật và cơ quan chính phủ.

Vi phạm bắt nguồn từ một công ty thiết kế trang web bên thứ 3 - công ty NetSential tại Houston, Mỹ. Công ty này đã xác nhận các máy chủ web của mình bị xâm phạm. Công ty máy chủ web bên thứ 3 này đã cung cấp dịch vụ cho hơn 200 cơ quan thực thi pháp luật và cơ quan chính phủ trên khắp nước Mỹ.

Tuyên bố của NetSential về vụ tấn công mạng có nội dung: "NetSential xác nhận máy chủ web của công ty đã bị xâm phạm mới đây. Chúng tôi đang làm việc với các cơ quan thực thi pháp luật về vụ xâm phạm và đang hoàn toàn hợp tác trong tiến trình điều tra. Chúng tôi đã củng cố hệ thống của mình và sẽ tiếp tục làm việc với cơ quan thực thi pháp luật để giảm thiểu những mối đe dọa trong tương lai. NetSential vẫn sẽ tiếp tục làm việc với những khách hàng bị ảnh hưởng bởi vụ xâm phạm dữ liệu".

Sau sự cố xâm phạm, Bob Maley - CSO của công ty đánh giá hệ thống an ninh mạng NormShield (Mỹ) phát biểu rằng: "Sau khi xem xét nhanh báo cáo kỹ thuật của NormShield về NetSential, nhiều lỗ hổng tiềm tàng trên máy chủ của họ đã được tiết lộ. Điều này không có nghĩa là các máy chủ này dễ bị tấn công (có thể đã được áp dụng các bản vá). Tuy nhiên, nếu một doanh nghiệp đang xem xét NetSential là nhà cung cấp máy chủ, thì những lỗ hổng bảo mật này dấy lên một báo động đỏ trong quá trình thẩm định doanh nghiệp để áp dụng các giải pháp bảo mật và hiệu quả kiểm soát trong tương lai”.

“Không phải nhà cung cấp Tier 1 sẽ mang lại nhiều rủi ro nhất. Bất kỳ bên thứ 3 có quyền truy cập dữ liệu của doanh nghiệp đều cần được theo dõi liên tục như một phần của chương trình quản lý rủi ro bên thứ 3", Maley cho biết.

2. Hệ thống hưu trí nhân viên San Francisco 

Vụ vi phạm dữ liệu gần đây liên quan đến Hệ thống hưu trí nhân viên (SFERS) của San Francisco, Mỹ đã ảnh hưởng tới khoảng 74.000 thông tin cá nhân.

Nhà cung cấp bên thứ 3 - Công ty công nghệ 10up (Mỹ) cung cấp dịch vụ thiết kế web cho SFERS, cho biết một tổ chức bên ngoài đã truy cập máy chủ dữ liệu thử nghiệm của họ, nơi lưu trữ thông tin thành viên vào ngày 24/02. Vụ xâm nhập được phát hiện gần một tháng sau vào 21/3.

Thông báo được đăng bởi SFERS có nội dung: "Nhà cung cấp đã nhanh chóng dừng hoạt động máy chủ và bắt đầu điều tra. Mặc dù nhà cung cấp không tìm thấy bằng chứng nào cho thấy thông tin các thành viên của SFERS đã bị xóa khỏi máy chủ, nhưng trong thời gian này, họ chưa thể xác nhận rằng thông tin chưa bị bên trái phép xem hoặc sao chép".

Dữ liệu bao gồm: Tên riêng, địa chỉ nhà, ngày sinh, thông tin người thụ hưởng được chỉ định, tên người dùng và mật khẩu của trang web SFERS, thông tin mẫu thuế 1099-R, và số định tuyến ngân hàng. SFERS đã yêu cầu thành viên của họ đăng nhập vào trang web SFERS để đặt lại mật khẩu.

Hiện tại chưa thể xác nhận những thông tin bị xâm phạm có bị sử dụng sai mục đích hay không. SFERS đang cung cấp miễn phí một năm thành viên ứng dụng IdentityWorks của Công ty báo cáo tín dụng tiêu dùng Experian (Ireland) như một dịch vụ bảo vệ danh tính cho những thành viên bị ảnh hưởng.

3. Keepnet

Công ty an ninh mạng Keepnet (Anh) gần đây đã gặp một sự cố vi phạm dữ liệu về bộ thu thập lịch sử dữ liệu bị rò rỉ của mình. Vụ vi phạm dữ liệu xảy ra do một nhà thầu bên thứ 3, với 5 tỷ địa chỉ email và mật khẩu đối chiếu từ các vụ vi phạm trước đó.

Một kỹ sư của nhà cung cấp dịch vụ CNTT bên thứ 3 được Keepnet thuê đã tạm thời dừng hoạt động tường lửa khi di chuyển cơ sở dữ liệu của công ty ElasticSearch. 10 phút không có tường lửa là đủ để cơ sở dữ liệu được lập chỉ mục bởi BinaryEdge - một dịch vụ lập chỉ mục mạng.

Nhà nghiên bảo mật Bob Diachenko đã tải xuống 2 MB từ cơ sở dữ liệu 867 GB và phát hiện dữ liệu đến từ các vi phạm dữ liệu nổi bật trong lịch sử, như vi phạm của Adobe, Twitter và LinkedIn. Cơ sở dữ liệu chứa dữ liệu vi phạm từ năm 2012 đến 2019, bao gồm: nguồn gốc của vi phạm, năm vi phạm được công khai, các địa chỉ email bị rò rỉ, mật khẩu hoặc hàm băm và định dạng của mật khẩu bị rò rỉ (ví dụ: bản rõ, mã hóa hoặc băm). Cơ sở dữ liệu đã ngay lập tức được ngắt kết nối mạng sau khi Diachenko gửi cảnh báo tới Keepnet.

Phòng thí nghiệm của Keepnet thu thập dữ liệu lịch sử vi phạm từ các "dịch vụ công cộng trực tuyến", do đó khách hàng của họ có thể được cảnh báo nếu lĩnh vực kinh doanh của họ bị vi phạm. Đây là hình thức phổ biến và hoàn toàn hợp pháp được sử dụng bởi các dịch vụ thông tin tình báo mối đe dọa. Theo Silvine Law - luật sư của Keepnet, sự vi phạm này không tiết lộ bất kỳ dữ liệu khách hàng nào của Keepnet.

4. Joomla

Một vi phạm dữ liệu trong tháng 6/2020 xảy ra đối với Joomla - một hệ thống quản lý nội dung mã nguồn mở (CMS). Joomla trải qua vi phạm này do lỗi con người tại một trong các bên thứ 3 có tên là Open Source Matters (Mỹ) - tổ chức phi lợi nhuận cung cấp hỗ trợ tài chính, pháp lý và tổ chức cho Joomla.

Tuyên bố từ một nhà phát triển cho rằng: "Các bản sao lưu toàn bộ trang Thư mục Tài nguyên Joomla (không mã hóa) được lưu trữ tại một công ty bên thứ 3 sử dụng dịch vụ web của Amazon S3. Công ty thứ ba này thuộc sở hữu bởi một cựu trưởng nhóm, vẫn là thành viên trong đội Thư mục Tài nguyên Joomla tại thời điểm xảy ra vi phạm.”

“Bản sao dự phòng bao gồm một bản sao đầy đủ của trang web, chứa toàn bộ dữ liệu. Hầu hết dữ liệu được công khai, vì người dùng đã gửi dữ liệu của họ lên với mục đích đưa vào một thư mục công cộng. Dữ liệu cá nhân (không được công khai, danh sách chưa được phê duyệt, vé) cũng bị rò rỉ trong vụ vi phạm”, tuyên bố tiếp tục cho hay.

Sự cố đã được phát hiện trong một cuộc kiểm định an ninh. Cuộc kiểm định này cũng tiết lộ sự tồn tại của những tài khoản “siêu người dùng” bên ngoài của Open Source Matters. Vi phạm đã ảnh hưởng 2.700 cá nhân, có khả năng rò rỉ các thông tin bao gồm: tên đầy đủ, địa chỉ kinh doanh, số điện thoại kinh doanh, URL công ty, mật khẩu đã mã hóa (mã băm), địa chỉ IP, tùy chọn đăng ký mới.

Mặc dù việc dữ liệu đã bị các bên thứ 3 truy cập hay không là không rõ ràng, Joomla khuyến nghị tất cả người dùng sử dụng Thư mục Tài nguyên Joomla nhanh chóng thay đổi mật khẩu, vì có khả năng sự kết hợp thông tin đăng nhập tương tự đã được sử dụng ở nơi khác.