Tin tặc bán dữ liệu của các nhà lập pháp Hoa Kỳ bị đánh cắp từ thị trường bảo hiểm

09:29 | 21/04/2023

Trong tháng 3 vừa qua, tin tặc đã công khai rao bán dữ liệu bị đánh cắp từ DC Health Link (cơ quan quản trị dịch vụ y tế phục vụ Hạ viện Mỹ) trên diễn đàn web đen. Những dữ liệu bị đánh cắp là những thông tin bảo hiểm y tế của các thành viên của Quốc hội và cư dân của thủ đô Washington, Hoa Kỳ.

Trong một bản ghi nhớ, các nhà lãnh đạo của Hạ viện cho biết dữ liệu liên quan đến nhiều nhà lập pháp, cũng như vợ/chồng, người phụ thuộc và nhân viên của họ trong cả hai đảng chính trị lớn của Hoa Kỳ. Dữ liệu của các Thượng nghị sĩ và nhân viên của họ cũng bị xâm phạm. Các nhà lãnh đạo Quốc hội cho biết nguyên nhân, quy mô và phạm vi đầy đủ của vi phạm vẫn chưa được biết, FBI vẫn đang tiếp tục điều tra.

Người phát ngôn của DC Health Link đã xác nhận rằng thông tin khách hàng đã bị lộ trên một diễn đàn công khai. Chủ tịch Hạ viện, Kevin McCarthy và lãnh đạo đảng Dân chủ Hạ viện Hakeem Jeffries cho biết trong một bức thư gửi tới Giám đốc điều hành của DC Health Link và đã được đăng trực tuyến bởi Axios rằng các nhân viên điều tra liên bang đã có thể mua dữ liệu bị đánh cắp trên một diễn đàn tội phạm mạng.

Một lá thư từ Giám đốc Hành chính của Hạ viện được gửi tới các văn phòng của Hạ viện cho biết vụ tấn công dường như không nhằm vào các nhà lập pháp. Theo tin của NBC, một bản ghi nhớ của Thượng viện nói rằng dữ liệu bị xâm phạm bao gồm: tên đầy đủ, ngày đăng ký, mối quan hệ (bản thân, vợ/chồng, con cái) và địa chỉ email, nhưng không có thông tin nhận dạng cá nhân nào khác.

McCarthy và Jeffries viết trong thư gửi cho DC Health Link rằng: "Vi phạm này làm tăng đáng kể nguy cơ các thành viên nghị viện, nhân viên và gia đình của họ gặp phải hành vi trộm cắp danh tính, tội phạm tài chính và các mối đe dọa về vật chất, đây vốn đã là một mối lo ngại đang diễn ra”. Họ cũng nói thêm rằng, khi tin tặc đánh cắp dữ liệu thì chúng đã nhận thức được tính nhạy cảm của những dữ liệu này.

Thị trường bảo hiểm DC Health Link phục vụ gần 100.000 người, bao gồm khoảng 11.000 thành viên Quốc hội và nhân viên. Trước đó, các nhà lập pháp Đảng Cộng hòa đã đưa vào luật năm 2010 thiết lập chương trình bảo hiểm y tế toàn quốc, Đạo luật Chăm sóc Giá cả phải chăng, yêu cầu các nhà lập pháp và nhân viên trong văn phòng cá nhân của họ mua bảo hiểm y tế thông qua thị trường Washington và cơ quan quản lý là DC Health Link.

DC Health Link là một chương trình trao đổi chăm sóc sức khỏe công-tư dành cho cư dân Washington, do Cơ quan Trao đổi Phúc lợi Y tế DC (DCHBX) điều hành. Theo trang web của mình, "Khoảng 100.000 người có bảo hiểm y tế tư nhân thông qua DC Health Link và điều này bao gồm hơn 5.000 doanh nghiệp nhỏ của Washington, khoảng 11.000 nhân viên và Thành viên Quốc hội, cùng hàng nghìn cư dân của Washington".

Mặc dù DC Health Link đã xác nhận và công bố bị tấn công vào thời điểm đó, nhưng DCHBX đã đưa ra tuyên bố quan trọng đầu tiên trước công chúng hôm 03/3/2023 trên Twitter và một lời khuyên được đăng tải lên trang web của DC Health Link. Tổ chức này cho biết họ đã ngay lập tức tiến hành một cuộc điều tra vào ngày 06/3/2023 sau khi biết về vụ việc và bắt đầu làm việc với cơ quan thực thi pháp luật và công ty ứng phó sự cố Mandiant thuộc sở hữu của Google. Theo điều tra đã có khoảng hơn 56 nghìn khách hàng bị ảnh hưởng.

Tuy nhiên vẫn còn những câu hỏi liên quan đến bản chất của vi phạm dữ liệu cũng như vectơ tấn công mà tin tặc đã sử dụng. Vectơ tấn công của vụ lộ dữ liệu DC Health Link có thể là một cơ sở dữ liệu bị lộ, theo một bài đăng trên diễn đàn dark web của một cá nhân đang sở hữu dữ liệu chia sẻ.

Vào ngày 06/3/2023, một người dùng trên diễn đàn web đen nổi tiếng với bí danh "IntelBroker" đã cung cấp dữ liệu DC Health Link bị đánh cắp được cho là đại diện cho dữ liệu từ 170.000 cá nhân với số lượng tiền điện tử Monero không được tiết lộ. IntelBroker đã bị diễn đàn cấm vĩnh viễn sau những bài đăng này.

Tối ngày 06/3/2023, một người dùng khác có bí danh "Denfur", người tự nhận là bạn của IntelBroker trước đó đã công bố các mẫu dữ liệu từ vụ vi phạm, đã đăng một bài đăng với đẩy đủ nội dung về cuộc tấn công để cố gắng làm rõ tình hình. Lần đầu tiên được báo cáo bởi CyberScoop, bài đăng của Denfur cho biết vectơ tấn công ban đầu là một "cơ sở dữ liệu mở, bị lộ" không yêu cầu xác thực để truy cập. Hơn nữa, người đăng nói rằng "theo ước tính của chúng tôi, cơ sở dữ liệu rất có thể đã bị lộ trong hơn một năm rưỡi trước khi vi phạm xảy ra".

Theo báo cáo gần đây của DC Health Link, đã sử dụng AWS cho nhu cầu lưu trữ đám mây của mình. Theo một nghiên cứu điển hình của AWS, DC Health Link ban đầu gặp phải các vấn đề về khả năng mở rộng do sử dụng các sản phẩm thương mại có sẵn để vận hành sàn giao dịch khi ra mắt vào năm 2013. Vào năm 2015, DC Health Link đã bắt đầu di chuyển hệ thống công nghệ thông tin của mình từ trung tâm dữ liệu sang mô hình đám mây "sử dụng mã nguồn mở không có phí cấp phép" do AWS cung cấp.

Không rõ liệu DC Health Link có đang sử dụng mô hình đám mây tại thời điểm xảy ra vi phạm hay không, mặc dù DCHBX đã được AWS công nhận nhiều lần cho Thử thách Đổi mới Thành phố trên Đám mây của nhà cung cấp dịch vụ đám mây; sàn giao dịch đã giành được Giải thưởng về các phương pháp hay nhất của AWS vào năm 2016 và 2018, đồng thời giành được Giải thưởng về tính bền vững và công bằng vào năm 2019.

Không rõ bằng cách nào tin tặc có được quyền truy cập vào dữ liệu của DC Health Link, nhưng các khối dữ liệu S3 bị định cấu hình sai vô tình làm lộ dữ liệu nhạy cảm đã là một vấn đề đối với khách hàng AWS trong vài năm. Mặc dù AWS đã thực hiện một số thay đổi để hạn chế tình trạng lộ dữ liệu ngoài ý muốn, bao gồm cả việc chặn quyền truy cập công khai vào bộ chứa S3 theo mặc định vào năm 2018, tài nguyên đám mây bị định cấu hình sai vẫn là một vấn đề đối với các tổ chức trên nhiều nền tảng nhà cung cấp đám mây khác nhau.

Các nhà cung cấp bảo mật đã quan sát thấy sự gia tăng gần đây của các cuộc tấn công vào các dịch vụ và nền tảng đám mây. CrowdStrike cho biết trong "Báo cáo về mối đe dọa toàn cầu" vào tháng trước rằng các trường hợp khai thác đám mây đã tăng 95% trong suốt năm 2022. Ngoài ra, nhà cung cấp bảo mật cho biết họ đã theo dõi sự gia tăng gấp ba lần các cuộc tấn công vào môi trường đám mây do các tác nhân đe dọa "có ý thức về đám mây" thực hiện.