WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
Hơn 14 triệu dữ liệu khách hàng Verizon bị lộ trên server AWS không được bảo vệ
[Update ngày 19/07/2017] Dow Jones vừa xác nhận là nạn nhận tiếp theo của vụ việc AWS của Amazon bị cấu hình sai, khiến dữ liệu của hàng triệu khách hàng bị lộ. Thông tin rò rỉ bao gồm tên, ID khách hàng, địa chỉ, thông tin đăng ký, 4 số cuối trong thẻ thanh toán. Một số trường hợp bị lộ cả số điện thoại.
Dow Jones đã lên tiếng đính chính số lượng khách hàng bị ảnh hưởng là 2,2 triệu thay vì 4,4 như UpGuard đưa tin trước đó. Hiện tại, vẫn chưa rõ khách hàng bị ảnh hưởng đã được hãng thông báo về vụ rò rỉ hay chưa.
Verizon vừa vấp phải vụ lộ lọt dữ liệu cá nhân của hơn 14 triệu khách hàng Mỹ trên Internet sau khi NICE Systems, một nhà cung cấp bên thứ ba, vô tình để mở thông tin người dùng trên một máy chủ.
Nhà nghiên cứu Chris Vickery, Giám đốc nghiên cứu rủi ro mạng tại UpGuard, đã phát hiện việc dữ liệu bị lộ trên máy chủ điện toán đám mây Amazon S3 không được bảo vệ. Toàn bộ dữ liệu đã được tải về và cấu hình lại cho phép truy cập công khai.
Dữ liệu bị rò rỉ là các thông tin cá nhân của hàng triệu khách hàng, gồm tên, số điện thoại và số PIN (mã số nhận dạng cá nhân), đủ để bất cứ ai có thể truy cập tài khoản của một cá nhân, ngay cả khi tài khoản được bảo vệ bằng cơ chế xác thực hai yếu tố.
Dan O'Sullivan của UpGuard giải thích trên một bài blog: “Việc để lộ mã PIN tài khoản Verizon, thường dùng để xác minh khách hàng, đi cùng số điện thoại liên quan của họ rất đáng lo ngại”.
NICE Systems, công ty có trụ sở tại Israel, được biết đến là nhà cung cấp nhiều giải pháp cho các cơ quan tình báo, bao gồm ghi âm giọng nói qua điện thoại, an ninh dữ liệu và giám sát.
Theo các nhà nghiên cứu, hiện vẫn chưa rõ lý do tại sao Verizon cho phép một công ty thứ 3 thu thập chi tiết nội dung cuộc gọi của người dùng. Tuy nhiên, có vẻ như NICE Systems đang giám sát hiệu suất làm việc của các trung tâm chăm sóc khách hàng cho Verizon.
Dữ liệu bị lộ gồm hồ sơ của những khách hàng đã gọi đến dịch vụ chăm sóc khách hàng của Verizon trong 6 tháng qua, đã được NICE ghi âm, thu thập và phân tích.
Một điều thú vị là các dữ liệu bị rò rỉ trên máy chủ cũng cho thấy NICE Systems còn có mối hợp tác với một công ty viễn thông nổi tiếng tại Paris là Orange, trong việc thu thập thông tin khách hàng khắp Châu Âu và Châu Phi.
O'Sullivan cho biết: “Suy cho cùng, vụ rò rỉ này là ví dụ cho những rủi ro khi để các nhà cung cấp bên thứ ba xử lý các thông tin nhạy cảm”.
“Việc NICE Systems chuyên cung cấp các giải pháp công nghệ trong giám sát các tổ chức do nhà nước bảo trợ, thâm nhập là một điều đáng lo ngại về mức độ nghiêm trọng của vụ việc vi phạm quyền riêng tư này”.
Vickery, nhà nghiên cứu uy tín trước đây từng theo dõi nhiều bộ dữ liệu bị lộ trên Internet, đã thông báo về vụ việc riêng cho nhóm Verizon hồi cuối tháng 6 và dữ liệu được bảo đảm an toàn trong vòng một tuần.
Dow Jones đã lên tiếng đính chính số lượng khách hàng bị ảnh hưởng là 2,2 triệu thay vì 4,4 như UpGuard đưa tin trước đó. Hiện tại, vẫn chưa rõ khách hàng bị ảnh hưởng đã được hãng thông báo về vụ rò rỉ hay chưa.
Theo Secuity Week
---------------------------------------
Verizon vừa vấp phải vụ lộ lọt dữ liệu cá nhân của hơn 14 triệu khách hàng Mỹ trên Internet sau khi NICE Systems, một nhà cung cấp bên thứ ba, vô tình để mở thông tin người dùng trên một máy chủ.
Nhà nghiên cứu Chris Vickery, Giám đốc nghiên cứu rủi ro mạng tại UpGuard, đã phát hiện việc dữ liệu bị lộ trên máy chủ điện toán đám mây Amazon S3 không được bảo vệ. Toàn bộ dữ liệu đã được tải về và cấu hình lại cho phép truy cập công khai.
Dữ liệu bị rò rỉ là các thông tin cá nhân của hàng triệu khách hàng, gồm tên, số điện thoại và số PIN (mã số nhận dạng cá nhân), đủ để bất cứ ai có thể truy cập tài khoản của một cá nhân, ngay cả khi tài khoản được bảo vệ bằng cơ chế xác thực hai yếu tố.
Dan O'Sullivan của UpGuard giải thích trên một bài blog: “Việc để lộ mã PIN tài khoản Verizon, thường dùng để xác minh khách hàng, đi cùng số điện thoại liên quan của họ rất đáng lo ngại”.
NICE Systems, công ty có trụ sở tại Israel, được biết đến là nhà cung cấp nhiều giải pháp cho các cơ quan tình báo, bao gồm ghi âm giọng nói qua điện thoại, an ninh dữ liệu và giám sát.
Theo các nhà nghiên cứu, hiện vẫn chưa rõ lý do tại sao Verizon cho phép một công ty thứ 3 thu thập chi tiết nội dung cuộc gọi của người dùng. Tuy nhiên, có vẻ như NICE Systems đang giám sát hiệu suất làm việc của các trung tâm chăm sóc khách hàng cho Verizon.
Dữ liệu bị lộ gồm hồ sơ của những khách hàng đã gọi đến dịch vụ chăm sóc khách hàng của Verizon trong 6 tháng qua, đã được NICE ghi âm, thu thập và phân tích.
Một điều thú vị là các dữ liệu bị rò rỉ trên máy chủ cũng cho thấy NICE Systems còn có mối hợp tác với một công ty viễn thông nổi tiếng tại Paris là Orange, trong việc thu thập thông tin khách hàng khắp Châu Âu và Châu Phi.
O'Sullivan cho biết: “Suy cho cùng, vụ rò rỉ này là ví dụ cho những rủi ro khi để các nhà cung cấp bên thứ ba xử lý các thông tin nhạy cảm”.
“Việc NICE Systems chuyên cung cấp các giải pháp công nghệ trong giám sát các tổ chức do nhà nước bảo trợ, thâm nhập là một điều đáng lo ngại về mức độ nghiêm trọng của vụ việc vi phạm quyền riêng tư này”.
Vickery, nhà nghiên cứu uy tín trước đây từng theo dõi nhiều bộ dữ liệu bị lộ trên Internet, đã thông báo về vụ việc riêng cho nhóm Verizon hồi cuối tháng 6 và dữ liệu được bảo đảm an toàn trong vòng một tuần.
Nguồn: The Hacker News
Chỉnh sửa lần cuối: