WhiteHat News #ID:2017
VIP Members
-
20/03/2017
-
113
-
356 bài viết
5 tỷ hồ sơ dữ liệu từ các vụ rò rỉ an ninh mạng bị tiết lộ
Máy chủ Elaticsearch lưu trữ hơn 5 tỷ hồ sơ dữ liệu bị rò rỉ từ các sự cố an ninh mạng trước đó đã bị công khai trên Internet.
Cơ sở dữ liệu được xác định thuộc về công ty an ninh Keepnet Labs có trụ sở tại Vương quốc Anh, chuyên bảo vệ các tổ chức trước các cuộc tấn công mạng qua email. Dữ liệu bị rò rỉ từ các sự cố an ninh mạng xảy ra từ năm 2012 đến năm 2019.
Chuyên gia an ninh mạng Bob Diachenko từ đội nghiên cứu an ninh Security Discovery cho biết, cơ sở dữ liệu gồm 2 bộ dữ liệu: một bộ dữ liệu chứa 5.088.635.374 hồ sơ và bộ còn lại hơn 15 triệu hồ sơ đang được liên tục cập nhật.
Cũng theo nhà nghiên cứu này, dữ liệu bao gồm loại hash, năm rò rỉ, mật khẩu (đã được mã hóa qua hàm hash, hàm encrypt hoặc ở dạng plaintext), email, tên miền email và nguồn rò rỉ.
Chuyên gia này xác nhận dữ liệu bị rò rỉ có nguồn gốc từ các hãng Adobe, Last.fm, Twitter, LinkedIn, Tumblr, VK,…
Nhà nghiên cứu này ngay lập tức đã cảnh báo tới công ty Keepnet Labs và trong vòng một giờ không còn tìm thấy cơ sở dữ liệu này trên mạng.
Hầu hết các dữ liệu có thể được thu thập từ các nguồn đã biết trước đó, nhưng quyền truy cập không hạn chế vào dữ liệu này vẫn sẽ là “món hời” cho tội phạm mạng, cung cấp cho các hacker một nguồn tài nguyên tuyệt vời để tấn công giả mạo và đánh cắp nhận dạng.
Dữ liệu với hơn 5 tỷ hồ sơ này cung cấp các địa chỉ email mà tội phạm mạng có thể lợi dụng để gửi các email giả mạo tấn công phi kỹ thuật (social engineering). Hacker có thể tạo email chứa thông tin liên quan đến các vụ xâm nhập dữ liệu trên.
Công ty Keepnet Labs xác nhận cơ sở dữ liệu chỉ chứa các dữ liệu công khai có thể được truy cập trên nhiều dịch vụ trực tuyến.
Theo công ty này, dữ liệu chỉ được thu thập để thông báo cho khách hàng nếu tài khoản của họ liên quan đến các vụ xâm nhập trước đó và khách hàng chỉ có thể thực hiện các tìm kiếm liên quan đến tên miền của họ.
Công ty này nhấn mạnh không có dữ liệu bí mật nào của khách hàng bị xâm nhập.
Chuyên gia Diachenko tìm thấy dữ liệu từ Elasticsearch vào ngày 16/3, sau khi được công cụ tìm kiếm BinaryEdge thu thập vào ngày 15/3. Tuy nhiên, không rõ cơ sở dữ liệu này đã bị công khai bao lâu trên Internet và liệu đã bên thứ ba truy cập dữ liệu này hay chưa.
Theo Keepnet Labs, cơ sở dữ liệu đã bị lộ khi nhà cung cấp dữ liệu đang chuyển chỉ mục (index) sang một máy chủ Elaticsearch khác. Trong quá trình chuyển index, tường lửa đã bị vô hiệu hóa trong khoảng 10 phút nên một dịch vụ trực tuyến có thể đã thu thập dữ liệu trên.
Theo chuyên gia an ninh mạng, mặc dù dữ liệu bị rò rỉ được thu thập từ các nguồn đã biết trước đó, nhưng việc tất cả dữ liệu bị thu thập và công khai khiến nó trở thành mối lo ngại lớn. Tội phạm có thể sử dụng dữ liệu này để thực hiện tấn công chống lại các tổ chức và đặc biệt là tấn công giả mạo (phishing).
Chuyên gia an ninh mạng Bob Diachenko từ đội nghiên cứu an ninh Security Discovery cho biết, cơ sở dữ liệu gồm 2 bộ dữ liệu: một bộ dữ liệu chứa 5.088.635.374 hồ sơ và bộ còn lại hơn 15 triệu hồ sơ đang được liên tục cập nhật.
Cũng theo nhà nghiên cứu này, dữ liệu bao gồm loại hash, năm rò rỉ, mật khẩu (đã được mã hóa qua hàm hash, hàm encrypt hoặc ở dạng plaintext), email, tên miền email và nguồn rò rỉ.
Chuyên gia này xác nhận dữ liệu bị rò rỉ có nguồn gốc từ các hãng Adobe, Last.fm, Twitter, LinkedIn, Tumblr, VK,…
Nhà nghiên cứu này ngay lập tức đã cảnh báo tới công ty Keepnet Labs và trong vòng một giờ không còn tìm thấy cơ sở dữ liệu này trên mạng.
Hầu hết các dữ liệu có thể được thu thập từ các nguồn đã biết trước đó, nhưng quyền truy cập không hạn chế vào dữ liệu này vẫn sẽ là “món hời” cho tội phạm mạng, cung cấp cho các hacker một nguồn tài nguyên tuyệt vời để tấn công giả mạo và đánh cắp nhận dạng.
Dữ liệu với hơn 5 tỷ hồ sơ này cung cấp các địa chỉ email mà tội phạm mạng có thể lợi dụng để gửi các email giả mạo tấn công phi kỹ thuật (social engineering). Hacker có thể tạo email chứa thông tin liên quan đến các vụ xâm nhập dữ liệu trên.
Công ty Keepnet Labs xác nhận cơ sở dữ liệu chỉ chứa các dữ liệu công khai có thể được truy cập trên nhiều dịch vụ trực tuyến.
Theo công ty này, dữ liệu chỉ được thu thập để thông báo cho khách hàng nếu tài khoản của họ liên quan đến các vụ xâm nhập trước đó và khách hàng chỉ có thể thực hiện các tìm kiếm liên quan đến tên miền của họ.
Công ty này nhấn mạnh không có dữ liệu bí mật nào của khách hàng bị xâm nhập.
Chuyên gia Diachenko tìm thấy dữ liệu từ Elasticsearch vào ngày 16/3, sau khi được công cụ tìm kiếm BinaryEdge thu thập vào ngày 15/3. Tuy nhiên, không rõ cơ sở dữ liệu này đã bị công khai bao lâu trên Internet và liệu đã bên thứ ba truy cập dữ liệu này hay chưa.
Theo Keepnet Labs, cơ sở dữ liệu đã bị lộ khi nhà cung cấp dữ liệu đang chuyển chỉ mục (index) sang một máy chủ Elaticsearch khác. Trong quá trình chuyển index, tường lửa đã bị vô hiệu hóa trong khoảng 10 phút nên một dịch vụ trực tuyến có thể đã thu thập dữ liệu trên.
Theo chuyên gia an ninh mạng, mặc dù dữ liệu bị rò rỉ được thu thập từ các nguồn đã biết trước đó, nhưng việc tất cả dữ liệu bị thu thập và công khai khiến nó trở thành mối lo ngại lớn. Tội phạm có thể sử dụng dữ liệu này để thực hiện tấn công chống lại các tổ chức và đặc biệt là tấn công giả mạo (phishing).
Theo Securityweek