CMC Infosec bị hack , lộ thông tin khách hàng ?

Mr Anonymous

New Member
27/05/2017
4
1 bài viết
CMC Infosec bị hack , lộ thông tin khách hàng ?
Cuối tuần, ngồi chơi CTF rảnh quá, tiện thể lướt FB thấy có thông tin trên FP của CMC Infosec xuất hiện thông báo đã fix lỗi SQL Injection như sau

upload_2017-5-28_2-31-9.png

Bạn có thể xem chi tiết thông báo tại: https://www.facebook.com/secureeveryclick/?hc_ref=PAGES_TIMELINE&fref=nf

Nội dung đầy đủ mình cũng copy rà đây để xem cho tiện
---------------------------------------------
THÔNG BÁO ĐÃ FIX LỖI SQL INJECTION TRÊN HỆ THỐNG THỬ NGHIỆM CŨ CỦA CMC INFOSEC.

Sáng ngày 26/05, CMC INFOSEC đã được cảnh báo về lỗi SQL Injection tồn tại trong hệ thống THỬ NGHIỆM CŨ trước năm 2010 ( không còn được sử dụng) của công ty.

Ngay sau khi được thông báo về lỗi này, Công ty đã kiểm tra và đưa hệ thống cũ ra khỏi Internet. Hiện nay các máy chủ bản quyền vẫn an toàn. Quá trình từ khi phát hiện tới khi xử lý phản ứng xong kéo dài khoảng 30 phút.

CMC INFOSEC xin gửi lời cảm ơn và một khoản tiền thưởng đến chuyên gia bảo mật đã đã kịp thời gửi cảnh báo đến CMC INFOSEC

Ông Triệu Trần Đức, tổng giám đốc CMC INFOSEC giải thích: việc này giống như một vài lần Google bị phát hiện lỗi bảo mật trong các hệ thống đang thử nghiệm (beta) hoặc đã đưa ra khỏi hoạt động chính (non-production).

Về các thông tin khách hàng, ông Đức cho biết các mã key (mã kích hoạt sản phẩm) đều ở dạng mã hóa nên khách hàng không bị ảnh hưởng. Tuy nhiên, có một số địa chỉ email và điện thoại trong cơ sở dữ liệu cũ có thể bị rò rỉ, phía CMC INFOSEC đang tiến hành điều tra thêm về việc này nhằm đảm bảo quyền riêng tư của khách hàng. Quyền lợi của khách hàng trong trường hợp này sẽ luôn được đặt lên hàng đầu.

Đại diện phía CMC INFOSEC cảnh báo rằng các truy cập trái phép đều bị lưu vết. Ngoài ra, như các hãng công nghệ khác, CMC INFOSEC có chương trình bug bounty ( trả thưởng cho người tìm ra lỗi bảo mật), qua đó khuyến khích các chuyên gia an toàn thông tin, các bạn trẻ nghiên cứu bảo mật nếu phát hiện lỗi bảo mật, kể cả chưa khai thác thành công, đều nên thông báo cho hãng chủ quản theo đúng quy ước của ngành an ninh an toàn thông tin và nhận các phần thưởng tương xứng.


-------------------------------

Về thông báo của CMC có mấy điểm

1. Lỗ hổng ở hệ thống thử nghiệm cũ trước năm 2010 không còn được sử dụng

2. Có một số địa chỉ email và điện thoại trong CSDL bị ảnh hưởng

3. CMC thông báo có chương trình trao thưởng (Bug Bounty) và đã trả thưởng theo chương trình này

Việc một hãng bảo mật bị hack là chuyện bình thường, trên thế giới Google, Facebook, FBI, kể cả vụ vừa rồi là NSA rò rỉ tool hack dẫn tới vụ WannaCry, ở VN thì BKAV cũng đã từng bị hack te tua.

Mình cũng chả quan tâm làm gì tới cái thông báo này, tuy nhiên thông tin mình biết được vụ CMC từ hôm diễn ra, không phải như thông báo của CMC, nên để người dùng và cộng động rõ về vụ này mình cung cấp thông tin đầy đủ như sau:

Post thông báo lỗi của người báo đã được hạ xuống, chỉ còn confirm như sau:
upload_2017-5-28_2-34-30.png

Thông báo này rất khớp với thông báo mà CMC gửi lên fix lỗi SQL Injection.
Tuy nhiên, nội dung của CMC có nhiều điểm không đúng sự thật, nếu ai đọc được bài “không ẩn” như dưới đây

upload_2017-5-28_2-34-47.png

upload_2017-5-28_2-34-54.png

upload_2017-5-28_2-35-2.png

upload_2017-5-28_2-35-14.png


Qua đây, các bạn có thể tự rút ra:

1. Lỗ hổng ở hệ thống thử nghiệm cũ trước năm 2010 không còn được sử dụng => đây là hệ thống chính thức, vì người báo lỗi thử nghiệm vào ngày 25/5 khi đăng ký phần mềm CMC Internet Security. Ngoài ra, thông tin dữ liệu mà người báo lỗi cho thấy có nhiều tài khoản có ngày kích hoạt năm 2016, không phải là hệ thống cũ trước năm 2010 như CMC thông báo.

2. Có một số địa chỉ email và điện thoại trong CSDL bị ảnh hưởng => Không phải một số, mà là toàn bộ 351K khách hàng

3. CMC thông báo có chương trình trao thưởng (Bug Bounty) và đã trả thưởng theo chương trình này => mình tìm mãi không ra, bạn nào có link chỉ ra cho mình với ?

Thiết kỹ, người báo lỗi ở đây làm chưa chuẩn, không nên đưa lên FB khi chưa báo và nhận được phản hồi của CMC Infosec theo đúng quy trình (cũng có thể đã báo rồi mà không nhận được phản hồi, nhưng theo thông tin trên FB có lẽ chưa báo). Việc này theo cá nhân mình đánh giá một phần cũng có thể thông tin về chương trình bug bounty của CMC khó tìm quá hoặc có thể nó chưa tồn tại.

Về phía CMC Infosec, xử lý khủng hoảng là đúng, tuy nhiên cần phải tôn trọng sự thật, ở đây là hệ thống quản lý khách hàng chính thức đã bị tấn công, chứ không phải hệ thống thử nghiệm cũ đã không còn sử dụng. Nếu có trong tay danh sách email, điện thoại (thông tin chuẩn) thì những kẻ xấu có thể làm được nhiều điều như spam, phishing... CMC cần có thông báo rõ ràng cho toàn bộ khách hàng của mình về việc này.

Đôi điều chia sẻ với mọi người về vụ việc này!

Chúc cả nhà cuối tuần vui vẻ.
 
Trong trường hợp này trung thực -> mất uy tín
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Chơi CTF không được nên nhiều tâm sự đây mà :p

Về phía doanh nghiệp, họ không muốn hoặc chỉ công nhận 1 phần sự thật để hạn chế ảnh hưởng uy tín, thiệt hại cho công ty.

Có mấy ai dũng cảm dám nói ra hết.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
CMC họ chỉ chuyên về mảng diệt Virus còn các mảng an ninh mạng khác thì chưa thấy nhắc tới.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Tôi nghĩ admin nên đóng hoặc xóa bài này được rồi. Vì chuyện này đã được giải quyết.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Hình như BQT rất phớt lờ ý kiến của thành viên và còn ẩn phần trả lời của mình.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Hình như BQT rất phớt lờ ý kiến của thành viên và còn ẩn phần trả lời của mình.
Dear bạn @BachKyLan_CEH , BQT WhiteHat không ẩn hay xóa bất kỳ comment nào của bạn.

Với những bài viết của thành viên đưa ra ý kiến riêng, BQT sẽ không xóa nếu không vi phạm các quy định của diễn đàn.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Tôi nghĩ admin nên đóng hoặc xóa bài này được rồi. Vì chuyện này đã được giải quyết.
Bài viết này bạn Mr Anonymous , viết cũng hay mà, đồng thời đưa lên để ae trong diễn đàn cùng trao đổi cho hiểu rõ bản chất vụ việc
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Bên trên