Bảo mật - ‘gót chân Achilles’ của các hãng công nghệ

03/01/2023, 09:30

Dù doanh nghiệp công nghệ nổi tiếng sở hữu những trí tuệ xuất chúng nhất nhưng họ vẫn phải hứng chịu không ít sự cố tấn công mạng từ nhẹ nhàng đến nghiêm trọng.

Uber lại bị hack

Mới đây, sự cố bảo mật của công ty gọi xe Uber đã khiến việc liên lạc nội bộ bị đóng băng. Vậy là ngay cả những hãng công nghệ sở hữu nhiều tài năng và công cụ nhất cũng không thoát khỏi cảnh bị hacker “thăm hỏi”.

Ngày 16/9/2022, Uber cho biết đang điều tra sự cố diễn ra từ một ngày trước và phải tạm dừng quyền truy cập hệ thống nội bộ của nhân viên, bao gồm Slack, Zoom và Gmail. Quyền truy cập chỉ được khôi phục vào sáng 16/9. Công ty thông báo cho các nhà hành pháp và không thấy có dấu hiệu dữ liệu nhạy cảm của khách hàng, chẳng hạn lịch sử chuyến đi, bị xâm phạm.

Kẻ tấn công dường như đã giành được quyền truy cập đáng kể vào hệ thống nội bộ của Uber. Ngày 15/9, hacker tuyên bố: “Tôi là một hacker và Uber đã bị xâm phạm dữ liệu” trên kênh Slack nội bộ. Hacker còn chiếm một tài khoản mà công ty dùng để liên lạc với các chuyên gia bảo mật, theo Thời báo Phố Wall.

Doanh nghiệp công nghệ cũng không tránh khỏi nguy cơ bị tấn công mạng

Các tuyên bố của hacker được đăng trên HackerOne, nhà cung cấp dịch vụ trực tuyến giúp các doanh nghiệp liên lạc với chuyên gia an ninh mạng. Uber là một khách hàng của HackerOne. Lời tuyên bố đăng từ chính tài khoản của Uber, càng khắc sâu “nỗi đau” của hãng. Hacker thậm chí còn khoe khoang đã tấn công tài khoản Amazon Web Services (AWS), dịch vụ đám mây Google, phần mềm Vmware và mời độc giả kết nối với chúng qua ứng dụng chat Telegram. “Uber đã bị hack. Và tài khoản HackerOne này cũng vậy”, trích một bài viết của hacker bằng tài khoản Uber.

Uber không giải thích làm thế nào hacker có thể truy cập hệ thống, song theo chính những kẻ tấn công, Uber đã không bảo vệ chìa khóa bảo mật của mình. Theo Corben Leo đến từ hãng nghiên cứu bảo mật Zellic, hacker lừa một nhân viên Uber cung cấp quyền truy cập mạng riêng ảo của công ty và từ đó giành quyền truy cập vào máy chủ quản trị truy cập đặc quyền, dùng để bảo vệ các thông tin đăng nhập nhạy cảm nhất.

Theo Wired, các vụ tấn công như vậy còn được gọi là “MFA fatigue”, lợi dụng hệ thống xác thực, trong đó chỉ cần chủ tài khoản phê duyệt đăng nhập thông qua thông báo đẩy trên thiết bị của họ thay vì qua phương tiện khác như cung cấp mã số phát sinh ngẫu nhiên. Lừa đảo thông báo đẩy MFA ngày càng phổ biến. Nhìn chung, hacker không ngừng phát triển các hình thức tấn công lừa đảo tinh vi nhằm lách xác thực hai lớp. Các tổ chức yêu cầu khóa xác thực vật lý để đăng nhập có xu hướng bảo vệ thành công trước những cuộc tấn công lừa đảo.

Vụ việc xảy ra chỉ một ngày trước khi CEO Uber Dara Khosrowshahi đứng ra điều trần về một vụ án liên quan tới vụ rò rỉ dữ liệu năm 2016 tại công ty. 

“Chuyện thường ở huyện”

Nổi tiếng với nhiều nhân viên tài năng, các hãng công nghệ dường như chỉ tập trung đào tạo họ cách phát triến sản phẩm mới thay vì bảo vệ. Điều này xuất phát từ bản chất của công nghệ: đó là áp lực phải nhanh chóng tạo ra một sản phẩm và đem bán chúng, theo Nils Puhlmann, cựu Giám đốc bảo mật tại Twilio và Zynga. “Vì vậy, bất kỳ một bước phụ nào cũng gây phiền toái”, ông nhận xét.

Trước đó 1 tuần, Twitter bị chính cựu Giám đốc bảo mật tố cáo là “thiếu sót nghiêm trọng” trong hàng loạt khía cạnh như quyền riêng tư, bảo mật kỹ thuật số. Peiter Zatko trả lời trước các Thượng nghị sĩ hồi đầu tuần rằng các giám đốc Twitter ưu tiên lợi nhuận hơn là bảo mật.

Twitter bác bỏ cáo buộc của Zatko. Công ty thuê Zatko sau khi hứng chịu sự cố bảo mật tồi tệ nhất lịch sử hơn 2 năm trước. Trong vụ việc đó, một thiếu niên sống tại Florida (Mỹ) đã thuyết phục một nhân viên Twitter rằng mình là đồng nghiệp, vượt qua hệ thống bảo mật của Twitter rồi chiếm quyền truy cập một số tài khoản Twitter của người nổi tiếng, bao gồm cựu Tổng thống Mỹ Barack Obama, CEO Tesla Elon Musk hay ca sĩ Kanye West. Thủ phạm cùng 3 người khác đã bị bắt giữ và nhận tội vào năm ngoái.

Okta, một nhà cung cấp dịch vụ xác minh danh tính điện tử, cũng bị rò rỉ dữ liệu vào tháng 1/2022, ảnh hưởng đến 366 khách hàng, tương ứng 2,5%. Hacker nhận trách nhiệm về vụ tấn công cho biết đã giành được quyền truy cập thông qua laptop của một kỹ sư thuê ngoài. 

Signal, một trong các nền tảng nhắn tin bảo mật nhất thế giới, cũng bị tấn công lừa đảo vào 1 tháng trước, ảnh hưởng đến khoảng 1.900 người dùng. Công ty chia sẻ hacker đã truy cập thông tin qua Twilio, một nhà cung cấp dịch vụ xác minh số điện thoại cho Signal.

Với Uber, sự cố mới xảy ra là vụ tấn công mạng lớn thứ ba kể từ năm 2014 và sau khi công ty đạt thỏa thuận với Ủy ban Truyền thông liên bang Mỹ (FTC) năm 2018 về thực thi chương trình bảo mật toàn diện. Họ sẽ tiến hành đánh giá độc lập và đệ trình cho FTC trong 20 năm tới.

Trong một thông báo, FBI nói rằng đang hỗ trợ Uber trong sự cố an ninh mạng mới nhất. CEO Khosrowshahi đứng ra điều trần vào ngày 16/9 trong vụ xét xử một cựu Giám đốc Uber, người bị cáo buộc trả cho hacker trong vụ tấn công mạng năm 2016 số tiền 100.000 USD. Khosrowshahi bị đặt câu hỏi về hành động sau khi biết về vụ rò rỉ làm lộ tên, email và số điện thoại của hàng triệu hành khách, cũng như khoảng 600.000 biển số xe của tài xế. Ước tính, 57 triệu bản ghi đã bị tải về. Công ty chỉ công bố sau khi sự cố diễn ra 1 năm.

Trước tòa, ông chỉ nói đơn giản: “Các vấn đề bảo mật rất nghiêm trọng. Những con người thực sự có thể bị ảnh hưởng”.

Còn theo chuyên gia bảo mật Cedric Owens, Uber có nhiều cơ hội để chủ động xác định và đề phòng. Dù vậy, rất khó để thực hiện trong thực tế, nhất là khi doanh nghiệp có nhiều “đám lửa” khác phải dập tắt, chẳng hạn các thách thức chính trị trong nội bộ một tổ chức… 

Nổi bật Sống xanh
Đừng bỏ lỡ
POWERED BY ONECMS - A PRODUCT OF NEKO