Tin tặc luồn lách vào trung tâm dữ liệu của một số công ty lớn nhất thế giới

Theo một công ty nghiên cứu an ninh mạng, trong một tình tiết nhấn mạnh lỗ hổng của mạng máy tính toàn cầu, tin tặc đã nắm được thông tin đăng nhập vào các trung tâm dữ liệu ở châu Á được một số doanh nghiệp lớn nhất thế giới sử dụng. Rõ ràng, đây là một cơ hội tiềm năng để tội phạm mạng thực hiện hành gián điệp hoặc phá hoại.

Các bộ đệm dữ liệu rò rỉ chưa được báo cáo trước đây liên quan đến email và mật khẩu đăng nhập vào các trang web hỗ trợ khách hàng của hai trong số các nhà điều hành trung tâm dữ liệu lớn nhất ở châu Á: GDS Holdings Ltd có trụ sở tại Thượng Hải, và Trung tâm dữ liệu toàn cầu ST Telemedia có trụ sở tại Singapore, theo Resecurity- công ty dịch vụ an ninh mạng và điều tra tin tặc.

Khoảng 2.000 khách hàng của GDS và STT GDC bị ảnh hưởng bởi sự cố này. Các tin tặc đã đăng nhập vào tài khoản của ít nhất 5 người trong số họ, liên quan đến nền tảng giao dịch nợ và ngoại hối chính của một người Trung Quốc và 4 khách hàng khác đến từ Ấn Độ, theo Resecurity.

Không rõ tin tặc đã làm gì với các thông tin đăng nhập khác. Thông tin bị đánh cắp bao gồm thông tin xác thực đăng nhập vào trung tâm dữ liệu với số lượng khác nhau của một số công ty lớn nhất thế giới, bao gồm Alibaba Group Holding Ltd, Amazon.com Inc, Apple Inc, BMW AG,  Goldman Sachs Group Inc, Huawei Technologies Co, Microsoft Corp, và Walmart Inc, theo hãng bảo mật Resecurity và hàng trăm trang tài liệu mà Bloomberg đã xem xét.

Trả lời các câu hỏi về phát hiện của Resecurity, phía GDS cho biết trong một tuyên bố rằng một trang web hỗ trợ khách hàng đã bị tấn công vi phạm vào năm 2021. Không rõ bằng cách nào mà tin tặc lại lấy được dữ liệu STT GDC. Cả hai công ty GDS và ST Telemedia đều cho biết thông tin mà hacker đăng nhập giả mạo không gây rủi ro cho hệ thống CNTT hoặc dữ liệu của khách hàng.

Tuy nhiên, Resecurity, và giám đốc điều hành tại bốn công ty lớn có trụ sở tại Hoa Kỳ bị ảnh hưởng cho biết thông tin đăng nhập bị đánh cắp thể hiện mối nguy hiểm bất thường và nghiêm trọng, chủ yếu là do các trang web hỗ trợ khách hàng của cả hai công ty GDS và ST Telemedia kiểm soát những người được phép truy cập vật lý vào thiết bị CNTT đặt trong trung tâm dữ liệu. Những giám đốc điều hành đó, những người đã báo cáo về sự cố cho tờ Bloomberg News và chứng thực thông tin với các nhóm bảo mật của họ, nhưng họ yêu cầu giấu tên vì họ không được phép phát biểu công khai về vấn đề này.

Mức độ mất dữ liệu đăng nhập do Resecurity báo cáo nêu bật rủi ro ngày càng tăng mà các công ty phải đối mặt do họ phụ thuộc vào bên thứ ba để lưu trữ dữ liệu, và thiết bị CNTT cũng như giúp mạng của họ tiếp cận thị trường toàn cầu.

Michael Henry, cựu giám đốc thông tin của Digital Realty Trust Inc, một trong những nhà điều hành trung tâm dữ liệu lớn nhất của Mỹ, cho biết: "Đây là một cơn ác mộng đang chực chờ xảy ra . (Digital Realty Trust không bị ảnh hưởng bởi sự cố). Henry cho biết, trường hợp xấu nhất đối với bất kỳ nhà điều hành trung tâm dữ liệu nào là những kẻ tấn công bằng cách nào đó có được quyền truy cập vật lý vào máy chủ của khách hàng, và cài đặt mã độc hoặc thiết bị ngầm gián điệp bổ sung vào. "Nếu họ có thể đạt được điều đó, họ có khả năng làm gián đoạn thông tin liên lạc và thương mại trên quy mô lớn toàn cầu".

Cả hai công ty GDS và ST Telemedia cho biết họ không có dấu hiệu nào cho thấy điều tương tự đã xảy ra và các dịch vụ cốt lõi của họ không bị ảnh hưởng.

Nhưng theo điều tra thì các tin tặc đã có quyền truy cập vào thông tin đăng nhập trong hơn một năm trước khi rao bán các thông tin đó trên dark web vào tháng này với giá 175.000 đô la, theo Resecurity và ảnh chụp màn hình bài đăng được Bloomberg xem xét.

"Tôi đã sử dụng chúng cho một số mục tiêu", tin tặc viết trong bài đăng. "Nhưng không thể xử lý hết vì tổng số dữ liệu công ty bị ảnh hưởng lên tới hơn 2.000". Vào hôm 20/2, các tin tặc đã xuất dữ liệu bị đánh cắp miễn phí trên dark web, theo Resecurity.

Theo Resecurity, các địa chỉ email và mật khẩu có thể đã cho phép tin tặc giả làm người dùng được ủy quyền trên các trang web dịch vụ khách hàng. Công ty bảo mật đã phát hiện ra bộ đệm dữ liệu vào tháng 9 năm 2021 và cho biết, họ cũng tìm thấy bằng chứng tin tặc đang sử dụng nó để truy cập tài khoản của khách hàng của cả hai công ty GDS và ST Telemedia vào tháng 1/2022, khi cả hai nhà điều hành trung tâm dữ liệu buộc khách hàng đặt lại mật khẩu.

Hầu hết các công ty bị ảnh hưởng mà Bloomberg News liên hệ, bao gồm Alibaba, Huawei và Walmart, đều từ chối bình luận. Còn Apple đã không đưa ra phản hồi nào về câu chuyện này.

Trong một tuyên bố, Microsoft cho biết: "Chúng tôi thường xuyên theo dõi các mối đe dọa có thể ảnh hưởng đến Microsoft, và khi xác định được các mối đe dọa tiềm ẩn, chúng tôi sẽ thực hiện hành động thích hợp để bảo vệ Microsoft và khách hàng của mình".

Người phát ngôn của Goldman Sachs cho biết: "Chúng tôi có các biện pháp kiểm soát bổ sung để bảo vệ chống lại loại vi phạm này và chúng tôi hài lòng rằng dữ liệu của chúng tôi không gặp rủi ro".

Người phát ngôn của Amazon Web Services cho biết: "Chúng tôi có thể xác nhận rằng chúng tôi đã điều tra và không có tác động nào đến tính bảo mật của hệ thống, dịch vụ hoặc khách hàng của chúng tôi".

Còn nhà sản xuất ô tô BMW cho biết họ đã biết về vấn đề này. Tuy nhiên, một phát ngôn viên của công ty cho biết: "Sau khi đánh giá, vấn đề này có tác động rất hạn chế đối với hoạt động kinh doanh của BMW và không gây thiệt hại cho khách hàng của BMW cũng như thông tin liên quan đến sản phẩm". Người phát ngôn nói thêm: "BMW đã thúc giục GDS cải thiện mức độ bảo mật thông tin".

Cả hai công ty GDS và ST Telemedia là hai trong số các nhà cung cấp dịch vụ dữ liệu lớn nhất châu Á. Họ đóng vai trò là người cho thuê không gian trong trung tâm dữ liệu của họ cho khách hàng cài đặt và quản lý thiết bị CNTT của riêng họ ở đó. GDS là một trong ba nhà cung cấp dịch vụ cho thuê chỗ đặt máy chủ hàng đầu tại Trung Quốc, thị trường lớn thứ hai trên thế giới về dịch vụ này sau Mỹ, theo Synergy Research Group Inc. Singapore thì đứng thứ sáu.