Nhà mạng gặp nguy đầu năm vì bị tấn công API
An toàn thông tin - Ngày đăng : 13:56, 24/01/2023
Nhà mạng gặp nguy đầu năm vì bị tấn công API
Nhà mạng Mỹ T-Mobile vừa công bố một sự cố mạng làm rò rỉ thông tin về hàng triệu khách hàng thông qua giao diện lập trình ứng dụng (API) vào hệ thống của mình.
Đã có nhiều vụ tấn công khác nữa vào hệ thống của T-Mobile trong vài năm qua. Lần gần đây nhất là vụ việc được tiết lộ vào năm 2021 khiến T-Mobile thiệt hại ít nhất 400 triệu USD và phải chi thêm 150 triệu USD cho "bảo mật dữ liệu và công nghệ liên quan vào năm 2022 và 2023”.
Tuy nhiên, có vẻ như các biện pháp bảo mật này không đảm bảo an toàn được API, T-Mobile cho biết tin tặc đã bắt đầu truy cập hồi tháng 11/2022. Theo hồ sơ của T-Mobile nộp cho Uỷ ban chứng khoán (SEC) Mỹ, tin tặc đã lấy đi tên, địa chỉ thanh toán, email, số điện thoại và ngày sinh từ khoảng 37 triệu tài khoản khách hàng.
Các dữ liệu khác bao gồm số tài khoản của khách hàng và chi tiết gói dịch vụ cũng bị đánh cắp. Nhà mạng này cho biết đã phát hiện ra vụ xâm phạm vào ngày 5/1 và sau đó tắt quyền truy cập vào API.
T-Mobile cho biết trong một tuyên bố: "Không có mật khẩu, thông tin thẻ thanh toán, số an sinh xã hội, số ID chính phủ hoặc thông tin tài khoản tài chính nào khác bị xâm phạm. Chúng tôi hiểu rằng một sự cố như thế này có ảnh hưởng đến khách hàng của chúng tôi và rất tiếc vì điều này đã xảy ra. Mặc dù chúng tôi, giống như bất kỳ công ty nào khác, không may là không tránh khỏi loại hoạt động tội phạm này, chúng tôi tiếp tục thực hiện các hoạt động đã được thực hiện trong nhiều năm là đầu tư vào việc tăng cường chương trình an ninh mạng”.
T-Mobile cũng thông báo với SEC: "Mặc dù chúng tôi không thể dự đoán toàn bộ tác động của sự cố này đối với hành vi của khách hàng trong tương lai... nhưng hiện tại chúng tôi không cho rằng nó sẽ có ảnh hưởng nghiêm trọng đến hoạt động của công ty”.
Tuy nhiên, nhà phân tích Neil Mack, thuộc bộ phận dịch vụ nhà đầu tư của Moody, đã đưa ra một tuyên bố với giới truyền thông rằng tần suất xâm phạm tại T-Mobile là điều đáng lo ngại.
"Vụ vi phạm an ninh mạng được công bố mới nhất của T-Mobile... là tín hiệu tiêu cực và đặt ra câu hỏi về các hoạt động quản lý và quản lý rủi ro mạng của nhà mạng này. Mặc dù những xâm phạm an ninh mạng này có thể không mang tính hệ thống về bản chất, nhưng tần suất xảy ra tại T-Mobile là một ngoại lệ đáng báo động so với các công ty viễn thông khác và nó có thể tác động tiêu cực đến hành vi của khách hàng, khiến tỷ lệ khách hàng tăng đột biến và có khả năng thu hút sự giám sát của FCC và các cơ quan quản lý khác”.
Cơ quan quản lý vào cuộc
Theo Tạp chí Wall Street, Uỷ ban Truyền thông liên bang Mỹ (FCC) đang tiến hành điều tra vụ việc.
Chủ tịch FCC Jessica Rosenworcel cũng vừa có một bài phát biểu quan trọng về bảo mật mạng không dây. Bà cho biết: “Ngay bây giờ, cơ quan này đang làm nhiều hơn để giải quyết vấn đề an ninh mạng hơn bất kỳ thời điểm nào trong lịch sử của cơ quan này. Đó là một chiến lược để ngăn chặn những kẻ xấu, nhà cung cấp không đáng tin cậy và phát triển thị trường cho sự đổi mới đáng tin cậy. Bằng cách này, chúng tôi đang nỗ lực giúp cải thiện an ninh thông tin liên lạc tại nhà và trở thành một ví dụ điển hình cho phần còn lại của thế giới”.
T-Mobile không phải là công ty duy nhất bị tấn công mạng. Yum Brands - công ty sở hữu chuỗi thức ăn nhanh Pizza Hut và Taco Bell - đã thông báo trong tuần này rằng một cuộc tấn công bằng mã độc tống tiền đã buộc họ phải đóng cửa gần 300 nhà hàng ở Anh trong một ngày.
Theo một báo cáo, trong ngành viễn thông, đã có hơn một chục nhà khai thác mạng di động đã bị một nhóm tấn công có tên LightBasin xâm nhập kể từ năm 2019.
API an toàn đến mức nào?
Nhưng thực tế là vụ tấn công mới nhất của T-Mobile liên quan đến một trong các API của nhà mạng thực sự cần chú ý vì hầu hết các nhà mạng đang làm việc để mở các cổng như vậy vào các chức năng mạng cốt lõi của họ.
Dish Network gần đây đã mở một cổng thông tin dành cho nhà phát triển hứa hẹn cung cấp nhiều loại API vào mạng 5G đang mở rộng của mình. Các danh mục API bao gồm "dịch vụ kết nối", "khả năng quan sát dịch vụ" và "dịch vụ đám mây trong mạng".
Nhiều API của Dish được liệt kê là "sắp ra mắt", nhưng công ty hiện đang cung cấp một số API khác cho "dịch vụ cung cấp người đăng ký" (SPS), mà Dish cho biết có thể "cho phép quản trị viên của bạn đăng ký, kích hoạt và quản lý thiết bị của bạn thông qua API”.
Việc nhắm mục tiêu các API trong vụ tấn công gần đây nhất của T-Mobile đã làm giấy lên những tranh luận trong các chuyên gia bảo mật.
Chris Doman, Giám đốc công nghệ (CTO) của công ty bảo mật Cado Security, cho biết: “Việc truy cập API trái phép có thể gây khó cho các tổ chức trong việc giám sát và điều tra - đặc biệt là đối với các công ty, do khối lượng quá lớn của chúng. Khi ngày càng có nhiều tổ chức chuyển dữ liệu lên đám mây, bảo mật API càng trở nên phù hợp hơn với các hệ thống phân tán. Điều quan trọng đối với các tổ chức là đảm bảo họ có khả năng hiển thị phù hợp đối với quyền truy cập API và hoạt động ngoài việc ghi nhật ký truyền thống, đặc biệt là trên đám mây khi bối cảnh các mối đe dọa tiếp tục gia tăng phát triển”.
Còn Lewis Duke, một kỹ sư bảo mật của công ty bảo mật Trend Micro, cho biết các API ngày càng trở thành các mục tiêu của tin tặc.
Duke cho biết trong một tuyên bố được gửi tới giới truyền thông: "Vấn đề là một số lượng lớn API có thể tồn tại mà một tổ chức có thể không nhận thức được từ môi trường nhà phát triển cũ. Chìa khóa để bảo mật API là đảm bảo rằng các biện pháp kiểm soát cơ bản xung quanh ủy quyền ở cấp độ đối tượng và người dùng được hiểu và áp dụng chính xác cũng như đảm bảo rằng chỉ dữ liệu tối thiểu bắt buộc mới được hiển thị khi phản hồi các yêu cầu API”.
T-Mobile không phải là nhà mạng duy nhất bị tấn công mạng, gần đây nhiều nhà mạng trên thế giới đã bị đe doạ bởi những sự cố tương tự, điển hình hồi tháng 9/2022 nhà mạng lớn thứ hai của Australia là Optus phải liên hệ với khách hàng để xử lý một cuộc tấn công mạng làm lộ lọt thông tin cá nhân của khoảng 10 triệu khách hàng, tương đương 40% dân số nước này./.