Rò rỉ dữ liệu: lỗi truy cập từ xa của bên thứ ba

"Phần lớn bản phân tích về điều tra vi phạm dữ liệu của chúng tôi - 76% cho thấy rằng các bên thứ ba chịu trách nhiệm về hệ thống hỗ trợ, phát triển và/hoặc bảo trì có những thiếu sót bảo mật và những kẻ tấn công đã khai thác các lỗ hổng đó", theo báo cáo của Trustwave được xuất bản vào ngày 7/2. Đại đa số của312 công ty bị vi phạm dữ liệu thẻ thanh toán là các nhà bán lẻ, nhà hàng, khách sạn, và họ đến Trustwave để được giúp đỡ ứng phó sự cố bởi vì các tổ chức thẻ thanh toán Visa, MasterCard hoặc bất kỳ tổ chức thẻ thanh toán nào khác đã phát hiện ra dấu hiệu cho thấy rằng thẻ của họ đã bị đánh cắp và họ yêu cầu một cuộc điều tra pháp y trong một vài ngày.

Trong thực tế, chỉ có 16% trong số 312 công ty đã tự mình phát hiện ra hành vi vi phạm dữ liệu thẻ thanh toán, ông Nicholas Percoco, Phó chủ tịch cao cấp tại Trustwave và là người đứng đầu bộ phận SpiderLabs của công ty, cho biết.

Percoco nói rằng điều tra pháp y đã chứng tỏ trong 312 công ty đều có hành vi vi phạm dữ liệu, với khoảng 29% các cuộc tấn công chống lại các doanh nghiệp này bắt nguồn từ Liên bang Nga. Tuy nhiên, 32,5% các cuộc tấn công không rõ nguồn gốc vì chúng bắt nguồn thông qua các dịch vụ giấu tên Internet.

Mặc dù các doanh nghiệp bị ảnh hưởng bởi các tin tặc thẻ thanh toán nói rằng bảo mật của họ phù hợp với các tiêu chuẩn bảo mật của ngành công nghiệp thẻ thanh toán (PCI), nhưng trên thực tế thường vẫn có những khoảng trống. Các VPN và các ứng dụng truy cập từ xa của nhà cung cấp bên thứ ba được sử dụng cho các hệ thống bảo trì thường là cách mà những kẻ tấn công sử dụng để ăn cắp mật khẩu một cách đơn giản và có thể sử dụng trong nhiều lần.

Báo cáo của Trustwave lưu ý, "Việc đăng nhập vào hệ thống yêu cầu tên người dùng và mật khẩu, và những kết hợp này thường rất đơn giản. Nhiều nhà cung cấp dịch vụ CNTT bên thứ ba sử dụng các tiêu chuẩn mật khẩu trên cơ sở khách hàng của họ…"

Percoco nói rằng tiêu chuẩn PCI cho hoạt động điều hành truy cập từ xa đòi hỏi hai yếu tố xác thực mà hiện tại chúng không được sử dụng. Percoco nhấn mạnh rằng cácnhà cung cấp hệ thống CNTT này đã phải trả giá cho lỗi sai của họ. Họ không chỉ cần phải sửa chữa các vấn đề đã được xác định, mà còn phải chịu một khoản tiền phạt vì không tuân thủ các tiêu chuẩn PCI. Và Percoco cho biết thêm rằng họ đã bị buộc phải "trả tiền để phục hồi các chi phí của sự gian lận."

Báo cáo của Trustwave cũng tiết lộ một số số liệu thống kê gây sốc. Có một tổ chức bên ngoài, chứ không phải là bản thân doanh nghiệp, đã thúc đẩy một cuộc điều tra pháp y, "phân tích cho thấy rằng, trung bình, những kẻ tấn công đã thâm nhập vào môi trường của nạn nhân trong 173,5 ngày trước khi bị phát hiện." Còn những doanh nghiệp "tự phát hiện được" thì làm tốt hơn một chút - các tin tặc chỉ có trung bình 43 ngày bên trong mạng lưới của họ cho đến khi bị phát hiện.

Và trong một trường hợp ở châu Âu vào năm ngoái, một nhà cung cấp dịch vụ thanh toán đã bị hack và nhiều máy chủ cùng với một mạng lưới rộng có diện tích hơn 1.000 máy chủ đã bị tấn công. Trustwave cho biết họ đã xác định được điểm yếu duy nhất là giao thức X.25. Đây là một giao thức được sử dụng rộng rãi trong những năm 1980 để xây dựng mạng diện rộng. Theo báo cáo, hiện nay nó vẫn được sử dụng tại các tổ chức tài chính liên ngân hàng trao đổi dữ liệu. Những kẻ tấn công trong trường hợp này "đã xác định một hệ thống phát triển nội bộ và tiến hành viết lại một rootkit nổi tiếng trên hệ điều hành HP-UX. Rootkit được cài đặt trên một số máy chủ xử lý dữ liệu của chủ thẻ để che dấu sự hiện diện của các chương trình độc hại khác của kẻ tấn công."

Thùy Linh