Bảo mật - ‘gót chân Achilles’ của các hãng công nghệ

Dù doanh nghiệp công nghệ nổi tiếng sở hữu những trí tuệ xuất chúng nhất nhưng họ vẫn phải hứng chịu không ít sự cố tấn công mạng từ nhẹ nhàng đến nghiêm trọng.

Uber lại bị hack

Mới đây, sự cố bảo mật của công ty gọi xe Uber đã khiến việc liên lạc nội bộ bị đóng băng. Vậy là ngay cả những hãng công nghệ sở hữu nhiều tài năng và công cụ nhất cũng không thoát khỏi cảnh bị hacker “thăm hỏi”.

Ngày 16/9/2022, Uber cho biết đang điều tra sự cố diễn ra từ một ngày trước và phải tạm dừng quyền truy cập hệ thống nội bộ của nhân viên, bao gồm Slack, Zoom và Gmail. Quyền truy cập chỉ được khôi phục vào sáng 16/9. Công ty thông báo cho các nhà hành pháp và không thấy có dấu hiệu dữ liệu nhạy cảm của khách hàng, chẳng hạn lịch sử chuyến đi, bị xâm phạm.

Kẻ tấn công dường như đã giành được quyền truy cập đáng kể vào hệ thống nội bộ của Uber. Ngày 15/9, hacker tuyên bố: “Tôi là một hacker và Uber đã bị xâm phạm dữ liệu” trên kênh Slack nội bộ. Hacker còn chiếm một tài khoản mà công ty dùng để liên lạc với các chuyên gia bảo mật, theo Thời báo Phố Wall.

Doanh nghiệp công nghệ cũng không tránh khỏi nguy cơ bị tấn công mạng

Các tuyên bố của hacker được đăng trên HackerOne, nhà cung cấp dịch vụ trực tuyến giúp các doanh nghiệp liên lạc với chuyên gia an ninh mạng. Uber là một khách hàng của HackerOne. Lời tuyên bố đăng từ chính tài khoản của Uber, càng khắc sâu “nỗi đau” của hãng. Hacker thậm chí còn khoe khoang đã tấn công tài khoản Amazon Web Services (AWS), dịch vụ đám mây Google, phần mềm Vmware và mời độc giả kết nối với chúng qua ứng dụng chat Telegram. “Uber đã bị hack. Và tài khoản HackerOne này cũng vậy”, trích một bài viết của hacker bằng tài khoản Uber.

Uber không giải thích làm thế nào hacker có thể truy cập hệ thống, song theo chính những kẻ tấn công, Uber đã không bảo vệ chìa khóa bảo mật của mình. Theo Corben Leo đến từ hãng nghiên cứu bảo mật Zellic, hacker lừa một nhân viên Uber cung cấp quyền truy cập mạng riêng ảo của công ty và từ đó giành quyền truy cập vào máy chủ quản trị truy cập đặc quyền, dùng để bảo vệ các thông tin đăng nhập nhạy cảm nhất.

Theo Wired, các vụ tấn công như vậy còn được gọi là “MFA fatigue”, lợi dụng hệ thống xác thực, trong đó chỉ cần chủ tài khoản phê duyệt đăng nhập thông qua thông báo đẩy trên thiết bị của họ thay vì qua phương tiện khác như cung cấp mã số phát sinh ngẫu nhiên. Lừa đảo thông báo đẩy MFA ngày càng phổ biến. Nhìn chung, hacker không ngừng phát triển các hình thức tấn công lừa đảo tinh vi nhằm lách xác thực hai lớp. Các tổ chức yêu cầu khóa xác thực vật lý để đăng nhập có xu hướng bảo vệ thành công trước những cuộc tấn công lừa đảo.

Vụ việc xảy ra chỉ một ngày trước khi CEO Uber Dara Khosrowshahi đứng ra điều trần về một vụ án liên quan tới vụ rò rỉ dữ liệu năm 2016 tại công ty. 

“Chuyện thường ở huyện”

Nổi tiếng với nhiều nhân viên tài năng, các hãng công nghệ dường như chỉ tập trung đào tạo họ cách phát triến sản phẩm mới thay vì bảo vệ. Điều này xuất phát từ bản chất của công nghệ: đó là áp lực phải nhanh chóng tạo ra một sản phẩm và đem bán chúng, theo Nils Puhlmann, cựu Giám đốc bảo mật tại Twilio và Zynga. “Vì vậy, bất kỳ một bước phụ nào cũng gây phiền toái”, ông nhận xét.

Trước đó 1 tuần, Twitter bị chính cựu Giám đốc bảo mật tố cáo là “thiếu sót nghiêm trọng” trong hàng loạt khía cạnh như quyền riêng tư, bảo mật kỹ thuật số. Peiter Zatko trả lời trước các Thượng nghị sĩ hồi đầu tuần rằng các giám đốc Twitter ưu tiên lợi nhuận hơn là bảo mật.

Twitter bác bỏ cáo buộc của Zatko. Công ty thuê Zatko sau khi hứng chịu sự cố bảo mật tồi tệ nhất lịch sử hơn 2 năm trước. Trong vụ việc đó, một thiếu niên sống tại Florida (Mỹ) đã thuyết phục một nhân viên Twitter rằng mình là đồng nghiệp, vượt qua hệ thống bảo mật của Twitter rồi chiếm quyền truy cập một số tài khoản Twitter của người nổi tiếng, bao gồm cựu Tổng thống Mỹ Barack Obama, CEO Tesla Elon Musk hay ca sĩ Kanye West. Thủ phạm cùng 3 người khác đã bị bắt giữ và nhận tội vào năm ngoái.

Okta, một nhà cung cấp dịch vụ xác minh danh tính điện tử, cũng bị rò rỉ dữ liệu vào tháng 1/2022, ảnh hưởng đến 366 khách hàng, tương ứng 2,5%. Hacker nhận trách nhiệm về vụ tấn công cho biết đã giành được quyền truy cập thông qua laptop của một kỹ sư thuê ngoài. 

Signal, một trong các nền tảng nhắn tin bảo mật nhất thế giới, cũng bị tấn công lừa đảo vào 1 tháng trước, ảnh hưởng đến khoảng 1.900 người dùng. Công ty chia sẻ hacker đã truy cập thông tin qua Twilio, một nhà cung cấp dịch vụ xác minh số điện thoại cho Signal.

Với Uber, sự cố mới xảy ra là vụ tấn công mạng lớn thứ ba kể từ năm 2014 và sau khi công ty đạt thỏa thuận với Ủy ban Truyền thông liên bang Mỹ (FTC) năm 2018 về thực thi chương trình bảo mật toàn diện. Họ sẽ tiến hành đánh giá độc lập và đệ trình cho FTC trong 20 năm tới.

Trong một thông báo, FBI nói rằng đang hỗ trợ Uber trong sự cố an ninh mạng mới nhất. CEO Khosrowshahi đứng ra điều trần vào ngày 16/9 trong vụ xét xử một cựu Giám đốc Uber, người bị cáo buộc trả cho hacker trong vụ tấn công mạng năm 2016 số tiền 100.000 USD. Khosrowshahi bị đặt câu hỏi về hành động sau khi biết về vụ rò rỉ làm lộ tên, email và số điện thoại của hàng triệu hành khách, cũng như khoảng 600.000 biển số xe của tài xế. Ước tính, 57 triệu bản ghi đã bị tải về. Công ty chỉ công bố sau khi sự cố diễn ra 1 năm.

Trước tòa, ông chỉ nói đơn giản: “Các vấn đề bảo mật rất nghiêm trọng. Những con người thực sự có thể bị ảnh hưởng”.

Còn theo chuyên gia bảo mật Cedric Owens, Uber có nhiều cơ hội để chủ động xác định và đề phòng. Dù vậy, rất khó để thực hiện trong thực tế, nhất là khi doanh nghiệp có nhiều “đám lửa” khác phải dập tắt, chẳng hạn các thách thức chính trị trong nội bộ một tổ chức… 

Nghề ‘siêu hot’ bất chấp sóng thần sa thải công nghệ

Ngành này vẫn đang thiếu tới hơn 700.000 nhân sự và luôn trong trạng thái ‘tìm người’.

Chung tay "làm sạch" không gian mạng

Các chuyên gia cho rằng, nếu không quyết liệt làm sạch không gian mạng, đẩy lùi vấn nạn lừa đảo online đang ngày càng nở rộ, rất có thể nhiều người dân sẽ e ngại khi hoạt động trên không gian mạng.

Tội phạm mạng lợi dụng sự cả tin và lòng tham của con người để lừa đảo

Dù có khá nhiều biện pháp công nghệ đã được thực hiện, tội phạm mạng vẫn lừa đảo thành công do sự cả tin và lòng tham của con người.

"TikToker Hưng baba được Nhà nước vinh danh" là thông tin sai sự thật

Trước việc người dùng chia sẻ thông tin sai sự thật về TikToker “Hưng baba” được vinh danh, Sở TT&TT Hải Phòng đã yêu cầu ông Hưng kiểm soát nội dung bình luận, chia sẻ trên mạng.

Cảnh báo 13 lỗ hổng mới có thể bị hacker lợi dụng tấn công hệ thống tại Việt Nam

Cục An toàn thông tin (Bộ TT&TT) vừa cảnh báo các cơ quan, tổ chức, doanh nghiệp về 13 lỗ hổng bảo mật mức cao và nghiêm trọng trong sản phẩm Microsoft. Để tránh bị khai thác, tấn công mạng, các đơn vị cần rà soát và cập nhật ngay bản vá.

Thờ ơ với kiến thức bảo mật

Nhiều người ít quan tâm đến kiến thức bảo mật trong khi việc nâng cao nhận thức cho toàn dân cần nỗ lực lớn, dẫn đến tình trạng lừa đảo trực tuyến vẫn thường xuyên diễn ra.

Mở hệ thống thi thử “Học sinh với An toàn thông tin 2023” từ giữa tháng 2

Năm 2023 là năm thứ 2 cuộc thi “Học sinh với An toàn thông tin” được tổ chức nhằm trang bị các kiến thức, kỹ năng giúp trẻ em biết tự bảo vệ mình khi tham gia môi trường mạng.

Gần 1.800 điểm yếu, lỗ hổng bảo mật tồn tại trong hệ thống của cơ quan nhà nước

Nhận định số điểm yếu, lỗ hổng trên là rất lớn, Cục An toàn thông tin đã chỉ đạo Trung tâm Giám sát an toàn không gian mạng quốc gia xác định những lỗ hổng nguy hiểm, ảnh hưởng diện rộng và hướng dẫn các bộ, ngành khắc phục.

Cận Tết, cuộc gọi rác và tin nhắn lừa đảo tấn công người dùng Việt

Liên tục nhận tin nhắn lừa tới website giả mạo, bị làm phiền bởi cuộc gọi quảng cáo mời chào game cờ bạc,... người dùng di động không khỏi bất bình.

AWS ‘trình làng’ dịch vụ hồ dữ liệu bảo mật

Amazon Web Services (AWS) vừa ra mắt Amazon Security Lake - dịch vụ tự động tập trung dữ liệu bảo mật từ nguồn đám mây và tại chỗ vào một hồ dữ liệu chuyên biệt trong tài khoản AWS, giúp khai thác dữ liệu bảo mật nhanh, hiệu quả hơn.

Đang cập nhật dữ liệu !