-
09/04/2020
-
93
-
613 bài viết
Cuộc “đi săn” kẻ đánh cắp hàng triệu dữ liệu của LinkedIn (Phần 1)
Bạn có từng bị mê hoặc bởi chuỗi cung ứng của tội phạm mạng? Tất nhiên, chẳng có tên hacker nào tự mình làm từ A – Z cả mà đằng sau đó phải là cả một đường dây.
Nói đơn giản thì bạn có thể hiểu như này: khi một hacker đột nhập và đánh cắp hàng tá dữ liệu từ một công ty thì sau đó hắn ta sẽ phải tìm bên mua dữ liệu để kiếm tiền. Vậy là những kẻ môi giới xuất hiện, thỏa thuận với hacker để chia phần trăm. Tiếp đến, những kẻ môi giới sẽ phải đi tìm khách hàng mua lại đống dữ liệu đó.
Thế nhưng, không phải lúc nào giữa kẻ môi giới và khách hàng cũng tin tưởng nhau, vì vậy họ tìm đến bên thứ ba đáng tin cậy, một đại lý ủy thác trong giới underground, giúp đảm bảo bên nhận được dữ liệu và bên nhận tiền. Vậy sau đó, chúng sẽ làm gì với các tệp dump dữ liệu?
Hãy đến với một câu chuyện về mặt tối trên Internet của Jack Rhysider từ trang Darknet Diaries.
Tôi cá là tất cả các bạn đều biết LinkedIn là gì, đúng chứ? Một mạng xã hội dành cho các chuyên gia và rất phổ biến tại Mỹ.
Cách sử dụng thì chỉ cần tạo tài khoản, đăng tải sơ yếu lý lịch mô tả bạn làm cho công ty nào và kinh nghiệm làm việc. Sau đó, bạn có thể dùng trang web này để tìm kiếm việc làm và kết nối với những người cùng nghề.
Vào năm 2012, một kẻ đã muốn xâm nhập vào LinkedIn và đánh cắp dữ liệu người dùng, nhưng bằng cách nào để “lọt” được vào mạng lưới của công ty này?
Đây là một công ty nổi tiếng ở Thung lũng Silicon, được vận hành bởi những kỹ sư và quản lý giỏi. Họ chắc chắn sẽ phải tuân thủ những biện pháp tối tân nhất để bảo vệ mạng lưới của mình như bảo mật “lối vào” của mạng bằng tưởng lửa cỡ “khủng” để ngăn chặn những lưu lượng truy cập không cần thiết và kiểm tra những hoạt động độc hại. Sau đó, họ sẽ tiến hành đánh giá an ninh trên tất cả các hệ thống hiện diện ngoài Internet để đảm bảo không có lỗ hổng nào.
Tất nhiên, họ cũng sẽ sử dụng các công cụ giám sát và phần mềm diệt virus tiên tiến để phát hiện dấu hiệu xâm nhập. Do đó, các lối “cửa chính” vào mạng lưới của LinkedIn đều đã đóng kín. Vì vậy, kẻ tấn công sẽ phải tìm một lối vào khác. Ngày nay, khá dễ hiểu khi nhiều công ty cho phép nhân viên làm việc từ xa, nhưng từ năm 2012, LinkedIn đã áp dụng điều này.
Hacker biết rằng, các kỹ sư của LinkedIn không cần phải đến văn phòng mà vẫn có thể truy cập vào cơ sở dữ liệu hay các hệ thống quan trọng khác. Vì vậy, hắn đã tìm hiểu chính xác cách nhân viên LinkedIn truy cập vào mạng lưới của công ty từ xa bằng cách nào. Và hắn kết luận là thông qua Mạng riêng ảo (Virtual Private Network - VPN).
VPN là một cách để kết nối an toàn giữa các thiết bị qua Internet. Lưu lượng sẽ được mã hóa hoàn toàn từ mọi nơi trong mạng của công ty đến máy tính của người dùng, bất kể họ ở đâu trên thế giới. Tuy nhiên, nếu có một lối “cửa hậu” chỉ dành cho nhân viên, đồng nghĩa tin tặc có thể thử cách này để xâm nhập.
Vậy là tên hacker bắt đầu tìm kiếm trên website của LinkedIn những người đã làm việc cho công ty này: kỹ sư, quản trị viên hệ thống, hay bất kỳ ai có thể truy cập vào hệ thống công ty qua VPN.
Đó là lý do tôi không muốn đăng tải thông tin cá nhân của mình trên LinkedIn đấy, bởi vì bạn có thể dễ dàng tìm kiếm tất cả những người làm việc trong một công ty cụ thể và sau đó biết được ai là quản trị viên, người mà có lẽ đăng những thứ kiểu: Tôi có chuyên môn về tường lửa của Cisco và cơ sở dữ liệu Oracle, hoặc thậm chí cả phiên bản Oracle mà họ chuyên sâu. Đó là đầu mối để bất kỳ tin tặc nào biết điều gì sẽ xảy ra khi chúng xâm nhập.
Nghĩa là kẻ tấn công khá dễ dàng tìm ra mục tiêu và thu hẹp phạm vi chỉ bằng cách theo dõi những người trên LinkedIn.
Hacker đã tìm thấy một kỹ sư có thể có quyền truy cập VPN từ xa cũng như cơ sở dữ liệu nội bộ và “con mồi này đã được chọn”. Hồ sơ LinkedIn của kỹ sư này có một URL dẫn đến trang web cá nhân, nó đơn giản là tên của anh ta thêm đuôi “.com”.
Hacker đã truy cập vào trang web để kiểm tra kỹ hơn. Đó chỉ là một dạng blog giới thiệu bản thân cơ bản bao gồm lời chào, tôi là một kỹ sư quản lý độ tin cậy của hệ thống (SRE), đây là sở thích và một vài điều về tôi.
Hắn đã “lục lọi” trên trang này một lúc nhưng không tìm thấy bất kỳ thứ gì có thể khai thác được. Nhưng rồi hacker thấy địa chỉ trang web, được lữu trữ trên địa chỉ IP dân cư. Có vẻ như ông SRE này đang chạy một máy chủ web bên ngoài nhà mình. Nghĩa là có các cổng đang mở từ Internet để truy cập vào máy tính của anh ta.
Hacker đã đúng, nếu hắn có thể vào được máy tính của tay kỹ sư, thì có khả năng vào được mạng LinkedIn. Vì vậy, hắn xem liệu có bất kỳ website nào khác cũng được lưu trữ trên địa chỉ IP này không và hắn đã tìm ra một trang có tên cockeyed.com. Lượn lờ trang này một vòng, hắn thấy đây là một website dạng kiểu blog nhưng lớn hơn. Đây là trang do bạn tay kỹ sư vận hành, lưu trữ thông tin của chính người này. Có các video về những trò nghịch ngợm và hình ảnh, về cơ bản là một blog cá nhân. Nhưng trang này lại được xây dựng dựa trên công nghệ lập trình back-end bằng ngôn ngữ PHP.
Hắn bắt đầu tìm cách khai thác trang web này và tải lên một vài tệp tin. Và hắn đã thành công khi tải lên vài tệp PHP độc hại, một trong số đó là madnez.php, sau đó chiếm quyền kiểm soát máy tính đang lưu trữ website và định cấu hình cho phép tên này truy cập vào máy tính từ xa.
Tin tặc có được quyền truy cập shell vào trang web cockeye.com được lưu trữ trên cùng website với blog cá nhân của kỹ sư LinkedIn. Khi đã vào được máy chủ web, hắn bắt đầu quét các IP khác trong mạng và tìm thấy một địa chỉ IP của một máy tính iMac có một cổng SSH đang mở cho phép kết nối đến nó.
Tất nhiên để vào được con máy iMac này thì cần phải có tài khoản và mật khẩu đăng nhập. Phương pháp brute-force sẽ được áp dụng trong trường hợp này. Với tài khoản (username), hacker đã dùng tên và họ của kỹ sư LinkedIn và liên tục thử hàng ngàn mật khẩu khác nhau để tìm một cái trùng khớp. Tất cả quá trình này diễn ra vào tháng 2 năm 2012.
Liên tục trong vài ngày, máy chủ web này đã tấn công máy tính iMac của kỹ sư tại nhà riêng mà anh này không hề biết. Sau vài ngày với hàng ngàn lần thử hắn đã có một mật khẩu đã hợp lệ. Vậy là đã có tài khoản và mật khẩu trong tay, giờ thì truy cập vào máy tính iMac và “ngó nghiêng” xem nào. Đầu tiên, hacker nhận thấy đây là máy tính của cá nhân, không phải máy của công ty (LinkedIn) hay máy tính chỉ phục vụ công việc. Tiếp đó, hắn biết được máy chủ web mà mình xâm nhập đang chạy trên con máy iMac.
Còn gì thú vị hơn khi phát hiện máy chủ web đang chạy trên máy ảo của một con iMac, mà máy ảo này lại là thứ duy nhất hiện diện ngoài Internet. Nhưng hacker đã vào được máy ảo và sau đó xâm nhập máy tính chủ thông qua giao diện IP ảo. Đó chính xác là cách hắn đã thực hiện.
Lần mò iMac một lúc, hắn tình cờ tìm thấy “chìa khóa mở kho báu”. Theo đúng nghĩa đen, đó là một khóa bí mật (private key) mà kỹ sư dùng để đăng nhập vào LinkedIn.
Thấy không, khi đăng nhập vào một số hệ thống nhất định, bạn có thể cần đến tên người dùng và mật khẩu. Nhưng có một cách khác là sử dụng khóa công khai và khóa bí mật, trong đó khóa công khai được đặt trên máy chủ mà bạn cần truy cập và khóa bí mật thì nằm trên máy tính cá nhân của bạn. Vì vậy, khi kết nối với máy chủ, bạn cần xác thực bằng các khóa này.
Tất cả đều thực hiện tự động mà không cần phải nhập mật khẩu. Nên khi hacker nhìn thấy khóa riêng tư, hắn mừng như bắt được vàng. Nhưng khóa riêng tư này kết nối đến đâu? Hay đây, xem xét xung quanh thêm một chút và đó là lúc hắn tìm thấy bộ cấu hình VPN cho phép chiếc iMac kết nối với LinkedIn. Nó chứa mọi thông tin cần kết nối: tên máy chủ, địa chỉ IP, tên người dùng đăng nhập.
Vậy là hacker đã lấy được mảnh ghép còn thiếu duy nhất – khóa bí mật. Với những thông tin có được, hacker kết nối trực tiếp đến máy chủ VPN của LinkedIn đặt tại California từ chính ra riêng của mình tại Moscow, Nga. Đó là một sai lầm lớn. Không có gì ngăn chặn kết nối này từ Moscow nên hacker nghiễm nhiên có thể truy cập vào.
Từ đây, hắn có thể tìm đường vào mạng, tìm kiếm cơ sở dữ liệu người dùng, đăng nhập và lấy tên người dùng, mã băm mật khẩu và địa chỉ e-mail của càng nhiều người dùng LinkedIn càng tốt. Như một làn gió, sau đó hắn đăng xuất và biến mất.
LinkedIn đã bị xâm nhập mà không hề hay biết cho đến 3 tháng sau, có kẻ đã đăng tải dữ liệu người dùng LinkedIn và rao bán trên một diễn đàn có tên insidepro.com – có thể hiểu đây là chợ đen mà tội phạm mạng mua và bán dữ liệu bị đánh cắp từ các cuộc tấn công.
Nỗi bàng hoàng và sự sợ hãi khi bạn phát hiện công ty mình vừa bị xâm phạm dữ liệu thật không thể tả thành lời. Lúc này, phản hồi của LinkedIn tuân theo một quy trình 4 bước gồm: xác nhận, ngăn chặn, khắc phục và hoạt động sau sự cố. LinkedIn xác nhận đúng là mình đã bị xâm nhập. Tiếp theo họ cần phải ngăn chặn sự cố này. Liệu kẻ tấn công còn nằm vùng trong mạng không? Chúng đã đánh cắp những gì? Chúng vào bằng cách nào? Công ty có thể ngăn chặn chúng đột nhập lại không?
Tất cả những câu hỏi này cần được giải đáp ngay lập tức.
Các kỹ sư và đội ngũ an ninh mạng của LinkedIn đã tập trung tại War Room (căn phòng chuyên giải quyết các vấn đề khẩn cấp). Có khoảng 40 – 60 người từ LinkedIn tham gia giải quyết sự cố. Họ tới từ nhiều quốc gia khác nhau. Đó là đội ngũ an ninh chuyên săn lùng qua các nhật ký sự kiện, tìm kiếm bằng chứng. Đó là những kỹ sư SRE đang rà roát hệ thống của mình để tìm kiếm dấu vết của hoạt động trái phép. Ở đó còn có sự hiện diện của cả những luật sư.
Giám đốc an ninh thông tin đã có mặt và chủ động phân loại tất cả các vấn đề. Các giám đốc điều hành khác cũng có trong phòng bởi đây là vụ việc quan trọng nhất của LinkedIn vào thời điểm này.
Bầu không khí căng như dây đàn. Manh mối đầu tiên mà họ có được là từ các bản ghi log VPN. Nhóm bảo mật LinkedIn phát hiện một trong những kỹ sư của công ty ở California đã đăng nhập nhiều lần vào VPN từ Moscow, Nga. Anh này bị triệu tập để tra hỏi.
Đội an ninh tiếp tục lần ra đầu mối quan trọng. Họ phát hiện kỹ sư này đã kết nối với mạng công ty từ chiếc iMac cá nhân, điều này chắc hẳn bị cấm. Họ yêu cầu anh ta mang chiếc iMac đó đến để kiểm tra. Hãy quay lại thời điểm trước đó một tháng. LinkedIn không hề biết sẽ bị tấn công và tin tặc đã xâm nhập để đánh cắp cơ sở dữ liệu gồm địa chỉ email, tên người dùng và hàm băm mật khẩu. Nhưng mật khẩu này chưa thể dùng được ngay vì nó đã được mã hóa. Vì vậy tin tặc phải tìm cách bẻ khóa chúng. Hắn đăng tải vài mã hash lên một diễn đàn và nhờ trợ giúp.
Trong quá trình điều tra, LinkedIn phát hiện một bài đăng cũ có các mã hash trùng khớp với cơ sở dữ liệu của họ. Tình hình trở nên tồi tệ hơn rồi đây. LinkedIn nhận thấy tên hacker tích cực giải mã các hàm băm mật khẩu của người dùng. Không may là, công ty này chưa sử dụng phương pháp "salting" (thêm các chuỗi ký tự ngẫu nhiên duy nhất vào mật khẩu để an toàn hơn) trước khi băm mật khẩu. Họ đang trong quá trình thực hiện việc này nhưng không hề dễ dàng bởi LinkedIn có đến hàng trăm triệu người dùng.
Tại LinkedIn có các cấp độ khác nhau để đánh giá mức độ nghiêm trọng của sự cố. Code Yellow (mức vàng) là dạng rủi ro về mặt kỹ thuật như máy chủ quá công suất hoặc không chắc về cách mở rộng quy mô đúng cách hay sự xuống cấp của dịch vụ không gây ra sự cố ngừng hoạt động nhưng có thể xảy ra bất kỳ lúc nào.
Các tình huống mức vàng xảy ra vài tháng một lần, nhưng đội ngũ LinkedIn nhận định sự cố lần này được đánh giá là Code Red (mức đỏ), nghĩa là ảnh hưởng đến hoạt động kinh doanh vì liên quan đến việc rò rỉ dữ liệu người dùng trên mạng. Chắc chắn các dữ liệu này có thể được tiết lộ cho cả thế giới vào bất kỳ thời điểm nào.
Tôi tin rằng vào thời điểm đó, dữ liệu sẽ chỉ được gửi cho ai muốn mua chứ không miễn phí. Điều này gây ra khoảnh khắc ớn lạnh đối với bất kỳ đội ngũ bảo mật nào vì không ai biết có bao nhiêu thông tin bị đánh cắp và tên hacker sẽ định làm gì với nó. Sự lo lắng ngày càng lớn dần khi vụ việc đến tai giới truyền thông và họ đã công khai vụ xâm nhập cho cả thế giới. Trong khi đó, quá trình phân tích log của nhóm điều tra gặp vô vàn khó khăn vì có hàng triệu người truy cập trang web mỗi ngày, càng cố gắng tìm kiếm lại càng như “mò kim đáy bể”.
Tôi nghĩ ngay sau khi phát hiện ra vụ việc, LinkedIn đã báo cho FBI biết về vụ tấn công. Rất nhanh chóng, FBI yêu cầu kiểm tra các bản ghi và thẩm vấn những người có liên quan. Trong khi đó, LinkedIn nhận thấy các địa chỉ IP này kết nối từ Moscow nên họ bắt đầu truy vết địa chỉ IP đó trong mạng của mình. Nó đã kết nối đến những đâu và truy cập vào những gì.
Các kỹ sư đã xem các bản ghi nhật ký SSH, Wiki và truy cập máy chủ. Các kết nối từ IP đó cho họ biết về user agent (tác nhân người dùng) trên máy của kẻ tấn công như thông tin về hệ điều hành, loại trình duyệt và phiên bản. User agent luôn là độc nhất vô nhị trên mỗi máy tính. Và đúng là nó có từ Sputnik ở cuối, đúng là một điều bất thường.
Vì Sputnik là tên của vệ tinh đầu tiên được Nga đưa lên quỹ đạo và chưa ai từng thấy user agent này trước đó. Tôi tự hỏi liệu hacker có đặt nó như một kiểu chữ ký hay không. Có thêm thông tin này, các kỹ sư giờ có thể tìm kiếm các bản ghi cho một user agent cụ thể để xem liệu nó có bất kỳ lượt truy cập nào không, bởi có khả năng hacker không sử dụng cùng một địa chỉ IP cho mỗi lần truy cập.
Có thể hacker đã đăng nhập từ các địa chỉ IP, kênh và VPN khác nhau hoặc thứ gì đó tương tự, nhưng nếu có user agent trùng khớp thì bạn có thể biết đó là cùng một người. Tiếp theo, họ kiểm tra trang web công khai của LinkedIn để xem liệu bất kỳ ai có IP và user agent đã đăng nhập trùng khớp với bất kỳ tài khoản của người dùng trên trang linkdedin.com không. Chắc chắn, đã có một vài hành vi. Cùng một IP và user agent đã đăng nhập vào 30 tài khoản LinkedIn khác nhau qua website công khai này.
Nghĩa là hacker tìm cách bẻ khóa một số mật khẩu và đang sử dụng chúng để truy cập tài khoản LinkedIn của những người dùng này. Điều này chắc chắn khiến cho LinkedIn càng thêm quan ngại.
Quay trở lại Moscow, thực tế hacker có một bộ xử lý đồ họa (GPU) khá mạnh mẽ. Việc bẻ khóa các hàm băm mật khẩu tiêu tốn nhiều tài nguyên. Bạn phải xoay vòng hàng triệu mật khẩu, băm chúng và xem liệu những giá trị băm đó có khớp với giá trị băm trong cơ sở dữ liệu hay không. Trong khi đó, card đồ họa GPU có thể thực hiện nhiều phép tính nhỏ như vậy cùng một lúc. Khi tìm thấy mật khẩu phù hợp, hacker đăng nhập vào LinkedIn để kiểm tra và xác nhận thông tin. Các mật khẩu đều chính xác.
Quay lại trụ sở của LinkedIn, các chuyên gia bắt đầu kiểm tra máy chủ cơ sở dữ liệu. Họ phát hiện và tìm kiếm các bản ghi xem có ai đã đăng nhập vào máy chủ cơ sở dữ liệu bằng các IP, tên người dùng hoặc user agent này hay không. Cơ sở dữ liệu mà LinkedIn sử dụng vào thời điểm đó là Oracle trên hệ điều hành UNIX. Để chắc chắn hơn, họ xem có bất kỳ ai kết nối đến nó qua SSH không. Có rất nhiều bản ghi nhật ký truy cập vào máy chủ cơ sở dữ liệu của hacker, sau đó vào cơ sở dữ liệu và chạy các truy vấn trên đó. Riêng việc này đã ngốn mất của LinkedIn 6 tuần.
Tôi đang nói về phòng War Room ở tình trạng thực chiến, mức độ Code Red trong 6 tuần không ngừng nghỉ với nhiều đội ngũ, hàng chục con người rà soát hàng ngàn máy chủ, kiểm tra cả triệu bản ghi log. Nó tốn quá nhiều thời gian. Trong quãng thời gian này, họ buộc các nhân viên của LinkedIn thay đổi mật khẩu của mình. Họ tạo lại một tài khoản hoàn toàn mới cho kỹ sư có máy tính iMac bị tấn công, tái thiết lập các máy chủ để đảm bảo không còn dấu vết nào trên hệ thống. Ngoài ra, có vẻ LinkedIn đã công khai về vụ vi phạm ngay khi có thể cho người dùng hiểu có điều tồi tệ đã xảy ra.
Đến tháng 5 năm 2012, một tháng trước khi LinkedIn biết về vụ xâm nhập, hacker đã tấn công một trang web khác nhưng chưa rõ các bước cụ thể như thế nào. Vậy là tháng 5 năm 2012, tin tặc đã bẻ khóa khá nhiều hàm băm trong cơ sở dữ liệu đánh cắp từ LinkedIn và kiểm tra một số thông tin đăng nhập bằng cách vào LinkedIn bằng chính tên người dùng đó và đã thành công. Giả thuyết của tôi là hắn đã xem qua các mật khẩu bị bẻ khóa để tìm xem trong số đó có bất kỳ ai làm việc cho các công ty công nghệ lớn ở vị trí kỹ sư hoặc admin không, bởi tên này chuyên bán dữ liệu lớn để kiếm lời.
Một tháng sau, khi điều tra vụ xâm nhập vào LinkedIn, FBI tìm thấy cùng địa chỉ IP hay user agent đang truy cập vào 30 tài khoản của người dùng LinkedIn. Một trong số đó thuộc nhân viên của Dropbox và họ suy đoán Dropbox có thể là mục tiêu tiếp theo. Vì vậy, FBI đã gọi cho Dropbox, cung cấp thông tin các IP và user agent để công ty này tìm kiếm. Dropbox kiểm tra log và xác nhận có những truy cập trái phép vào mạng lưới của mình từ những địa chỉ IP này với tư cách là kỹ sư kiểm soát chất lượng. Một phòng War Room được thiết lập ngay lập tức để xử lý sự cố.
Vào thời điểm năm 2012, Dropbox (công ty về dịch vụ lưu trữ dữ liệu trực tuyến) có dưới 150 nhân viên và giống như LinkedIn họ biết đây là một vụ lớn nhất từng xảy ra với công ty. Chỉ có hơn 20 người tham gia vào quá trình xử lý sự cố và họ cần thêm sự hỗ trợ từ bên ngoài, các chuyên gia về ứng cứu sự cố an ninh.
Quá trình điều tra cho thấy một kỹ sư của Dropbox có tài khoản trên dropbox.com, bị hacker kết nối vào mạng từ Nga, sau đó vào trang Wiki nội bộ của Dropbox để tìm kiếm thông tin về cách khắc phục sự cố và các chi tiết kỹ thuật khác về mạng Dropbox. Hắn cũng dùng tài khoản của kỹ sư này tự mời chính mình tham gia nhóm Dropbox và chuyển một lượng lớn các file sang tài khoản của hắn.
Tệp này là danh sách gồm 20 triệu thông tin chi tiết về người dùng Dropbox: e-mail, tên người dùng và mật khẩu băm được mã hóa. Nhưng Dropbox không chắc làm thế nào hacker có được những thứ này hay có đúng là rò rỉ từ Dropbox hay không.
Nạn nhân tiếp theo là Formspring - một công ty mạng xã hội ở Mỹ dành riêng cho việc đặt các câu hỏi liên quan đến phỏng vấn (hiện không còn hoạt động). Năm 2012, Formspring có khoảng 30 triệu tài khoản.
Vào tháng 6, hacker đã có được tài khoản và mật khẩu quản trị viên trên máy chủ của Formspring và đăng nhập vào bằng SSH. Tôi đoán hắn đã lấy cắp từ dữ liệu LinkedIn. Sau đó, hắn cài đặt chương trình độc hại madnez.php (tương tự LinkedIn) trên máy chủ để có thể quay lại bất cứ lúc nào. Hacker cũng tìm thấy Wiki nội bộ của Formspring và tìm kiếm các mật khẩu đã được băm.
Vào ngày 9 tháng 7 năm 2012, ai đó đã đăng tải tệp dữ liệu của 420.000 tài khoản Formspring lên diễn đàn ngầm theo cú pháp [email protected]. Có người đã phát hiện ra và liên hệ với một nhà báo. Anh này gọi cho Formspring để yêu cầu phản hồi nhưng công ty không hề hay biết về vụ việc. Một quy trình xử lý sự cố được Formspring thiết lập, ngoài các chuyên gia kỹ thuật tham gia điều tra còn có cả đội marketing để xử lý các vấn đề truyền thông.
Trước hết, đội ngũ an ninh của Formstring xác nhận 420.000 tài khoản này trùng khớp với cơ sở dữ liệu của họ và tin tặc có kết nối SSH vào máy chủ của họ từ một địa chỉ IP ở Nga. Họ đã xử lý tất cả các vấn đề này trong vòng 1 ngày.
Tôi đoán quy mô của Formspring nhỏ hơn LinkedIn nên họ có thể giải quyết vấn đề nhanh chóng hơn. Họ thay đổi tên đăng nhập của người dùng, xóa tệp madnez.php, thiết lập luật thay đổi mật khẩu định kỳ, luật giám sát truy cập bất thường của quản trị viên và cài đặt lại các máy chủ đã bị xâm nhập.
Trên hết, họ đã thông báo đến tất cả người dùng về vụ tấn công, yêu cầu thay đổi mật khẩu ngay lập tức và gửi cho FBI tất cả các bản ghi để hỗ trợ điều tra. Vài tuần sau, Formspring đã khôi phục lại hệ thống và mọi thứ trở lại bình thường.
Còn tiếp...
Nói đơn giản thì bạn có thể hiểu như này: khi một hacker đột nhập và đánh cắp hàng tá dữ liệu từ một công ty thì sau đó hắn ta sẽ phải tìm bên mua dữ liệu để kiếm tiền. Vậy là những kẻ môi giới xuất hiện, thỏa thuận với hacker để chia phần trăm. Tiếp đến, những kẻ môi giới sẽ phải đi tìm khách hàng mua lại đống dữ liệu đó.
Thế nhưng, không phải lúc nào giữa kẻ môi giới và khách hàng cũng tin tưởng nhau, vì vậy họ tìm đến bên thứ ba đáng tin cậy, một đại lý ủy thác trong giới underground, giúp đảm bảo bên nhận được dữ liệu và bên nhận tiền. Vậy sau đó, chúng sẽ làm gì với các tệp dump dữ liệu?
Hãy đến với một câu chuyện về mặt tối trên Internet của Jack Rhysider từ trang Darknet Diaries.
Tôi cá là tất cả các bạn đều biết LinkedIn là gì, đúng chứ? Một mạng xã hội dành cho các chuyên gia và rất phổ biến tại Mỹ.
Cách sử dụng thì chỉ cần tạo tài khoản, đăng tải sơ yếu lý lịch mô tả bạn làm cho công ty nào và kinh nghiệm làm việc. Sau đó, bạn có thể dùng trang web này để tìm kiếm việc làm và kết nối với những người cùng nghề.
Vào năm 2012, một kẻ đã muốn xâm nhập vào LinkedIn và đánh cắp dữ liệu người dùng, nhưng bằng cách nào để “lọt” được vào mạng lưới của công ty này?
Đây là một công ty nổi tiếng ở Thung lũng Silicon, được vận hành bởi những kỹ sư và quản lý giỏi. Họ chắc chắn sẽ phải tuân thủ những biện pháp tối tân nhất để bảo vệ mạng lưới của mình như bảo mật “lối vào” của mạng bằng tưởng lửa cỡ “khủng” để ngăn chặn những lưu lượng truy cập không cần thiết và kiểm tra những hoạt động độc hại. Sau đó, họ sẽ tiến hành đánh giá an ninh trên tất cả các hệ thống hiện diện ngoài Internet để đảm bảo không có lỗ hổng nào.
Tất nhiên, họ cũng sẽ sử dụng các công cụ giám sát và phần mềm diệt virus tiên tiến để phát hiện dấu hiệu xâm nhập. Do đó, các lối “cửa chính” vào mạng lưới của LinkedIn đều đã đóng kín. Vì vậy, kẻ tấn công sẽ phải tìm một lối vào khác. Ngày nay, khá dễ hiểu khi nhiều công ty cho phép nhân viên làm việc từ xa, nhưng từ năm 2012, LinkedIn đã áp dụng điều này.
Hacker biết rằng, các kỹ sư của LinkedIn không cần phải đến văn phòng mà vẫn có thể truy cập vào cơ sở dữ liệu hay các hệ thống quan trọng khác. Vì vậy, hắn đã tìm hiểu chính xác cách nhân viên LinkedIn truy cập vào mạng lưới của công ty từ xa bằng cách nào. Và hắn kết luận là thông qua Mạng riêng ảo (Virtual Private Network - VPN).
VPN là một cách để kết nối an toàn giữa các thiết bị qua Internet. Lưu lượng sẽ được mã hóa hoàn toàn từ mọi nơi trong mạng của công ty đến máy tính của người dùng, bất kể họ ở đâu trên thế giới. Tuy nhiên, nếu có một lối “cửa hậu” chỉ dành cho nhân viên, đồng nghĩa tin tặc có thể thử cách này để xâm nhập.
Vậy là tên hacker bắt đầu tìm kiếm trên website của LinkedIn những người đã làm việc cho công ty này: kỹ sư, quản trị viên hệ thống, hay bất kỳ ai có thể truy cập vào hệ thống công ty qua VPN.
Đó là lý do tôi không muốn đăng tải thông tin cá nhân của mình trên LinkedIn đấy, bởi vì bạn có thể dễ dàng tìm kiếm tất cả những người làm việc trong một công ty cụ thể và sau đó biết được ai là quản trị viên, người mà có lẽ đăng những thứ kiểu: Tôi có chuyên môn về tường lửa của Cisco và cơ sở dữ liệu Oracle, hoặc thậm chí cả phiên bản Oracle mà họ chuyên sâu. Đó là đầu mối để bất kỳ tin tặc nào biết điều gì sẽ xảy ra khi chúng xâm nhập.
Nghĩa là kẻ tấn công khá dễ dàng tìm ra mục tiêu và thu hẹp phạm vi chỉ bằng cách theo dõi những người trên LinkedIn.
Hacker đã tìm thấy một kỹ sư có thể có quyền truy cập VPN từ xa cũng như cơ sở dữ liệu nội bộ và “con mồi này đã được chọn”. Hồ sơ LinkedIn của kỹ sư này có một URL dẫn đến trang web cá nhân, nó đơn giản là tên của anh ta thêm đuôi “.com”.
Hacker đã truy cập vào trang web để kiểm tra kỹ hơn. Đó chỉ là một dạng blog giới thiệu bản thân cơ bản bao gồm lời chào, tôi là một kỹ sư quản lý độ tin cậy của hệ thống (SRE), đây là sở thích và một vài điều về tôi.
Hắn đã “lục lọi” trên trang này một lúc nhưng không tìm thấy bất kỳ thứ gì có thể khai thác được. Nhưng rồi hacker thấy địa chỉ trang web, được lữu trữ trên địa chỉ IP dân cư. Có vẻ như ông SRE này đang chạy một máy chủ web bên ngoài nhà mình. Nghĩa là có các cổng đang mở từ Internet để truy cập vào máy tính của anh ta.
Hacker đã đúng, nếu hắn có thể vào được máy tính của tay kỹ sư, thì có khả năng vào được mạng LinkedIn. Vì vậy, hắn xem liệu có bất kỳ website nào khác cũng được lưu trữ trên địa chỉ IP này không và hắn đã tìm ra một trang có tên cockeyed.com. Lượn lờ trang này một vòng, hắn thấy đây là một website dạng kiểu blog nhưng lớn hơn. Đây là trang do bạn tay kỹ sư vận hành, lưu trữ thông tin của chính người này. Có các video về những trò nghịch ngợm và hình ảnh, về cơ bản là một blog cá nhân. Nhưng trang này lại được xây dựng dựa trên công nghệ lập trình back-end bằng ngôn ngữ PHP.
Hắn bắt đầu tìm cách khai thác trang web này và tải lên một vài tệp tin. Và hắn đã thành công khi tải lên vài tệp PHP độc hại, một trong số đó là madnez.php, sau đó chiếm quyền kiểm soát máy tính đang lưu trữ website và định cấu hình cho phép tên này truy cập vào máy tính từ xa.
Tin tặc có được quyền truy cập shell vào trang web cockeye.com được lưu trữ trên cùng website với blog cá nhân của kỹ sư LinkedIn. Khi đã vào được máy chủ web, hắn bắt đầu quét các IP khác trong mạng và tìm thấy một địa chỉ IP của một máy tính iMac có một cổng SSH đang mở cho phép kết nối đến nó.
Tất nhiên để vào được con máy iMac này thì cần phải có tài khoản và mật khẩu đăng nhập. Phương pháp brute-force sẽ được áp dụng trong trường hợp này. Với tài khoản (username), hacker đã dùng tên và họ của kỹ sư LinkedIn và liên tục thử hàng ngàn mật khẩu khác nhau để tìm một cái trùng khớp. Tất cả quá trình này diễn ra vào tháng 2 năm 2012.
Liên tục trong vài ngày, máy chủ web này đã tấn công máy tính iMac của kỹ sư tại nhà riêng mà anh này không hề biết. Sau vài ngày với hàng ngàn lần thử hắn đã có một mật khẩu đã hợp lệ. Vậy là đã có tài khoản và mật khẩu trong tay, giờ thì truy cập vào máy tính iMac và “ngó nghiêng” xem nào. Đầu tiên, hacker nhận thấy đây là máy tính của cá nhân, không phải máy của công ty (LinkedIn) hay máy tính chỉ phục vụ công việc. Tiếp đó, hắn biết được máy chủ web mà mình xâm nhập đang chạy trên con máy iMac.
Còn gì thú vị hơn khi phát hiện máy chủ web đang chạy trên máy ảo của một con iMac, mà máy ảo này lại là thứ duy nhất hiện diện ngoài Internet. Nhưng hacker đã vào được máy ảo và sau đó xâm nhập máy tính chủ thông qua giao diện IP ảo. Đó chính xác là cách hắn đã thực hiện.
Lần mò iMac một lúc, hắn tình cờ tìm thấy “chìa khóa mở kho báu”. Theo đúng nghĩa đen, đó là một khóa bí mật (private key) mà kỹ sư dùng để đăng nhập vào LinkedIn.
Thấy không, khi đăng nhập vào một số hệ thống nhất định, bạn có thể cần đến tên người dùng và mật khẩu. Nhưng có một cách khác là sử dụng khóa công khai và khóa bí mật, trong đó khóa công khai được đặt trên máy chủ mà bạn cần truy cập và khóa bí mật thì nằm trên máy tính cá nhân của bạn. Vì vậy, khi kết nối với máy chủ, bạn cần xác thực bằng các khóa này.
Tất cả đều thực hiện tự động mà không cần phải nhập mật khẩu. Nên khi hacker nhìn thấy khóa riêng tư, hắn mừng như bắt được vàng. Nhưng khóa riêng tư này kết nối đến đâu? Hay đây, xem xét xung quanh thêm một chút và đó là lúc hắn tìm thấy bộ cấu hình VPN cho phép chiếc iMac kết nối với LinkedIn. Nó chứa mọi thông tin cần kết nối: tên máy chủ, địa chỉ IP, tên người dùng đăng nhập.
Vậy là hacker đã lấy được mảnh ghép còn thiếu duy nhất – khóa bí mật. Với những thông tin có được, hacker kết nối trực tiếp đến máy chủ VPN của LinkedIn đặt tại California từ chính ra riêng của mình tại Moscow, Nga. Đó là một sai lầm lớn. Không có gì ngăn chặn kết nối này từ Moscow nên hacker nghiễm nhiên có thể truy cập vào.
Từ đây, hắn có thể tìm đường vào mạng, tìm kiếm cơ sở dữ liệu người dùng, đăng nhập và lấy tên người dùng, mã băm mật khẩu và địa chỉ e-mail của càng nhiều người dùng LinkedIn càng tốt. Như một làn gió, sau đó hắn đăng xuất và biến mất.
LinkedIn đã bị xâm nhập mà không hề hay biết cho đến 3 tháng sau, có kẻ đã đăng tải dữ liệu người dùng LinkedIn và rao bán trên một diễn đàn có tên insidepro.com – có thể hiểu đây là chợ đen mà tội phạm mạng mua và bán dữ liệu bị đánh cắp từ các cuộc tấn công.
Cảm giác lúc ấy sẽ ra sao?
Đội ngũ LinkedIn đã nhanh chóng vào cuộc. Đầu tiên họ cần xác minh xem liệu các thông tin được rao bán có đúng là của người dùng LinkedIn hay không. Các chuyên gia đã đối chiếu dữ liệu mẫu với cơ sở dữ liệu của riêng họ và kết quả cho thấy các giá trị băm là trùng khớp.Nỗi bàng hoàng và sự sợ hãi khi bạn phát hiện công ty mình vừa bị xâm phạm dữ liệu thật không thể tả thành lời. Lúc này, phản hồi của LinkedIn tuân theo một quy trình 4 bước gồm: xác nhận, ngăn chặn, khắc phục và hoạt động sau sự cố. LinkedIn xác nhận đúng là mình đã bị xâm nhập. Tiếp theo họ cần phải ngăn chặn sự cố này. Liệu kẻ tấn công còn nằm vùng trong mạng không? Chúng đã đánh cắp những gì? Chúng vào bằng cách nào? Công ty có thể ngăn chặn chúng đột nhập lại không?
Tất cả những câu hỏi này cần được giải đáp ngay lập tức.
Các kỹ sư và đội ngũ an ninh mạng của LinkedIn đã tập trung tại War Room (căn phòng chuyên giải quyết các vấn đề khẩn cấp). Có khoảng 40 – 60 người từ LinkedIn tham gia giải quyết sự cố. Họ tới từ nhiều quốc gia khác nhau. Đó là đội ngũ an ninh chuyên săn lùng qua các nhật ký sự kiện, tìm kiếm bằng chứng. Đó là những kỹ sư SRE đang rà roát hệ thống của mình để tìm kiếm dấu vết của hoạt động trái phép. Ở đó còn có sự hiện diện của cả những luật sư.
Giám đốc an ninh thông tin đã có mặt và chủ động phân loại tất cả các vấn đề. Các giám đốc điều hành khác cũng có trong phòng bởi đây là vụ việc quan trọng nhất của LinkedIn vào thời điểm này.
Bầu không khí căng như dây đàn. Manh mối đầu tiên mà họ có được là từ các bản ghi log VPN. Nhóm bảo mật LinkedIn phát hiện một trong những kỹ sư của công ty ở California đã đăng nhập nhiều lần vào VPN từ Moscow, Nga. Anh này bị triệu tập để tra hỏi.
- Gần đây cậu có đến Nga không?
- Cậu có sử dụng proxy nào của Nga gần đây không?
- Cậu có cung cấp thông tin đăng nhập của mình cho bất kỳ ai ở Nga không?
Đội an ninh tiếp tục lần ra đầu mối quan trọng. Họ phát hiện kỹ sư này đã kết nối với mạng công ty từ chiếc iMac cá nhân, điều này chắc hẳn bị cấm. Họ yêu cầu anh ta mang chiếc iMac đó đến để kiểm tra. Hãy quay lại thời điểm trước đó một tháng. LinkedIn không hề biết sẽ bị tấn công và tin tặc đã xâm nhập để đánh cắp cơ sở dữ liệu gồm địa chỉ email, tên người dùng và hàm băm mật khẩu. Nhưng mật khẩu này chưa thể dùng được ngay vì nó đã được mã hóa. Vì vậy tin tặc phải tìm cách bẻ khóa chúng. Hắn đăng tải vài mã hash lên một diễn đàn và nhờ trợ giúp.
Trong quá trình điều tra, LinkedIn phát hiện một bài đăng cũ có các mã hash trùng khớp với cơ sở dữ liệu của họ. Tình hình trở nên tồi tệ hơn rồi đây. LinkedIn nhận thấy tên hacker tích cực giải mã các hàm băm mật khẩu của người dùng. Không may là, công ty này chưa sử dụng phương pháp "salting" (thêm các chuỗi ký tự ngẫu nhiên duy nhất vào mật khẩu để an toàn hơn) trước khi băm mật khẩu. Họ đang trong quá trình thực hiện việc này nhưng không hề dễ dàng bởi LinkedIn có đến hàng trăm triệu người dùng.
Tại LinkedIn có các cấp độ khác nhau để đánh giá mức độ nghiêm trọng của sự cố. Code Yellow (mức vàng) là dạng rủi ro về mặt kỹ thuật như máy chủ quá công suất hoặc không chắc về cách mở rộng quy mô đúng cách hay sự xuống cấp của dịch vụ không gây ra sự cố ngừng hoạt động nhưng có thể xảy ra bất kỳ lúc nào.
Các tình huống mức vàng xảy ra vài tháng một lần, nhưng đội ngũ LinkedIn nhận định sự cố lần này được đánh giá là Code Red (mức đỏ), nghĩa là ảnh hưởng đến hoạt động kinh doanh vì liên quan đến việc rò rỉ dữ liệu người dùng trên mạng. Chắc chắn các dữ liệu này có thể được tiết lộ cho cả thế giới vào bất kỳ thời điểm nào.
Tôi tin rằng vào thời điểm đó, dữ liệu sẽ chỉ được gửi cho ai muốn mua chứ không miễn phí. Điều này gây ra khoảnh khắc ớn lạnh đối với bất kỳ đội ngũ bảo mật nào vì không ai biết có bao nhiêu thông tin bị đánh cắp và tên hacker sẽ định làm gì với nó. Sự lo lắng ngày càng lớn dần khi vụ việc đến tai giới truyền thông và họ đã công khai vụ xâm nhập cho cả thế giới. Trong khi đó, quá trình phân tích log của nhóm điều tra gặp vô vàn khó khăn vì có hàng triệu người truy cập trang web mỗi ngày, càng cố gắng tìm kiếm lại càng như “mò kim đáy bể”.
Tôi nghĩ ngay sau khi phát hiện ra vụ việc, LinkedIn đã báo cho FBI biết về vụ tấn công. Rất nhanh chóng, FBI yêu cầu kiểm tra các bản ghi và thẩm vấn những người có liên quan. Trong khi đó, LinkedIn nhận thấy các địa chỉ IP này kết nối từ Moscow nên họ bắt đầu truy vết địa chỉ IP đó trong mạng của mình. Nó đã kết nối đến những đâu và truy cập vào những gì.
Các kỹ sư đã xem các bản ghi nhật ký SSH, Wiki và truy cập máy chủ. Các kết nối từ IP đó cho họ biết về user agent (tác nhân người dùng) trên máy của kẻ tấn công như thông tin về hệ điều hành, loại trình duyệt và phiên bản. User agent luôn là độc nhất vô nhị trên mỗi máy tính. Và đúng là nó có từ Sputnik ở cuối, đúng là một điều bất thường.
Vì Sputnik là tên của vệ tinh đầu tiên được Nga đưa lên quỹ đạo và chưa ai từng thấy user agent này trước đó. Tôi tự hỏi liệu hacker có đặt nó như một kiểu chữ ký hay không. Có thêm thông tin này, các kỹ sư giờ có thể tìm kiếm các bản ghi cho một user agent cụ thể để xem liệu nó có bất kỳ lượt truy cập nào không, bởi có khả năng hacker không sử dụng cùng một địa chỉ IP cho mỗi lần truy cập.
Có thể hacker đã đăng nhập từ các địa chỉ IP, kênh và VPN khác nhau hoặc thứ gì đó tương tự, nhưng nếu có user agent trùng khớp thì bạn có thể biết đó là cùng một người. Tiếp theo, họ kiểm tra trang web công khai của LinkedIn để xem liệu bất kỳ ai có IP và user agent đã đăng nhập trùng khớp với bất kỳ tài khoản của người dùng trên trang linkdedin.com không. Chắc chắn, đã có một vài hành vi. Cùng một IP và user agent đã đăng nhập vào 30 tài khoản LinkedIn khác nhau qua website công khai này.
Nghĩa là hacker tìm cách bẻ khóa một số mật khẩu và đang sử dụng chúng để truy cập tài khoản LinkedIn của những người dùng này. Điều này chắc chắn khiến cho LinkedIn càng thêm quan ngại.
Quay trở lại Moscow, thực tế hacker có một bộ xử lý đồ họa (GPU) khá mạnh mẽ. Việc bẻ khóa các hàm băm mật khẩu tiêu tốn nhiều tài nguyên. Bạn phải xoay vòng hàng triệu mật khẩu, băm chúng và xem liệu những giá trị băm đó có khớp với giá trị băm trong cơ sở dữ liệu hay không. Trong khi đó, card đồ họa GPU có thể thực hiện nhiều phép tính nhỏ như vậy cùng một lúc. Khi tìm thấy mật khẩu phù hợp, hacker đăng nhập vào LinkedIn để kiểm tra và xác nhận thông tin. Các mật khẩu đều chính xác.
Quay lại trụ sở của LinkedIn, các chuyên gia bắt đầu kiểm tra máy chủ cơ sở dữ liệu. Họ phát hiện và tìm kiếm các bản ghi xem có ai đã đăng nhập vào máy chủ cơ sở dữ liệu bằng các IP, tên người dùng hoặc user agent này hay không. Cơ sở dữ liệu mà LinkedIn sử dụng vào thời điểm đó là Oracle trên hệ điều hành UNIX. Để chắc chắn hơn, họ xem có bất kỳ ai kết nối đến nó qua SSH không. Có rất nhiều bản ghi nhật ký truy cập vào máy chủ cơ sở dữ liệu của hacker, sau đó vào cơ sở dữ liệu và chạy các truy vấn trên đó. Riêng việc này đã ngốn mất của LinkedIn 6 tuần.
Tôi đang nói về phòng War Room ở tình trạng thực chiến, mức độ Code Red trong 6 tuần không ngừng nghỉ với nhiều đội ngũ, hàng chục con người rà soát hàng ngàn máy chủ, kiểm tra cả triệu bản ghi log. Nó tốn quá nhiều thời gian. Trong quãng thời gian này, họ buộc các nhân viên của LinkedIn thay đổi mật khẩu của mình. Họ tạo lại một tài khoản hoàn toàn mới cho kỹ sư có máy tính iMac bị tấn công, tái thiết lập các máy chủ để đảm bảo không còn dấu vết nào trên hệ thống. Ngoài ra, có vẻ LinkedIn đã công khai về vụ vi phạm ngay khi có thể cho người dùng hiểu có điều tồi tệ đã xảy ra.
- Tin nóng 1: Người dùng LinkedIn hãy cảnh giác, mạng xã hội này cho biết một số mật khẩu người dùng nền tảng đã bị đánh cắp và rò rỉ trên mạng
- Tin nóng 2: Một nhóm tấn công đã kiến mạng xã hội trực tuyến LinkedIn tuần này lao đao khi công khai gần 6,5 triệu mật khẩu người dùng.
Đến tháng 5 năm 2012, một tháng trước khi LinkedIn biết về vụ xâm nhập, hacker đã tấn công một trang web khác nhưng chưa rõ các bước cụ thể như thế nào. Vậy là tháng 5 năm 2012, tin tặc đã bẻ khóa khá nhiều hàm băm trong cơ sở dữ liệu đánh cắp từ LinkedIn và kiểm tra một số thông tin đăng nhập bằng cách vào LinkedIn bằng chính tên người dùng đó và đã thành công. Giả thuyết của tôi là hắn đã xem qua các mật khẩu bị bẻ khóa để tìm xem trong số đó có bất kỳ ai làm việc cho các công ty công nghệ lớn ở vị trí kỹ sư hoặc admin không, bởi tên này chuyên bán dữ liệu lớn để kiếm lời.
Những nạn nhân tiếp theo
Xem qua một lượt các mật khẩu đã được bẻ khóa, kẻ tấn công tìm ra một kỹ sư đảm bảo chất lượng làm việc cho Dropbox. Đăng nhập tài khoản và mật khẩu của anh chàng kỹ sư này trên LinkedIn đều hoạt động. Giờ thì, thử nghiệm với các tài khoản Twitter, Facebook, Google của anh chàng này xem nào. Không ngạc nhiên khi tất cả đều chung một mật khẩu. Vậy còn với tài khoản của anh ta tại Dropbox thì sao, liệu có dùng chung mật khẩu với các tài khoản trên? Tôi không chắc nhưng rõ ràng hacker đã có thể đăng nhập với tư cách là kỹ sư của Dropbox. Việc tái sử dụng một mật khẩu cho nhiều loại tài khoản chính là một lỗ hổng.Một tháng sau, khi điều tra vụ xâm nhập vào LinkedIn, FBI tìm thấy cùng địa chỉ IP hay user agent đang truy cập vào 30 tài khoản của người dùng LinkedIn. Một trong số đó thuộc nhân viên của Dropbox và họ suy đoán Dropbox có thể là mục tiêu tiếp theo. Vì vậy, FBI đã gọi cho Dropbox, cung cấp thông tin các IP và user agent để công ty này tìm kiếm. Dropbox kiểm tra log và xác nhận có những truy cập trái phép vào mạng lưới của mình từ những địa chỉ IP này với tư cách là kỹ sư kiểm soát chất lượng. Một phòng War Room được thiết lập ngay lập tức để xử lý sự cố.
Vào thời điểm năm 2012, Dropbox (công ty về dịch vụ lưu trữ dữ liệu trực tuyến) có dưới 150 nhân viên và giống như LinkedIn họ biết đây là một vụ lớn nhất từng xảy ra với công ty. Chỉ có hơn 20 người tham gia vào quá trình xử lý sự cố và họ cần thêm sự hỗ trợ từ bên ngoài, các chuyên gia về ứng cứu sự cố an ninh.
Quá trình điều tra cho thấy một kỹ sư của Dropbox có tài khoản trên dropbox.com, bị hacker kết nối vào mạng từ Nga, sau đó vào trang Wiki nội bộ của Dropbox để tìm kiếm thông tin về cách khắc phục sự cố và các chi tiết kỹ thuật khác về mạng Dropbox. Hắn cũng dùng tài khoản của kỹ sư này tự mời chính mình tham gia nhóm Dropbox và chuyển một lượng lớn các file sang tài khoản của hắn.
Tệp này là danh sách gồm 20 triệu thông tin chi tiết về người dùng Dropbox: e-mail, tên người dùng và mật khẩu băm được mã hóa. Nhưng Dropbox không chắc làm thế nào hacker có được những thứ này hay có đúng là rò rỉ từ Dropbox hay không.
Nạn nhân tiếp theo là Formspring - một công ty mạng xã hội ở Mỹ dành riêng cho việc đặt các câu hỏi liên quan đến phỏng vấn (hiện không còn hoạt động). Năm 2012, Formspring có khoảng 30 triệu tài khoản.
Vào tháng 6, hacker đã có được tài khoản và mật khẩu quản trị viên trên máy chủ của Formspring và đăng nhập vào bằng SSH. Tôi đoán hắn đã lấy cắp từ dữ liệu LinkedIn. Sau đó, hắn cài đặt chương trình độc hại madnez.php (tương tự LinkedIn) trên máy chủ để có thể quay lại bất cứ lúc nào. Hacker cũng tìm thấy Wiki nội bộ của Formspring và tìm kiếm các mật khẩu đã được băm.
Vào ngày 9 tháng 7 năm 2012, ai đó đã đăng tải tệp dữ liệu của 420.000 tài khoản Formspring lên diễn đàn ngầm theo cú pháp [email protected]. Có người đã phát hiện ra và liên hệ với một nhà báo. Anh này gọi cho Formspring để yêu cầu phản hồi nhưng công ty không hề hay biết về vụ việc. Một quy trình xử lý sự cố được Formspring thiết lập, ngoài các chuyên gia kỹ thuật tham gia điều tra còn có cả đội marketing để xử lý các vấn đề truyền thông.
Trước hết, đội ngũ an ninh của Formstring xác nhận 420.000 tài khoản này trùng khớp với cơ sở dữ liệu của họ và tin tặc có kết nối SSH vào máy chủ của họ từ một địa chỉ IP ở Nga. Họ đã xử lý tất cả các vấn đề này trong vòng 1 ngày.
Tôi đoán quy mô của Formspring nhỏ hơn LinkedIn nên họ có thể giải quyết vấn đề nhanh chóng hơn. Họ thay đổi tên đăng nhập của người dùng, xóa tệp madnez.php, thiết lập luật thay đổi mật khẩu định kỳ, luật giám sát truy cập bất thường của quản trị viên và cài đặt lại các máy chủ đã bị xâm nhập.
Trên hết, họ đã thông báo đến tất cả người dùng về vụ tấn công, yêu cầu thay đổi mật khẩu ngay lập tức và gửi cho FBI tất cả các bản ghi để hỗ trợ điều tra. Vài tuần sau, Formspring đã khôi phục lại hệ thống và mọi thứ trở lại bình thường.
Còn tiếp...
Theo Darknetdiaries
Chỉnh sửa lần cuối: