Logo Zephyrnet

Trí thông minh dữ liệu tạo

An ninh mạng

Hacker đánh cắp danh tính Capital One cuối cùng cũng bị kết tội

Được xuất bản lại bởi Plato
Được xuất bản lại bởi Plato

Ngày:

Lượt xem: 223

by
Paul Ducklin

Còn nhớ vụ vi phạm Capital One không?

Chúng tôi đã làm, mặc dù chúng tôi cảm thấy chắc chắn rằng nó đã xảy ra từ lâu.

Thật vậy, khi chúng tôi kiểm tra, nó có: câu chuyện lần đầu tiên vỡ lở gần ba năm trước, trở lại vào tháng 2019 năm XNUMX.

Vào thời điểm đó, công ty đã báo cáo:

Capital One Financial Corporation đã thông báo […] rằng vào ngày 19 tháng 2019 năm XNUMX, họ đã xác định có sự truy cập trái phép bởi một cá nhân bên ngoài đã lấy được một số loại thông tin cá nhân liên quan đến những người đã đăng ký sản phẩm thẻ tín dụng của công ty và khách hàng sử dụng thẻ tín dụng Capital One .

Và chúng tôi lưu ý rằng:

Cho đến nay, không có chi tiết nào cho thấy loại lỗ hổng nào đã được khai thác và do đó không có dấu hiệu nào về những gì hiện đã được thay đổi và các bản sửa lỗi có thể lâu dài hoặc hiệu quả như thế nào.

Sự vi phạm có phải do lỗi bảo mật chưa được vá, lựa chọn mật khẩu kém, kiểm soát truy cập không chính xác, lỗi cấu hình liên quan đến đám mây hay gì?

Tất cả những gì chúng tôi biết trước đó là đây là một vi phạm lớn đối với bất kỳ tiêu chuẩn nào, ảnh hưởng ít nhất đến:

  • 100,000,000 người dùng ở Hoa Kỳ
  • 6,000,000 người dùng ở Canada
  • Bất kỳ người tiêu dùng hoặc doanh nghiệp nhỏ nào đã đăng ký thẻ tín dụng trong 14 năm trước đó.
  • Dữ liệu cá nhân bao gồm tên, địa chỉ, mã zip, số điện thoại, địa chỉ email, ngày sinh và thu nhập.

Một số khách hàng cũng bị mất các thông tin cá nhân như điểm tín dụng, hạn mức tín dụng, số dư, lịch sử thanh toán, thông tin liên hệ, số an sinh xã hội (SSN) và số tài khoản ngân hàng.

May mắn thay, nếu đó là từ thích hợp trong trường hợp như thế này, “chỉ” khoảng 150,000 nạn nhân thực sự bị lộ SSN (ở Mỹ, SSN là số ID quốc gia duy nhất suốt đời), nghĩa là khoảng 99.9% nạn nhân thoát khỏi số phận đó.

Chi phí của vi phạm

Sự vi phạm này khiến Capital One phải trả giá đắt theo nhiều cách.

Mặc dù bản thân công ty đã là nạn nhân của tội phạm mạng, nhưng cuối cùng nó vẫn bị thiệt hại với 190,000,000 đô la giải quyết vụ kiện tập thể cộng với một $ 80,000,000 tiền phạt từ Văn phòng Biên soạn Tiền tệ Hoa Kỳ (OCC).

OCC lưu ý:

[Chúng tôi] đã thực hiện những hành động này dựa trên sự thất bại của ngân hàng trong việc thiết lập các quy trình đánh giá rủi ro hiệu quả trước khi chuyển các hoạt động công nghệ thông tin quan trọng sang môi trường đám mây công cộng và ngân hàng không sửa chữa các thiếu sót kịp thời. Khi thực hiện hành động này, OCC đã tích cực xem xét các nỗ lực khắc phục và thông báo với khách hàng của ngân hàng.

Như bạn sẽ thấy từ nhận xét của OCC ở trên, vi phạm cuối cùng là do bảo mật đám mây kém, với dữ liệu dường như bị lộ do được chuyển từ một kho dữ liệu do tư nhân kiểm soát sang đám mây.

Tất nhiên, không có lý do gì khiến việc triển khai đám mây công cộng không thể được thực hiện một cách an toàn, nhưng hậu quả tiềm ẩn nếu nó không phải là rất lớn.

Một máy chủ đám mây hiển thị công khai mở ra cho nhiều phạm vi thăm dò, tấn công và hack rộng hơn - những gì được gọi trong biệt ngữ là “có bề mặt tấn công lớn hơn và lộ liễu hơn nhiều”.

Thật hấp dẫn, sự thật rằng đây là một vụ vi phạm liên quan đến đám mây nhanh chóng được tiết lộ sau khi Capital One thông báo cho khách hàng của mình về cuộc tấn công, vì thủ phạm bị cáo buộc đã sớm bị bắt.

Quét "chống bảo mật" trên đám mây

Paige Thompson, lúc đó 33 tuổi, bị buộc tội tấn công, dường như sử dụng cái mà bạn có thể gọi là công cụ “chống bảo mật” do chính cô ấy nghĩ ra để quét các nhà cung cấp dịch vụ đám mây để tìm các dịch vụ dễ bị tấn công và bị định cấu hình sai, và từ đó khôi phục thông tin xác thực truy cập, có được quyền truy cập, truy xuất dữ liệu và xâm nhập phần mềm độc hại.

Vào thời điểm đó, Bộ Tư pháp Hoa Kỳ (DOJ) gợi ý rằng Thompson đã không cố gắng bán dữ liệu bị đánh cắp, nhưng cô ấy đã sử dụng các dịch vụ bị xâm phạm cho những gì được gọi là cryptojacking.

Đó là nơi kẻ gian cố tình cài đặt phần mềm đào tiền mã hóa trên thiết bị của người khác - từ máy tính xách tay và điện thoại di động, thông qua các thiết bị chơi game mạnh mẽ, đến các máy chủ vật lý và ảo.

Các nạn nhân cuối cùng phải trả tiền điện, thời gian làm mát và máy chủ, trong khi những kẻ tội phạm tích lũy bất kỳ loại tiền điện tử nào kiếm được trong quá trình này.

Dù sao, DOJ vừa thông báo rằng Thompson hiện đã bị kết án, mặc dù cô ấy sẽ chỉ bị kết án vào tháng 2022 năm XNUMX:

Thompson bị kết tội gian lận, XNUMX tội danh truy cập trái phép vào máy tính được bảo vệ và làm hỏng máy tính được bảo vệ. Bồi thẩm đoàn cho rằng cô không phạm tội gian lận thiết bị truy cập và làm trầm trọng thêm hành vi trộm cắp danh tính.

Sử dụng chính từ ngữ của Thompson trong các văn bản và cuộc trò chuyện trực tuyến, các công tố viên đã chỉ ra cách Thompson sử dụng một công cụ mà cô ấy đã xây dựng để quét các tài khoản Amazon Web Services để tìm kiếm các tài khoản bị định cấu hình sai. Sau đó, cô sử dụng các tài khoản bị định cấu hình sai đó để xâm nhập và tải xuống dữ liệu của hơn 30 thực thể, bao gồm cả ngân hàng Capital One. Với một số quyền truy cập bất hợp pháp của mình, cô ấy đã trồng phần mềm khai thác tiền điện tử trên các máy chủ mới với thu nhập từ việc khai thác sẽ được chuyển vào ví trực tuyến của cô ấy. Thompson đã dành hàng trăm giờ để tiến hành kế hoạch của mình và khoe khoang về hành vi bất hợp pháp của mình với những người khác qua tin nhắn hoặc diễn đàn trực tuyến.

Theo lời của DOJ, “Khác với việc trở thành một hacker có đạo đức khi cố gắng giúp các công ty bảo mật máy tính của họ, cô ấy đã khai thác những sai lầm để đánh cắp dữ liệu có giá trị và tìm cách làm giàu cho bản thân”.

Phải làm gì?

  • Nếu bạn muốn bắt đầu về an ninh mạng, hãy đọc các quy tắc và làm theo chúng. Nhiều công ty công khai xác nhận "hack" theo kiểu nghiên cứu chống lại hệ thống của họ và đề nghị trả cái gọi là tiền thưởng lỗi cho các nhà nghiên cứu đạo đức, những người báo cáo có trách nhiệm bất kỳ lỗ hổng nào họ tìm thấy để chúng có thể được sửa trước khi chúng có thể bị tội phạm mạng khai thác. Nhưng các chương trình tiền thưởng lỗi hầu như luôn có các quy tắc rõ ràng và giới hạn rõ ràng đối với những gì được coi là trong phạm vi. Nếu bạn không tuân theo các quy tắc (ví dụ: nếu bạn cố gắng sử dụng phát hiện của mình như một hình thức "tống tiền lỗi" hoặc nếu bạn cố tình làm gián đoạn dịch vụ hoặc đánh cắp dữ liệu khi điều đó không cần thiết để chứng minh quan điểm của bạn) thì bạn không chắc sẽ được đối xử với nhiều thiện cảm.
  • Thường xuyên và thường xuyên quét các tài sản trực tuyến của riêng bạn để tìm các điểm yếu về bảo mật. Như trường hợp này cho thấy, nếu bạn không quét tài nguyên đám mây của mình để tìm lỗi cấu hình và dữ liệu bị lộ, thì kẻ gian sẽ làm điều đó cho bạn.
  • Thực hành những gì bạn sẽ nói và cách bạn sẽ phản ứng nếu bạn bị vi phạm. Mặc dù Capital One đã kết thúc với khoản phạt 80 triệu đô la trong trường hợp này, các nhà quản lý đã lưu ý rằng họ “xem xét tích cực các nỗ lực khắc phục và thông báo khách hàng của ngân hàng”, có nghĩa là mọi thứ gần như chắc chắn sẽ tồi tệ hơn nhiều nếu Capital One cố gắng quét sạch những thứ dưới thảm. Phản ứng kịp thời cũng có thể giúp cơ quan thực thi pháp luật có cơ hội thu thập bằng chứng trước khi nó có thể bị tiêu hủy.

Lập kế hoạch trong trường hợp bạn thất bại không có nghĩa là bạn đang dự định thất bại, và có thể bạn sẽ thấy rằng sự chuẩn bị của bạn giúp ít có khả năng thất bại hơn.

tại chỗ_img

Tin tức mới nhất

tại chỗ_img

Bản quyền @ 2024 Plato Technologies Inc.

Trò chuyện trực tiếp với chúng tôi (chat)

Chào bạn! Làm thế nào để tôi giúp bạn?