Bài học từ vụ hãng tín dụng Equifax bị hack

 
Equifax, một trong ba tổ chức đánh giá tín dụng lớn nhất của Mỹ, hôm 7/9 vừa qua đã thông báo bị hacker xâm nhập vào hệ thống thông qua một lỗ hổng bảo mật trên trang web của mình, gây ảnh hưởng tới 143 triệu khách hàng. Vụ vi phạm được phát hiện hôm 29/7, nhưng công ty  cho rằng sự việc diễn ra bắt đầu từ giữa tháng 5 cho đến tháng 7.

Theo công bố của công ty, những thông tin bị đánh cắp bao gồm tên khách hàng, số an sinh xã hội, ngày sinh, địa chỉ, và thậm chí cả giấy phép lái xe. Ngoài ra, 209.000 người tiêu dùng còn bị lộ dữ liệu thẻ tín dụng. Thông tin rò rỉ còn bao gồm các tài liệu tranh chấp kèm theo thông tin nhận dạng cá nhân của khoảng 182.000 khách hàng. Equifax cũng xác định những kẻ xâm nhập trái phép còn tiếp cận một số hồ sơ cá nhân của các công dân Anh và Canada.

So với những vụ tin tặc tấn công đình đám gần đây, tiêu biểu như 1 tỷ tài khoản người dùng Yahoo bị lộ địa chỉ email và mật khẩu truy cập trong năm 2013, thì số khách hàng bị ảnh hưởng trong vụ hack vào Equifax khiêm tốn hơn nhiều. Tuy nhiên, hậu quả vụ hack lần này được đánh giá là hết sức nghiêm trọng bởi mức độ nhạy cảm của thông tin cá nhân bị rò rỉ.

Một số nhà quan sát tỏ ra lo ngại cho 143 triệu người dân Mỹ bị ảnh hưởng trong vụ hack Equifax. Số an sinh xã hội có thể bị kẻ xấu lợi dụng để đánh cắp nhận dạng, gây thiệt hại cho cá nhân liên quan. Thông tin về tài chính cá nhân, các khoản vay ngân hàng và thẻ tín dụng có thể bị hacker giao dịch trên chợ đen để kiếm lợi bất chính. Những báo cáo tín dụng cá nhân một khi bị công khai cũng sẽ gây ảnh hưởng cho những người nổi tiếng, chính trị gia, nhà hoạt động xã hội. Hồi năm 2013, một số quan chức Mỹ và sao Hollywood từng bị một phen tá hỏa khi hacker tung hê lên mạng thông tin tài chính cá nhân của họ.

Các nhà quan sát đánh giá đây là vụ rò rỉ thông tin tồi tệ nhất trong những năm gần đây. Những vụ vi phạm trước đây đã phát hiện ra như Target, eBay, Home Depot không đáng sợ bằng, vì những kẻ xâm nhập hầu như chỉ mới đánh cắp địa chỉ email và mật khẩu, có thể là cả thông tin thẻ tín dụng.

Rốt cuộc, như thường lệ, câu hỏi lớn nổi lên ở đây là: Equifax đã bị hack như thế nào?

‘Chết’ vì ‘quên’ bản vá

Cũng như rất nhiều vụ xâm nhập mạng bất hợp pháp trong những năm gần đây, hệ thống Equifax thất thủ theo báo cáo là do một lỗ hổng bảo mật: Hacker đã lợi dụng một lỗ hổng chưa được vá trong Apache Struts, một framework lập trình mã nguồn mở vốn thường được sử dụng trong các tổ chức lớn để phát triển ứng dụng web.

Thực tế, lỗ hổng Apache Struts (CVE-2017-9805) và một lỗ hổng khác là CVE-2017-5638 đã được công bố và gần đây đã có bản vá nhưng vẫn bị tin tặc lợi dụng khai thác để phát tán mã độc. Hôm 12/9, Equifax đã xác nhận CVE-2017-5638 là lỗ hổng Apache Struts bị tin tặc khai thác, công ty cũng đồng thời đưa bản cập nhật lên trang web của mình. Như vậy, tự bản thân sự việc đã nói lên rằng Equifax “quên” cập nhật bản vá lỗ hổng bảo mật trước đó.

Sự chủ quan còn thể hiện trong phản ứng của công ty, đó là công khai vụ việc quá chậm (sau hơn 5 tuần mới công bố vụ vi phạm và lượng dữ liệu bị đánh cắp). Cách thức công bố thông tin trên trang web Equifaxsecurity2017.com lại không gây sự tin cậy cho khách hàng vì có vẻ như không “chính chủ”. Chưa kể là trang web được dùng để công bố thông tin vi phạm dữ liệu lại được phát triển trên WordPress vốn là nền tảng quản lý nội dung không được đánh giá cao về tính bảo mật.

Dường như khó mà tin được một công ty chuyên theo dõi và đánh giá tín dụng hàng đầu của Mỹ mà hệ thống dữ liệu không được bảo vệ đầy đủ, phản ứng chậm chạp. Nhưng thực tế đúng như vậy, và đây không phải là trường hợp cá biệt. Như các chuyên gia bảo mật vẫn thường cảnh báo, trong khi tin tặc ngày càng tỏ ra nguy hiểm thì các tổ chức, doanh nghiệp vẫn tiếp tục lơ là, hoặc đầu tư chưa đủ cho lĩnh vực an ninh, an toàn thông tin.

Cần phát hiện sớm xâm phạm bất hợp pháp

Equifax rõ ràng đã phạm sai lầm lớn trong công tác bảo vệ dữ liệu, cụ thể trong trường hợp này là chậm cập nhật bản vá. Nhưng qua đây cũng thấy nổi lên sự cần thiết của việc phát hiện sớm sự xâm nhập bất hợp pháp. Theo cảnh báo của các chuyên gia bảo mật thì mọi hàng rào kỹ thuật ngày nay đều có thể bị hacker xuyên thủng, vấn đề chỉ là thời gian. Chính vì vậy, để giảm thiểu thiệt hại, cần phải phát hiện sớm sự xâm nhập. Thậm chí, có quan điểm còn đặt tầm quan trọng của việc phát hiện trên cả hệ thống bảo vệ, phải xây dựng được cơ chế phát hiện nội tại để xác định khi nào thì hệ thống phòng thủ thất bại.

Với những công ty như Equifax dữ liệu là hết sức quan trọng, mối quan tâm lớn nhất không gì khác ngoài bảo đảm an toàn, an ninh thông tin, và mọi động thái truy cập dữ liệu đều phải được giám sát kỹ lưỡng. Vì thế 143 triệu hồ sơ dữ liệu bị truy cập bất hợp pháp trong một thời gian ngắn thật khó chấp nhận. Không có bất kỳ lý do gì để sao chép toàn bộ dữ liệu đó, và có nhiều công cụ để phát hiện một lượng lớn dữ liệu bị “tuồn” ra ngoài. 

Ngoài ra còn có các công cụ phát hiện sự thỏa hiệp của hệ thống hay các ứng dụng đang chạy trên hệ thống đó. Nếu Apache Struts đã bị thao túng thì cần phải điều chỉnh ngay khi phát hiện ra điều đó. Lỗ hổng bảo mật bị lợi dụng trong trường hợp này đã được công bố và đã có bản vá. Kiến trúc kỹ thuật của một cơ sở hạ tầng trọng yếu cần được giám sát liên tục đối với mọi kiểu thỏa hiệp.

Phân tích mạng cũng có thể phát hiện những hoạt động bất thường, trong đó có hoạt động ngang hàng (peer-to-peer) thường liên quan đến các mối đe dọa thường trực (APT). Những năm gần đây, các chuyên gia bảo mật liên tục cảnh báo đây là mối nguy tiềm tàng với mọi tổ chức, và phát triển liên tục ngày càng tinh vi. Những tổ chức như Equifax cần sử dụng các công cụ dò tìm để kịp thời phát hiện những hoạt động mạng bất thường để thấy được những hoạt động bất thường.

Các chuyên gia khuyên rằng, phân tích hành vi cũng là một khả năng phát hiện khác cần được chuẩn bị cho bất kỳ môi trường nào có thông tin nhạy cảm. Trong trường hợp Equifax, nếu có lỗ hổng bảo mật trong ứng dụng giao diện web, cần có khả năng phát hiện những kiểu truy cập bất thường cho dù đó là kiểu truy cập hay thao tác dữ liệu nào.

Cũng như với các biện pháp bảo vệ, các công cụ phát hiện không phải lúc nào cũng thành công, và vấn đề của bạn là cần hiểu những gì có khả năng phát hiện, những thỏa hiệp nếu có.

Nhìn chung, các tổ chức cần nhận thức rằng, các chương trình bảo mật tốt đòi hỏi một chiến lược toàn diện cho cả bảo vệ, phát hiện và phản ứng.

PC WORLD VN, T10/2017