Mới đây, một nhà cung cấp dịch vụ phát hiện mã độc và các dịch vụ an ninh thông tin cao cấp tại Mỹ vừa bị cáo buộc làm thất thoát hàng terabyte dữ liệu mật của nhiều công ty trong danh sách Fortune 1000 - bao gồm thông tin đăng nhập, số liệu tài chính, thông tin tình báo và nhiều loại dữ liệu nhạy cảm khác.
Tuy nhiên, công ty an ninh này lại cho rằng họ không lấy dữ liệu nhạy cảm từ khách hàng, mà chính các khách hàng đã vô tình chia sẻ những dữ liệu nhạy cảm khi sử dụng tuỳ chọn trên đám mây của dịch vụ chống mã độc.
Trong một bài viết trên blog, công ty an ninh DirectDefense cho biết, họ phát hiện một vấn đề lớn trong giải pháp phát hiện và phản ứng các vấn đề của thiết bị đầu cuối của công ty Carbon Black. Điều đó đã làm thất thoát hàng trăm ngàn tệp dữ liệu nhạy cảm của khách hàng.
Carbon Black là công ty hàng đầu trong lĩnh vực xử lý sự cố và truy tìm nguy cơ an ninh thông tin. Công ty này đang cung cấp sản phẩm an ninh cho khoảng 30 trong số 100 công ty đại chúng và công ty tư nhân hàng đầu ở Mỹ, trong đó bao gồm những công ty dẫn đầu ở Silicon Valley trong tìm kiếm internet, mạng xã hội, công ty tài chính và cơ quan chính phủ.
Theo DirectDefense, dịch vụ CB Response là nguyên nhân dẫn đến việc làm thất thoát dữ liệu do nó dựa trên rất nhiều dịch vụ dò quét của các bên thứ ba. Dịch vụ này nhận diện các tệp là “tốt” hay “xấu” rồi tạo các danh sách trắng để ngăn khách hàng “chạy” những tệp có hại trên hệ thống của họ. Mỗi khi công cụ của Carbon Black phát hiện một tệp mới trên máy tính của khách hàng, nó sẽ tải tệp đó lên các máy chủ của Carbon Black và công ty sẽ chuyển tiếp một bản sao của tệp đó tới dịch vụ VirusTotal của Google, để hàng chục engine chống virus trên đó kiểm tra.
Tuy nhiên, theo Jim Broome – chủ tịch DirectDefense, thì VirusTotal là dịch vụ tìm kiếm lợi nhuận, tồn tại bằng cách bán quyền truy cập các công cụ dò quét đa năng cho mọi doanh nghiệp sẵn lòng trả tiền. Khách hàng của VirusTotal có thể truy cập tới công cụ dò quét đa năng và thậm chí là cả các tệp được gửi tới CSDL của nó.
Broome gọi đây là hệ thống botnet trả tiền làm rò rỉ dữ liệu lớn nhất thế giới và công ty DirectDefense phát hiện vấn đề này vào giữa năm 2016, khi xem xét một vụ việc lộ dữ liệu tiềm tàng trên máy tính của khách hàng. Khi gửi một mẫu nghi là mã độc lên VirusTotal, nhân viên của DirectDefense được biết mẫu đó liên quan đến một lô các ứng dụng nội bộ của một nhà cung cấp thiết bị viễn thông lớn.
Khi tìm hiểu kỹ hơn, họ phát hiện ra rằng các tệp đó được Carbon Black tải lên, nhờ dựa vào khoá API duy nhất của công ty này (32d05c66). Từ khoá chính đó, nhóm nghiên cứu có thể xác định hàng trăm ngàn tệp dữ liệu, chứa hàng terabyte dữ liệu.
Broome viết "Chúng tôi tải xuống khoảng 100 tệp (chúng tôi nhận thấy các tệp JAR và các script có thể được phân tích tự động dễ dàng hơn) và xử lý các tệp đó bằng các phép đối chiếu mẫu đơn giản” và “Chúng tôi đã thử ngoại suy xem các tệp đó đến từ đâu. Chúng tôi không phân tích quá kỹ và chỉ lặp lại thao tác một vài lần để xem suy đoán của mình còn đúng hay không”.
Qua phân tích các tệp tải xuống, Broome đã xác định được 3 công ty đã bị lộ lọt dữ liệu, nhưng không tiết lộ tên tuổi của các công ty đó. Dưới đây là một số thông tin mà DirectDefense cho biết về 3 công ty bị ảnh hưởng:
Đầu tiên là một công ty streaming media lớn, đã bị lộ những thông tin nhạy cảm như: Định danh Amazon Web Services và thông tin đăng nhập Access Management; Các khoá API để kết nối với Slack; Thông tin đăng nhập một lần (Single Sign On) Atlassian; Thông tin đăng nhập của người quản trị; Các khoá Google Play; Apple Store ID.
Tiếp đó là một công ty mạng xã hội, bị lộ: Các khoá gắn cứng (hardcoded) cho AWS và Azure; Các thông tin bí mật nội bộ như tên đăng nhập và mật khẩu;
Công ty thứ ba là một nhà cung cấp dịch vụ tài chính, bị lộ: Các khoá chia sẻ AWS cho phép truy cập dữ liệu tài chính của khách hàng; Các bí mật kinh doanh như mô hình tài chính và dữ liệu của khách hàng trực tiếp.
Tuy nhiên, nhà đồng sáng lập và Giám đốc kỹ thuật (CTO) của Carbon Black là Michael Viscuso đã công bố một bài viết giải thích rằng, công cụ CB Response của họ không tự động tải các tệp lên VirusTotal. Tính năng tải tệp lên VirusTotal bị vô hiệu theo mặc định và người dùng tự quyết định họ có muốn cho phép tải tệp lên đó để dò quét hay không. Viscuso cho biết, họ đã thông báo với khách hàng về những rủi ro gắn với việc chia sẻ dữ liệu. Điều này có nghĩa là các công ty đã chấp nhận việc chia sẻ dữ liệu và do đó để các tệp nhạy cảm lọt vào cơ sở dữ liệu của VirusTotal.
Broome cho rằng, vấn đề này không phải chỉ xảy ra với khách hàng của Carbon Black, các nhà cung cấp dịch vụ EDR khác cũng có thể để lộ thông tin của khách hàng theo cách giống hệt như vậy.
