Quá trình tấn công vào hệ thống của Onus được CyStack - đối tác bảo mật và an ninh mạng của nền tảng này - công bố tối 28/12. Theo đó, dữ liệu của hai triệu người dùng bị rao bán trên mạng ngày 25/12, nhưng vụ tấn công được bắt đầu tiến hành từ trước đó hai tuần, hôm 11/12.
Đây cũng là lúc lỗ hổng "lớn nhất thập kỷ" Log4Shell được công bố. Theo giải thích của các chuyên gia, hacker đã khai thác lỗ hổng nguy hiểm này để thâm nhập vào Cyclos - công cụ thanh toán được liên kết với Onus, từ đó có được mã khóa để truy cập vào hệ thống lưu trữ của nền tảng này. Các đơn vị liên quan đã thực hiện vá lỗi, nhưng chậm hơn hacker một bước, đồng thời có sai lầm trong việc cấu hình, nên tạo điều kiện để hacker truy cập được vào toàn bộ cơ sở dữ liệu của người dùng.
Hacker khai thác dữ liệu người dùng của dự án Onus từ lỗ hổng Log4Shell.
Đến ngày 14/12, Cyclos thông báo tới Onus về lỗ hổng trên kèm hướng dẫn khắc phục. Tuy nhiên khi đó, kẻ tấn công đã kịp để lại "cửa hậu" trên hệ thống này, từ đó tìm được tới một tệp tin quan trọng chứa tài khoản truy cập hệ thống lưu trữ.
Onus sử dụng hệ thống lưu trữ Bucket S3 do Amazon Web Services cung cấp. Theo các chuyên gia bảo mật, ngoài việc khắc phục lỗ hổng chậm một bước, Onus còn mắc "sai lầm nghiêm trọng" khi lưu khóa truy cập toàn quyền trong tệp tin nói trên, giúp kẻ tấn công tùy ý thao túng và dễ dàng xóa toàn bộ dữ liệu trong các Bucket S3.
Hacker vndcio xác nhận quá trình tấn công trên, trong đó việc khai thác xuất phát từ lỗ hổng Log4Shell. Trong bài rao bán dữ liệu, tài khoản vndcio cũng cho biết đã xóa toàn bộ các tệp tin trên ở máy chủ của Onus khiến dự án này phải tiến hành khôi phục lại dữ liệu.
Báo cáo của CyStack cũng đưa ra nhận định hacker là người Việt, khi một số câu lệnh viết nhầm "w" thành "ư". Ngoài ra, người này được cho là đã "gửi đe dọa tống tiền 5 triệu USD tới Onus thông qua Telegram". Tuy nhiên, vndcio không bình luận về việc này.
Log4Shell là lỗ hổng được tìm thấy trong file log4j, tập tin ghi lại nhật ký hoạt động (log) của các ứng dụng thường dùng để truy vết lỗi. Đến nay, hầu hết các hệ thống bảo mật đều có một file nhật ký như vậy. Log4j nằm trong phần mềm mã nguồn mở do Apache phát hành và được sử dụng trên hàng loạt máy chủ khắp thế giới.
Vụ rò rỉ dữ liệu Onus là một trong những sự cố có quy mô lớn nhất liên quan đến lỗ hổng Log4Shell tại Việt Nam được công khai. Onus tiền thân là ứng dụng ví VNDC, được nhiều người Việt sử dụng để đầu tư như tiền điện tử hoặc chứng khoán. Theo đại diện đơn vị này, ứng dụng Onus có hơn 2 triệu người sử dụng, trong đó 80% là người Việt. Khoảng 700 nghìn người đã KYC - tức cung cấp ảnh hộ chiếu, căn cước công dân, ảnh hoặc video để để xác minh danh tính. Vụ tấn công khiến dữ liệu của người dùng như tên, email, số điện thoại, địa chỉ, KYC, mật khẩu mã hóa, lịch sử giao dịch... bị đánh cắp. Tài sản của người dùng được khẳng định là không bị ảnh hưởng.
PT (Theo Vnexpress)
10:00 | 22/12/2021
10:00 | 21/12/2021
16:00 | 16/12/2021
14:00 | 25/04/2024
Nhóm tình báo mối đe dọa Threat Intelligence của Microsoft cho biết, các tác nhân đe dọa đang tích cực khai thác các lỗ hổng nghiêm trọng trong OpenMetadata để có quyền truy cập trái phép vào khối lượng workload trong Kubernetes và lạm dụng chúng cho hoạt động khai thác tiền điện tử.
09:00 | 28/02/2024
Đội ngũ chuyên gia an ninh mạng tại Kaspersky liên tục theo dõi sự phức tạp của các mối đe dọa đối với tổ chức tài chính, bao gồm cả ngân hàng và các mối đe dọa có động cơ tài chính như phần mềm tống tiền đang lan rộng đến nhiều ngành công nghiệp khác nhau. Trong bài viết này, các chuyên gia bảo mật Kaspersky sẽ đánh giá lại các dự đoán của họ trong năm 2023 và đưa ra những xu hướng dự kiến sẽ nổi lên trong năm 2024.
08:00 | 06/02/2024
GitLab vừa phát hành các bản vá lỗi để giải quyết một lỗ hổng bảo mật nghiêm trọng trong phiên bản dành cho cộng đồng (CE) và phiên bản dành cho doanh nghiệp (EE). Lỗ hổng có thể bị khai thác để ghi các tệp tùy ý trong khi tạo workspace.
07:00 | 08/01/2024
Mới đây, các nhà nghiên cứu an ninh mạng tới từ công ty bảo mật di động ThreatFabric (Hà Lan) cho biết một phiên bản cập nhật mới của Trojan ngân hàng Android có tên là Chameleon đang mở rộng mục tiêu nhắm tới người dùng ở Anh và Ý. Trojan này được phân phối thông qua Zombinder - một loại phần mềm Dropper dưới dạng dịch vụ (DaaS). Bài viết này sẽ tập trung phân tích biến thể mới của Chameleon với khả năng đặc biệt vượt qua tính năng xác thực sinh trắc học.
Một nhóm tin tặc được cho là từ Việt Nam đang nhắm mục tiêu vào các tổ chức tài chính ở châu Á để đánh cắp các dữ liệu tài chính.
10:00 | 24/04/2024