(Bloomberg) – Egy kiberbiztonsági kutatócég szerint a globális számítógépes hálózatok sebezhetőségét hangsúlyozó epizódban a hackerek megszerezték a világ legnagyobb vállalkozásai által használt ázsiai adatközpontok bejelentkezési adatait, ami a kémkedés vagy szabotázs potenciális záloga .
A legtöbb olvasmány a Bloombergtől
A Resecurity Inc. szerint a korábban nem bejelentett adatgyorsítótárak e-mail-címeket és jelszavakat tartalmaznak a két legnagyobb ázsiai adatközpont-üzemeltető ügyfélszolgálati webhelyeihez: a sanghaji székhelyű GDS Holdings Ltd. és a szingapúri székhelyű ST Telemedia Global Data Centers. kiberbiztonsági szolgáltatásokat, és nyomoz a hackerek ellen. A GDS és az STT GDC körülbelül 2,000 ügyfelét érintette. A Resecurity szerint hackerek legalább ötük fiókjába bejelentkeztek, köztük Kína fő deviza- és adósságkereskedési platformjára, valamint négy másik Indiából származó fiókjába – állítja a Resecurity, amely szerint beszivárgott a hackercsoportba.
Nem világos, hogy a hackerek mit csináltak a többi bejelentkezéssel – ha egyáltalán csináltak valamit. Az információ változó számban tartalmazta a világ néhány legnagyobb vállalatának hitelesítő adatait, köztük az Alibaba Group Holding Ltd., az Amazon.com Inc., az Apple Inc., a BMW AG, a Goldman Sachs Group Inc., a Huawei Technologies Co., a Microsoft Corp., és a Walmart Inc., a biztonsági cég és a Bloomberg által áttekintett több száz oldalas dokumentum szerint.
A Resecurity megállapításaival kapcsolatos kérdésekre válaszolva a GDS nyilatkozatában azt mondta, hogy 2021-ben feltörtek egy ügyfélszolgálati webhelyet. Nem világos, hogyan jutottak hozzá a hackerek az STT GDC adataihoz. A cég azt mondta, hogy nem talált bizonyítékot arra, hogy ügyfélszolgálati portálját abban az évben feltörték. Mindkét vállalat szerint a csaló hitelesítő adatok nem jelentenek kockázatot az ügyfelek informatikai rendszerére vagy adataira nézve.
A Resecurity és az érintett négy nagy amerikai székhelyű vállalat vezetői azonban azt mondták, hogy az ellopott hitelesítő adatok szokatlan és súlyos veszélyt jelentenek, elsősorban azért, mert az ügyfélszolgálati webhelyek szabályozzák, hogy ki férhet hozzá fizikailag az adatközpontokban elhelyezett informatikai berendezésekhez. Azok a vezetők, akik a Bloomberg News-tól értesültek az incidensekről, és megerősítették az információkat biztonsági csapataikkal, akik azt kérték, hogy ne azonosítsák őket, mert nem voltak jogosultak nyilvánosan beszélni az ügyről.
Iratkozzon fel heti kiberbiztonsági hírlevelünkre, a Cyber Bulletinre itt.
A Resecurity által jelentett adatvesztés nagysága rávilágít a növekvő kockázatokra, amelyekkel a vállalatoknak szembe kell nézniük, mivel harmadik felektől függenek az adatok és informatikai berendezések elhelyezése, valamint hálózataik globális piacra jutásának elősegítése miatt. Biztonsági szakértők szerint a probléma különösen akut Kínában, ahol a vállalatoknak helyi adatszolgáltatókkal kell együttműködniük.
„Ez egy rémálom, amely megtörténik” – mondta Michael Henry, az egyik legnagyobb amerikai adatközpont-üzemeltető, a Digital Realty Trust Inc. korábbi információs igazgatója, amikor a Bloombergnek beszámolt az incidensekről. (A Digital Realty Trust-ot nem érintették az incidensek). A legrosszabb forgatókönyv bármely adatközpont-üzemeltető számára az, hogy a támadók valamilyen módon fizikailag hozzáférnek az ügyfelek szervereihez, és rosszindulatú kódokat vagy további berendezéseket telepítenek - mondta Henry. "Ha ezt el tudják érni, hatalmas mértékben megzavarhatják a kommunikációt és a kereskedelmet."
A GDS és az STT GDC azt mondta, hogy semmi jelük nem utal arra, hogy ilyesmi megtörtént, és az alapvető szolgáltatásaikat ez nem érinti.
A Resecurity szerint a hackerek több mint egy évig hozzáfértek a bejelentkezési adatokhoz, mielőtt a múlt hónapban 175,000 XNUMX dollárért feltették a sötét webre eladásra, és azt mondták, hogy le volt nyűgözve a bejelentkezési adatok mennyisége, a Resecurity és a Bloomberg által felülvizsgált bejegyzés képernyőképe. .
"Használtam néhány célpontot" - mondták a hackerek a bejegyzésben. "De ezt nem tudjuk kezelni, mivel a cégek száma meghaladja a 2,000-et."
A Resecurity szerint az e-mail címek és jelszavak lehetővé tehették volna, hogy a hackerek jogosult felhasználóknak álcázzák magukat az ügyfélszolgálati webhelyeken. A biztonsági cég 2021 szeptemberében fedezte fel az adatgyorsítótárakat, és arra is bizonyítékot talált, hogy a hackerek a GDS és STT GDC ügyfelek fiókjaihoz való hozzáférésre használták még januárban, amikor mindkét adatközpont-üzemeltető kényszerítette az ügyfelek jelszavának visszaállítását a Resecurity szerint.
A Resecurity szerint még érvényes jelszavak nélkül is értékesek lennének az adatok – lehetővé téve a hackerek számára, hogy célzott adathalász e-maileket készítsenek olyan emberek ellen, akik magas szintű hozzáféréssel rendelkeznek vállalataik hálózataihoz.
A Bloomberg News által megkeresett érintett vállalatok többsége, köztük az Alibaba, az Amazon, a Huawei és a Walmart, nem volt hajlandó nyilatkozni. Az Apple nem válaszolt a kommentárt kérő üzenetekre.
A Microsoft közleményében azt írta: „Rendszeresen figyeljük azokat a fenyegetéseket, amelyek hatással lehetnek a Microsoftra, és ha lehetséges fenyegetéseket észlelünk, megtesszük a megfelelő lépéseket a Microsoft és ügyfeleink védelme érdekében.” A Goldman Sachs szóvivője azt mondta: "További ellenőrzéseket vezettünk be az ilyen típusú jogsértések elleni védelem érdekében, és elégedettek vagyunk azzal, hogy adataink nem voltak veszélyben."
A BMW autógyártó azt mondta, hogy tudott a problémáról. A vállalat szóvivője azonban azt mondta: "Az értékelést követően a probléma nagyon korlátozott hatással van a BMW üzletágaira, és nem okozott kárt a BMW vásárlóiban és a termékkel kapcsolatos információkban." A szóvivő hozzátette: "A BMW sürgette a GDS-t, hogy javítsa az információbiztonsági szintet."
A GDS és az STT A GDC Ázsia két legnagyobb „colokation” szolgáltatást nyújtója. Bérbeadóként lépnek fel, adatközpontjaikban helyet bérelnek olyan ügyfeleknek, akik saját IT-berendezéseiket telepítik és kezelik ott, jellemzően azért, hogy közelebb kerüljenek az ügyfelekhez és az ázsiai üzleti tevékenységekhez. A Synergy Research Group Inc. szerint a GDS az első három helymegosztási szolgáltató között van Kínában, amely a szolgáltatás második legnagyobb piaca a világon az Egyesült Államok után. A Synergy Research Group Inc. szerint Szingapúr a hatodik.
A cégek is összefonódnak: egy vállalati bejelentés szerint 2014-ben a Singapore Technologies Telemedia Pte, az STT GDC anyavállalata 40%-os részesedést szerzett a GDS-ben.
Gene Yoo, a biztonsági részleg vezérigazgatója elmondta, hogy cége 2021-ben derítette fel az incidenseket, miután egyik alkalmazottja titkosan beszivárgott egy kínai hackercsoportba, amely kormányzati célpontokat támadott meg Tajvanon.
Nem sokkal ezután riasztotta a GDS-t és az STT GDC-t, valamint néhány Resecurity-ügyfelet, akiket érintett a Yoo és a dokumentumok szerint.
A Resecurity januárban ismét értesítette a GDS-t és az STT GDC-t, miután felfedezték, hogy a hackerek hozzáfértek a fiókokhoz, és a biztonsági cég akkoriban riasztotta a kínai és a szingapúri hatóságokat is a Yoo és a dokumentumok szerint.
Mindkét adatközpont-üzemeltető azt mondta, hogy azonnal reagáltak, amikor értesítették a biztonsági problémákról, és megkezdték a belső vizsgálatot.
Cheryl Lee, a Szingapúri Kiberbiztonsági Ügynökség szóvivője elmondta, hogy az ügynökség „tudatában van az incidensnek, és segíti az ST Telemédiát ebben az ügyben”. A Kínai Nemzeti Számítógépes Hálózati Vészhelyzet-reagálási Technikai Csapat/Koordinációs Központ, egy nem kormányzati szervezet, amely a számítógépes katasztrófaelhárítással foglalkozik, nem válaszolt a kommentárt kérő üzenetekre.
A GDS elismerte, hogy egy ügyfélszolgálati webhelyet megsértettek, és azt mondta, hogy 2021-ben kivizsgálta és kijavította a webhely biztonsági rését.
„A hackerek által célba vett alkalmazás hatókörében és információiban a nem kritikus szolgáltatási funkciókra korlátozódik, mint például a jegyvásárlási kérelmek benyújtása, a berendezések fizikai szállításának ütemezése és a karbantartási jelentések áttekintése” – áll a cég közleményében. „Az alkalmazáson keresztül benyújtott kérések általában offline nyomon követést és megerősítést igényelnek. Tekintettel az alkalmazás alapvető jellegére, a jogsértés nem jelentett veszélyt ügyfeleink informatikai működésére.”
Az STT GDC azt mondta, hogy külső kiberbiztonsági szakértőket vont be, amikor 2021-ben értesült az incidensről. „A szóban forgó informatikai rendszer egy ügyfélszolgálati jegyértékesítő eszköz”, és „nincs kapcsolata más vállalati rendszerekkel, illetve kritikus adatinfrastruktúrával” – közölte a cég. .
A vállalat azt mondta, hogy az ügyfélszolgálati portálját 2021-ben nem sértették meg, és a Resecurity által megszerzett hitelesítő adatok „a felhasználói hitelesítő adatok részleges és elavult listája az ügyféljegy-alkalmazásainkhoz. Az ilyen adatok most érvénytelenek, és nem jelentenek biztonsági kockázatot a jövőben.”
„Nem észleltek jogosulatlan hozzáférést vagy adatvesztést” – áll az STT GDC közleményében.
Függetlenül attól, hogy a hackerek hogyan használták fel az információkat, a kiberbiztonsági szakértők szerint a lopások azt mutatják, hogy a támadók új módokat keresnek a kemény célpontokba való behatolásra.
A harmadik felek adatközpontjaiban található IT-berendezések fizikai biztonsága és az azokhoz való hozzáférést ellenőrző rendszerek olyan sebezhetőséget jelentenek, amelyet gyakran figyelmen kívül hagynak a vállalati biztonsági osztályok – mondta Malcolm Harkins, az Intel Corp. korábbi biztonsági és adatvédelmi ajánlata. Bármilyen manipuláció az adatközpontban a felszerelés „pusztító következményekkel járhat” – mondta Harkins.
A Bloomberg News által áttekintett dokumentumok szerint a hackerek több mint 3,000 ember e-mail címét és jelszavát szerezték meg a GDS-nél – köztük saját alkalmazottai és ügyfelei –, valamint több mint 1,000 ember e-mail címét és jelszavát az STT GDC-től.
A hackerek a GDS több mint 30,000 12345 megfigyelő kamerából álló hálózatához is ellopták a hitelesítési adatokat, amelyek többsége egyszerű jelszavakra támaszkodott, mint például az „admin” vagy az „adminXNUMX” – mutatják a dokumentumok. A GDS nem foglalkozott a kamerahálózat hitelesítő adatainak állítólagos ellopásával vagy a jelszavakkal kapcsolatos kérdéssel.
Az ügyfélszolgálati webhelyek bejelentkezési hitelesítő adatainak száma a különböző ügyfelek esetében változott. Például 201 fiók volt az Alibabánál, 99 az Amazonnál, 32 a Microsoftnál, 16 a Baidu Inc.-nél, 15 a Bank of America Corp.-nál, hét a Bank of China Ltd.-nél, négy az Apple-nél és három a Goldmannél. a dokumentumok. A Resecurity Yoo szerint a hackereknek csak egy érvényes e-mail címre és jelszóra van szükségük ahhoz, hogy hozzáférjenek egy cég fiókjához az ügyfélszolgálati portálon.
A Resecurity és a dokumentumok szerint a dolgozók bejelentkezési adatait megszerezték a következők: Bharti Airtel Ltd. Indiában, Bloomberg LP (a Bloomberg News tulajdonosa), ByteDance Ltd., Ford Motor Co., Globe Telecom Inc. . a Fülöp-szigeteken a Mastercard Inc., a Morgan Stanley, a Paypal Holdings Inc., a Porsche AG, a SoftBank Corp., a Telstra Group Ltd. Ausztráliában, a Tencent Holdings Ltd., a Verizon Communications Inc. és a Wells Fargo & Co.
A Baidu nyilatkozatában azt mondta: „Nem hisszük, hogy bármilyen adat kompromittálódott volna. A Baidu nagy figyelmet fordít ügyfeleink adatbiztonságának biztosítására. Szorosan figyelemmel kísérjük az ehhez hasonló kérdéseket, és ügyelünk az adatbiztonságot fenyegető esetleges fenyegetésekre a működésünk bármely részében.”
A Porsche képviselője azt mondta: "Ebben a konkrét esetben nincs jelünk arra, hogy fennállt volna a kockázat." A SoftBank képviselője elmondta, hogy egy kínai leányvállalat tavaly abbahagyta a GDS használatát. „Nem erősítették meg, hogy a helyi kínai vállalattól ügyfélinformációk szivárogtak volna ki, és ez semmilyen hatással nem volt üzleti tevékenységére és szolgáltatásaira” – mondta a képviselő.
A Telstra szóvivője azt mondta: „Nincs tudomásunk arról, hogy ez a jogsértés bármilyen hatással lenne az üzletre”, míg a Mastercard képviselője azt mondta: „Miközben továbbra is figyelemmel kísérjük ezt a helyzetet, nem vagyunk tisztában a vállalkozásunkat érintő kockázatokkal vagy a tranzakciós hálózatunk vagy rendszereink.”
A Tencent képviselője azt mondta: „Nincs tudomásunk arról, hogy ez a jogsértés bármilyen hatással lenne az üzletre. Szervereinket közvetlenül adatközpontokon belül kezeljük, az adatközpontok üzemeltetőinek nincs hozzáférésük a Tencent szervereken tárolt adatokhoz. A vizsgálatot követően nem fedeztünk fel illetéktelen hozzáférést informatikai rendszereinkhez és szervereinkhez, amelyek továbbra is biztonságosak.”
A Wells Fargo szóvivője elmondta, hogy 2022 decemberéig a GDS-t használta tartalék IT-infrastruktúrához. „A GDS-nek nem volt hozzáférése a Wells Fargo adataihoz, rendszereihez vagy a Wells Fargo hálózatához” – közölte a vállalat. A többi cég mind elutasította a megjegyzést, vagy nem válaszolt.
A Resecurity munkatársa, Yoo elmondta, hogy januárban cége titkos munkatársa arra kérte a hackereket, hogy mutassák be, hogy még mindig hozzáférnek-e a fiókokhoz. A hackerek képernyőképeket készítettek, amelyeken öt cég fiókjába bejelentkezve és a GDS és az STT GDC online portáljainak különböző oldalaira navigálva mutatták be. A biztonság lehetővé tette a Bloomberg News számára, hogy áttekintse ezeket a képernyőképeket.
A képernyőképek és a Resecurity szerint a GDS-nél a hackerek hozzáfértek a China Foreign Exchange Trade System számlájához, amely a kínai központi bank egyik ága, amely kulcsszerepet játszik az ország gazdaságában, és amely a kormány fő deviza- és adósságkereskedelmi platformját üzemelteti. A szervezet nem válaszolt az üzenetekre.
Az STT GDC-nél a hackerek hozzáfértek a National Internet Exchange of India fiókjához, amely egy olyan szervezet, amely az ország internetszolgáltatóit köti össze, és három másik indiai székhelyű szervezet: MyLink Services Pvt., Skymax Broadband Services Pvt. és Logix InfoSecurity Pvt., a képernyőképek mutatják.
A Bloomberg által megkeresett indiai nemzeti internetes tőzsde közölte, hogy nincs tudomása az esetről, és elutasította a további megjegyzéseket. A többi indiai szervezet egyike sem válaszolt a megjegyzéskérésekre.
Arra az állításra vonatkozó kérdésre, miszerint a hackerek még januárban is hozzáfértek a fiókokhoz az ellopott hitelesítő adatokkal, a GDS képviselője azt mondta: „A közelmúltban több új támadást észleltünk hackerektől a régi fiókhozzáférési adatok felhasználásával. Különféle technikai eszközöket használtunk ezeknek a támadásoknak a megakadályozására. Eddig nem találtunk újabb sikeres betörést hackerek részéről, ami a rendszerünk sebezhetőségének tudható be.”
A GDS képviselője hozzátette: „Amint tudjuk, egyetlen ügyfél nem állította vissza fiókja jelszavát ehhez az alkalmazáshoz, amely egy volt alkalmazottjaé volt. Ez az oka annak, hogy a közelmúltban az összes felhasználó jelszavának visszaállítását kényszerítettük. Úgy gondoljuk, hogy ez elszigetelt esemény. Ez nem annak a következménye, hogy hackerek áttörték a biztonsági rendszerünket.”
Az STT GDC közölte, hogy januárban értesítést kapott az ügyfélszolgálati portálokat érintő további fenyegetésekről „indiai és thaiföldi régióinkban”. "Eddig végzett vizsgálataink azt mutatják, hogy nem volt adatvesztés vagy hatás az ügyfélszolgálati portálok egyikére sem" - mondta a cég.
Január végén, miután a GDS és az STT GDC megváltoztatta az ügyfelek jelszavát, a Resecurity észrevette, hogy a hackerek egy sötét webes fórumon angol és kínai nyelven tették közzé az adatbázisokat eladásra, Yoo szerint.
"A DB-k ügyféladatokat tartalmaznak, adathalászatra, szekrények elérésére, rendelések és berendezések figyelésére, távoli kézbesítésre használhatók" - áll a bejegyzésben. „Ki tud segíteni a célzott adathalászatban?”
A Bloomberg Businessweek legolvasottabb oldala
© 2023 Bloomberg LP
Forrás: https://finance.yahoo.com/news/hackers-scored-data-center-logins-020028440.html