440 triệu hồ sơ dữ liệu của đại gia mỹ phẩm Estee Lauder bị lộ: Tại sao ngày càng nhiều công ty lớn có lỗ hổng về dữ liệu người dùng?
Cơ sở dữ liệu bị lộ dường như ngày càng phổ biến. Tôi đã từng báo cáo về cách 250 triệu hồ sơ khách hàng của Microsoft bị lộ, dữ liệu của 419 triệu người dùng Facebook được tìm thấy trên cơ sở dữ liệu không bảo mật và, sốc nhất là toàn bộ 16,6 triệu dân của Ecuador đã bị rò rỉ trực tuyến theo cách tương tự.
Vào ngày 30 tháng 1, nhà nghiên cứu bảo mật Jeremiah Fowler đã phát hiện ra một cơ sở dữ liệu trực tuyến có chứa "một lượng lớn hồ sơ".
Cơ sở dữ liệu trực tuyến đó không được thiết lập bảo mật mật khẩu, chứa tổng cộng 440.336.852 hồ sơ và được kết nối với ông trùm mỹ phẩm Estee Lauder có trụ sở tại New York .
Công ty đã ban hành thông cáo sau:
"Vào ngày 30 tháng 1 năm 2020, chúng tôi biết có một số lượng nhỏ các địa chỉ email không phải người tiêu dùng từ một nền tảng giáo dục có thể truy cập tạm thời qua internet. Đây không phải là dữ liệu người tiêu dùng. Chúng tôi không tìm thấy bằng chứng về việc sử dụng trái phép dữ liệu tạm thời có thể truy cập. Estee Lauder rất coi trọng quyền riêng tư và bảo mật dữ liệu. Ngay khi biết tin, chúng tôi đã ngay lập tức hành động để bảo mật dữ liệu và thông báo cho các bên thích hợp."
Năm ngoái tôi đã viết bài "làm thế nào mà 198 triệu hồ sơ người mua xe đã bị lộ trên mạng trong một vụ rò rỉ dữ liệu lớn". Người đứng sau câu chuyện đó là Jeremiah Fowler, một nhà nghiên cứu bảo mật cấp cao tại Security Discovery. Vì vậy, khi Fowler liên lạc với tôi sáng sớm nay tin tức về một vụ rò rỉ lớn hơn gấp đôi: "Cơ sở dữ liệu dường như là một hệ thống quản lý nội dung, hệ thống này chứa mọi thứ từ cách các kết nối hoạt động, các tham chiếu tới tài liệu nội bộ, dữ liệu ma trận bán hàng,... Ngay khi tôi nhìn thấy địa chỉ email, tôi đã có thể xác thực đây là những người thật và ngay lập tức liên hệ với Estee Lauder."
Estee Lauder nhanh chóng đóng quyền truy cập vào cơ sở dữ liệu
Theo kinh nghiệm của Fowler đây không phải là chuyện hiếm khi xảy ra khi giao dịch với các công ty lớn.
"Khi tôi gọi cho một công ty hoặc tổ chức, điều đầu tiên tôi hỏi là 'tôi có thể nói chuyện với ai để báo cáo sự cố dữ liệu', nhưng bạn sẽ bị sốc khi có nhiều công ty không có điều lệ nào khi dữ liệu bị lộ." Tôi thì không bị sốc. Tôi e là tôi đã nghe quá nhiều câu chuyện tương tự từ nhiều nhà nghiên cứu trong những năm qua. Fowler nói: "Tôi đã mất gần 2 giờ để điện thoại được chuyển đến nhiều thư thoại khác nhau cho đến khi cuối cùng cũng có người nghiêm túc nhận ra rằng tôi không phải là người bán hàng qua điện thoại."
Tuy nhiên, team bảo vệ dữ liệu và quyền riêng tư của Estee Lauder liên lạc qua email và đã hứa hẹn sẽ điều tra: "Họ đã phản ứng nhanh và hạn chế truy cập công cộng vào cùng ngày tôi thông báo cho họ. Họ đóng nhanh đến mức tôi không thể đọc kỹ nhiều thư mục nữa. Tuy nhiên, toàn bộ cơ sở dữ liệu có thể truy cập được đối với bất kỳ ai kết nối internet, vì vậy bất kỳ ai cũng có khả năng truy cập hoặc đánh cắp dữ liệu trong khi nó không được bảo vệ."
Theo báo cáo của mình về vụ việc, Fowler đã phát hiện 440.336.852 nhật ký và hồ sơ đáng lý ra không nên bị lộ công khai, bao gồm cả email của người dùng ở dạng văn bản thuần túy. Cũng như các tài liệu tham khảo của báo cáo và tài liệu nội bộ khác, Fowler cho biết địa chỉ IP, cổng kết nối, đường dẫn và thông tin lưu trữ mà "tội phạm mạng có thể khai thác để truy cập sâu hơn vào hệ thống" cũng bị lộ.
Cơ sở dữ liệu bị lộ dường như ngày càng phổ biến. Tôi đã từng báo cáo về cách 250 triệu hồ sơ khách hàng của Microsoft bị lộ, dữ liệu của 419 triệu người dùng Facebook được tìm thấy trên cơ sở dữ liệu không bảo mật và, sốc nhất là toàn bộ 16,6 triệu dân của Ecuador đã bị rò rỉ trực tuyến theo cách tương tự.
Bản chất của việc dữ liệu Estee Lauder bị lộ là gì?
Tôi hỏi Fowler liệu rằng anh ta có thể nói rõ hơn bản chất của việc dữ liệu bị lộ không. Anh nói: "Có hàng triệu hồ sơ liên quan đến phần mềm trung gian được sử dụng bởi công ty Estée Lauder". Quản lý dữ liệu, dịch vụ ứng dụng, tin nhắn và quản lý API đều được xử lý bởi phần mềm trung gian. Fowler nói: "Mối nguy hiểm khi bị lộ ra là thực tế phần mềm trung gian có thể tạo ra một đường dẫn phụ cho phần mềm độc hại thông qua đó các ứng dụng và dữ liệu có thể bị xâm phạm." Trong trường hợp này, bất kỳ ai có kết nối internet đều có thể xem các phiên bản đang được sử dụng gì, các đường dẫn và thông tin khác.
Cơ sở dữ liệu Estee Lauder không chứa gì?
Theo hiểu biết của Fowler, cơ sở dữ liệu bị lộ không có là bất kỳ dữ liệu thanh toán hoặc thông tin nhân viên nhạy cảm nào. Tuy nhiên, trong điều kiện quyền truy cập cơ sở dữ liệu đã bị đóng trước khi anh ta có thể xác nhận tất cả 440 triệu hồ sơ. Fowler nói: "Vì hiểu rằng mỗi giây đều có giá trị khi gặp rủi ro dữ liệu bị rò rỉ, ưu tiên hàng đầu của chúng tôi là cảnh báo Estée Lauder."