440 triệu hồ sơ dữ liệu của đại gia mỹ phẩm Estee Lauder bị lộ: Tại sao ngày càng nhiều công ty lớn có lỗ hổng về dữ liệu người dùng?

13/02/2020 03:59 PM | Kinh doanh

Cơ sở dữ liệu bị lộ dường như ngày càng phổ biến. Tôi đã từng báo cáo về cách 250 triệu hồ sơ khách hàng của Microsoft bị lộ, dữ liệu của 419 triệu người dùng Facebook được tìm thấy trên cơ sở dữ liệu không bảo mật và, sốc nhất là toàn bộ 16,6 triệu dân của Ecuador đã bị rò rỉ trực tuyến theo cách tương tự.

440 triệu hồ sơ dữ liệu của đại gia mỹ phẩm Estee Lauder bị lộ: Tại sao ngày càng nhiều công ty lớn có lỗ hổng về dữ liệu người dùng?

Vào ngày 30 tháng 1, nhà nghiên cứu bảo mật Jeremiah Fowler đã phát hiện ra một cơ sở dữ liệu trực tuyến có chứa "một lượng lớn hồ sơ".

Cơ sở dữ liệu trực tuyến đó không được thiết lập bảo mật mật khẩu, chứa tổng cộng 440.336.852 hồ sơ và được kết nối với ông trùm mỹ phẩm Estee Lauder có trụ sở tại New York .

Công ty đã ban hành thông cáo sau:

"Vào ngày 30 tháng 1 năm 2020, chúng tôi biết có một số lượng nhỏ các địa chỉ email không phải người tiêu dùng từ một nền tảng giáo dục có thể truy cập tạm thời qua internet. Đây không phải là dữ liệu người tiêu dùng. Chúng tôi không tìm thấy bằng chứng về việc sử dụng trái phép dữ liệu tạm thời có thể truy cập. Estee Lauder rất coi trọng quyền riêng tư và bảo mật dữ liệu. Ngay khi biết tin, chúng tôi đã ngay lập tức hành động để bảo mật dữ liệu và thông báo cho các bên thích hợp."

Năm ngoái tôi đã viết bài "làm thế nào mà 198 triệu hồ sơ người mua xe đã bị lộ trên mạng trong một vụ rò rỉ dữ liệu lớn". Người đứng sau câu chuyện đó là Jeremiah Fowler, một nhà nghiên cứu bảo mật cấp cao tại Security Discovery. Vì vậy, khi Fowler liên lạc với tôi sáng sớm nay tin tức về một vụ rò rỉ lớn hơn gấp đôi: "Cơ sở dữ liệu dường như là một hệ thống quản lý nội dung, hệ thống này chứa mọi thứ từ cách các kết nối hoạt động, các tham chiếu tới tài liệu nội bộ, dữ liệu ma trận bán hàng,... Ngay khi tôi nhìn thấy địa chỉ email, tôi đã có thể xác thực đây là những người thật và ngay lập tức liên hệ với Estee Lauder."

Estee Lauder nhanh chóng đóng quyền truy cập vào cơ sở dữ liệu

Theo kinh nghiệm của Fowler đây không phải là chuyện hiếm khi xảy ra khi giao dịch với các công ty lớn.

"Khi tôi gọi cho một công ty hoặc tổ chức, điều đầu tiên tôi hỏi là 'tôi có thể nói chuyện với ai để báo cáo sự cố dữ liệu', nhưng bạn sẽ bị sốc khi có nhiều công ty không có điều lệ nào khi dữ liệu bị lộ." Tôi thì không bị sốc. Tôi e là tôi đã nghe quá nhiều câu chuyện tương tự từ nhiều nhà nghiên cứu trong những năm qua. Fowler nói: "Tôi đã mất gần 2 giờ để điện thoại được chuyển đến nhiều thư thoại khác nhau cho đến khi cuối cùng cũng có người nghiêm túc nhận ra rằng tôi không phải là người bán hàng qua điện thoại."

Tuy nhiên, team bảo vệ dữ liệu và quyền riêng tư của Estee Lauder liên lạc qua email và đã hứa hẹn sẽ điều tra: "Họ đã phản ứng nhanh và hạn chế truy cập công cộng vào cùng ngày tôi thông báo cho họ. Họ đóng nhanh đến mức tôi không thể đọc kỹ nhiều thư mục nữa. Tuy nhiên, toàn bộ cơ sở dữ liệu có thể truy cập được đối với bất kỳ ai kết nối internet, vì vậy bất kỳ ai cũng có khả năng truy cập hoặc đánh cắp dữ liệu trong khi nó không được bảo vệ."

Theo báo cáo của mình về vụ việc, Fowler đã phát hiện 440.336.852 nhật ký và hồ sơ đáng lý ra không nên bị lộ công khai, bao gồm cả email của người dùng ở dạng văn bản thuần túy. Cũng như các tài liệu tham khảo của báo cáo và tài liệu nội bộ khác, Fowler cho biết địa chỉ IP, cổng kết nối, đường dẫn và thông tin lưu trữ mà "tội phạm mạng có thể khai thác để truy cập sâu hơn vào hệ thống" cũng bị lộ.

Cơ sở dữ liệu bị lộ dường như ngày càng phổ biến. Tôi đã từng báo cáo về cách 250 triệu hồ sơ khách hàng của Microsoft bị lộ, dữ liệu của 419 triệu người dùng Facebook được tìm thấy trên cơ sở dữ liệu không bảo mật và, sốc nhất là toàn bộ 16,6 triệu dân của Ecuador đã bị rò rỉ trực tuyến theo cách tương tự.

Bản chất của việc dữ liệu Estee Lauder bị lộ là gì?

Tôi hỏi Fowler liệu rằng anh ta có thể nói rõ hơn bản chất của việc dữ liệu bị lộ không. Anh nói: "Có hàng triệu hồ sơ liên quan đến phần mềm trung gian được sử dụng bởi công ty Estée Lauder". Quản lý dữ liệu, dịch vụ ứng dụng, tin nhắn và quản lý API đều được xử lý bởi phần mềm trung gian. Fowler nói: "Mối nguy hiểm khi bị lộ ra là thực tế phần mềm trung gian có thể tạo ra một đường dẫn phụ cho phần mềm độc hại thông qua đó các ứng dụng và dữ liệu có thể bị xâm phạm." Trong trường hợp này, bất kỳ ai có kết nối internet đều có thể xem các phiên bản đang được sử dụng gì, các đường dẫn và thông tin khác.

Cơ sở dữ liệu Estee Lauder không chứa gì?

Theo hiểu biết của Fowler, cơ sở dữ liệu bị lộ không có là bất kỳ dữ liệu thanh toán hoặc thông tin nhân viên nhạy cảm nào. Tuy nhiên, trong điều kiện quyền truy cập cơ sở dữ liệu đã bị đóng trước khi anh ta có thể xác nhận tất cả 440 triệu hồ sơ. Fowler nói: "Vì hiểu rằng mỗi giây đều có giá trị khi gặp rủi ro dữ liệu bị rò rỉ, ưu tiên hàng đầu của chúng tôi là cảnh báo Estée Lauder."

Mai Lâm

Theo Nhịp Sống Kinh Tế

Từ khóa:  estee lauder
Cùng chuyên mục
XEM

NỔI BẬT TRANG CHỦ

Vinpearl bắt tay với các hãng hàng không "đóng gói" combo du lịch, lôi kéo khách Nga, Úc, Nhật, Hàn... đến Việt Nam vui chơi, nghỉ dưỡng

Ngày 20/2, Công ty CP Vinpearl công bố chiến lược mở rộng thị trường quốc tế tới nhiều quốc gia và khu vực; hợp tác toàn diện với các hãng hàng không nội địa và cung cấp các gói dịch vụ du lịch trọn gói cao cấp. Mục tiêu chiến lược nhằm góp phần thúc đẩy tăng trưởng số lượng du khách trong nước và quốc tế đến với hệ thống Vinpearl nói riêng và Việt Nam nói chung.

Lần đầu lên tiếng sau khi rời beGroup, cựu CEO Trần Thanh Hải chỉ ra 2 vấn đề be phải "vật lộn" với Grab: Chúng tôi bỏ ra 1.000 - 2.000 tỷ, thì họ sẵn sàng "vứt" vào thị trường 3.000 tỷ!

Doanh nghiệp Việt chỉ có thể cạnh tranh với ông lớn nước ngoài bằng vốn khi không có cơ chế công bằng. Mà thế nào được gọi là công bằng? Một chuyện vui về công bằng mà nguyên CEO beGroup Trần Thanh Hải từng kể: Có 2 anh chơi trò leo lên tầng 2 bằng thang. Một người dùng thang leo lên trước, sau đó đưa ra luật chơi gọi là "công bằng" với tất cả là: từ giờ mọi người sẽ leo lên mà không dùng thang…

Tuổi trẻ khiến cha mẹ ‘cạn lời’ 5 lần 7 lượt của Bill Gates: Ham chơi, mê cờ bạc và đặc biệt thích trái lời người lớn!

Bill Gates từng khiến hệ thống máy tính của trường cấp 3 ngừng hoạt động và suýt bị đuổi học vì hành vi của mình.

Giá vé máy bay thấp kỷ lục, đại lý kêu gọi “giải cứu” vé máy bay

Chưa bao giờ, các chuyến bay nội địa trở nên vắng khách như hiện nay. Vắng người, giá vé lại rẻ và các đại lý bán vé máy bay đang tận dụng mạng xã hội để kêu gọi “giải cứu” vé máy bay bằng cách đưa ra các mức giá hấp dẫn để mời gọi khách mua.

Đọc thêm