Vi Phạm Dữ Liệu ADT Ảnh Hưởng 5,5 Triệu Khách Hàng Sau Cuộc Tấn Công Vishing

Công ty bảo mật nhà ở ADT đã xác nhận một vụ vi phạm dữ liệu ảnh hưởng đến khoảng 5,5 triệu khách hàng, làm lộ tên, số điện thoại và địa chỉ nhà. Trong một số trường hợp ít hơn, số An sinh Xã hội cũng bị rò rỉ. Vụ vi phạm không phải là kết quả của một cuộc xâm nhập mạng tinh vi hay khai thác lỗ hổng zero-day. Tất cả bắt đầu từ một cuộc điện thoại.

Theo các báo cáo, nhóm hacker ShinyHunters đã sử dụng kỹ thuật lừa đảo qua giọng nói, thường được gọi là vishing, để đánh lừa một nhân viên ADT cung cấp thông tin xác thực đăng nhập một lần (SSO) Okta của họ. Với những thông tin xác thực đó trong tay, những kẻ tấn công đã truy cập được vào môi trường Salesforce của ADT, nơi lưu trữ hồ sơ khách hàng. Vụ vi phạm là lời nhắc nhở rõ ràng rằng ngay cả những công ty có toàn bộ mô hình kinh doanh xây dựng xung quanh việc bảo vệ nhà của mọi người cũng có thể bị đánh bại bởi một tài khoản nhân viên duy nhất bị xâm phạm.

Vishing Là Gì Và Tại Sao Nó Lại Hiệu Quả Đến Vậy?

Vishing là một cuộc tấn công kỹ nghệ xã hội được thực hiện qua điện thoại. Kẻ tấn công thường mạo danh một bên đáng tin cậy, chẳng hạn như đồng nghiệp, nhân viên hỗ trợ IT hoặc đại diện nhà cung cấp, và thao túng mục tiêu để tiết lộ thông tin nhạy cảm hoặc thông tin xác thực. Không giống như phần mềm độc hại hay các cuộc tấn công mạng, vishing khai thác sự tin tưởng của con người thay vì các lỗ hổng kỹ thuật.

Trong trường hợp này, kẻ tấn công đã thuyết phục một nhân viên ADT tiết lộ thông tin xác thực SSO Okta của họ. Các hệ thống đăng nhập một lần được thiết kế để đơn giản hóa quyền truy cập bằng cách cho phép nhân viên sử dụng một bộ thông tin xác thực trên nhiều nền tảng. Sự tiện lợi đó trở thành trách nhiệm pháp lý khi những thông tin xác thực đó rơi vào tay kẻ xấu, vì một lần xâm phạm duy nhất có thể mở cửa cho nhiều hệ thống nội bộ cùng một lúc.

ShinyHunters là một nhóm tội phạm mạng nổi tiếng với lịch sử đánh cắp dữ liệu nổi bật. Khả năng vũ khí hóa một cuộc điện thoại đơn giản chống lại một công ty bảo mật lớn của họ nhấn mạnh rằng kỹ nghệ xã hội vẫn còn hiệu quả như thế nào, ngay cả đối với các tổ chức có đội ngũ bảo mật chuyên trách.

Dữ Liệu Nào Bị Lộ Trong Vụ Vi Phạm ADT

Phần lớn trong số 5,5 triệu khách hàng bị ảnh hưởng có các thông tin sau bị lộ:

  • Họ và tên đầy đủ
  • Số điện thoại
  • Địa chỉ nhà

Đối với một tập hợp con nhỏ hơn của khách hàng, số An sinh Xã hội cũng bị xâm phạm. ADT chưa công bố cụ thể chính xác có bao nhiêu cá nhân thuộc danh mục rủi ro cao hơn đó.

Mặc dù tên, số điện thoại và địa chỉ có vẻ ít đáng lo ngại hơn so với dữ liệu tài chính, nhưng sự kết hợp này cực kỳ hữu ích cho các cuộc tấn công tiếp theo. Tội phạm có thể sử dụng nó để tạo ra các email lừa đảo thuyết phục, thực hiện các cuộc gọi vishing có mục tiêu đến chính các khách hàng, hoặc xây dựng hồ sơ để đánh cắp danh tính. Khi địa chỉ nhà được gắn với một khách hàng hệ thống bảo mật đã biết, cũng có những hàm ý về an toàn vật lý đáng xem xét.

Số An sinh Xã hội, ngay cả khi bị rò rỉ trong một phần nhỏ hơn của các trường hợp, đại diện cho một rủi ro nghiêm trọng hơn. Chúng có thể được sử dụng để mở các tài khoản tín dụng gian lận, nộp tờ khai thuế giả, hoặc mạo danh nạn nhân trong các hệ thống phúc lợi của chính phủ.

Điều Này Có Ý Nghĩa Gì Đối Với Bạn

Nếu bạn là hoặc đã từng là khách hàng của ADT, giả định đầu tiên cần đưa ra là thông tin liên hệ của bạn có thể đang lưu hành trong số các tác nhân xấu. Điều đó thay đổi cách bạn nên đánh giá các thông tin liên lạc không được yêu cầu trong tương lai.

Vụ vi phạm này cũng minh họa một điểm rộng hơn về quyền riêng tư kỹ thuật số: không có công cụ hay dịch vụ đơn lẻ nào cung cấp sự bảo vệ hoàn toàn. Ví dụ, VPN bảo mật lưu lượng internet của bạn và bảo vệ địa chỉ IP của bạn, nhưng nó sẽ không ngăn chặn được vụ vi phạm này. Véc-tơ tấn công ở đây là con người, không phải kỹ thuật. Bảo vệ quyền riêng tư toàn diện đòi hỏi phải kết hợp nhiều thói quen và công cụ với nhau.

Các bước hành động nếu bạn là khách hàng ADT:

  1. Theo dõi báo cáo tín dụng của bạn. Yêu cầu báo cáo miễn phí từ cả ba cơ quan lớn và tìm kiếm các tài khoản hoặc yêu cầu không quen thuộc. Hãy xem xét đặt lệnh đóng băng tín dụng nếu số An sinh Xã hội của bạn bị lộ.
  2. Hãy nghi ngờ các liên lạc không được yêu cầu. Tội phạm có thể sử dụng dữ liệu bị lộ của bạn để mạo danh ADT hoặc các tổ chức đáng tin cậy khác. Xác minh danh tính của bất kỳ ai yêu cầu thông tin cá nhân trước khi tương tác.
  3. Bật xác thực đa yếu tố (MFA) trên tất cả các tài khoản. Nếu một dịch vụ hỗ trợ MFA, hãy bật nó lên. Nó thêm một lớp bảo vệ mà mật khẩu bị đánh cắp đơn thuần không thể vượt qua.
  4. Sử dụng mật khẩu mạnh, duy nhất. Trình quản lý mật khẩu làm cho điều này trở nên khả thi. Nếu thông tin xác thực từ một dịch vụ bị lộ, mật khẩu duy nhất ngăn kẻ tấn công truy cập vào các tài khoản khác của bạn.
  5. Hãy xem xét dịch vụ giám sát danh tính. Các dịch vụ này cảnh báo bạn khi thông tin cá nhân của bạn xuất hiện trong các nhà môi giới dữ liệu, diễn đàn web đen, hoặc các đơn đăng ký tài khoản mới.

Vụ vi phạm dữ liệu ADT là một nghiên cứu điển hình hữu ích về cách các lỗi bảo mật thường không bắt nguồn từ mã lỗi, mà từ sự tin tưởng bị phá vỡ. Một cuộc điện thoại được thực hiện tốt duy nhất là đủ để lộ thông tin cá nhân của hàng triệu khách hàng. Xây dựng khả năng phục hồi quyền riêng tư thực sự có nghĩa là hiểu rằng các biện pháp phòng thủ kỹ thuật và nhận thức của con người phải hoạt động cùng nhau. Không có ổ khóa nào, kỹ thuật số hay vật lý, mạnh hơn người cầm chìa khóa.