ShinyHunters đánh cắp 297 GB từ Hệ thống Nhân sự của Hội đồng Châu Âu

ShinyHunters đánh cắp 297 GB từ Hệ thống Nhân sự của Hội đồng Châu Âu

Hội đồng Châu Âu, tổ chức hàng đầu của châu lục về nhân quyền, dân chủ và pháp quyền, đã trở thành nạn nhân nổi tiếng mới nhất của nhóm ransomware ShinyHunters. Vụ xâm phạm đã làm lộ 297 GB dữ liệu nhân sự và tiền lương nhạy cảm, bao gồm hơn 409.000 phiếu lương và hơn 14.000 CV nhân viên, ảnh hưởng đến nhân viên thuộc Ban Thư ký và Vụ Nhân sự. Vụ vi phạm dữ liệu của Hội đồng Châu Âu do ShinyHunters thực hiện không chỉ là một sự cố an ninh mạng; đó là một lời nhắc nhở sâu sắc rằng ngay cả những cơ quan chịu trách nhiệm bảo vệ quyền của công dân cũng có thể thất bại trong việc bảo vệ hồ sơ cá nhân của chính nhân viên mình.

Những gì đã bị đánh cắp: Bên trong vụ xâm phạm 297 GB dữ liệu Nhân sự và Tiền lương

Theo những tuyên bố của ShinyHunters, lượng dữ liệu thu thập được từ vụ xâm phạm này là rất lớn. Hơn 429.000 tập tin đã bị xâm phạm, với dữ liệu trải dài từ phiếu lương, CV, hợp đồng lao động đến hồ sơ nhân sự nội bộ. Riêng phiếu lương đã chiếm hơn 409.000 tài liệu, điều này có nghĩa vụ xâm phạm có khả năng bao phủ một phần đáng kể lực lượng lao động hiện tại và trước đây của Hội đồng.

Tính nhạy cảm của dữ liệu này không thể phóng đại. Phiếu lương thường chứa họ tên đầy đủ, địa chỉ nhà, số định danh quốc gia, chi tiết tài khoản ngân hàng, thông tin lương và hồ sơ thuế. CV bổ sung thêm một lớp rủi ro, bao gồm lịch sử học vấn, người tham chiếu cá nhân và chi tiết việc làm trước đây. Cùng với nhau, những thông tin này cung cấp cho tội phạm mạng mọi thứ chúng cần để tiến hành các chiến dịch lừa đảo có chủ đích, thực hiện hành vi trộm cắp danh tính hoặc bán hồ sơ cá nhân trên các chợ đen trên web tối.

Loại tấn công tập trung vào hệ thống nhân sự này ngày càng phổ biến. Vụ vi phạm hệ thống nhân sự của Statistics South Africa đã diễn ra theo một mô hình rất giống, khi những kẻ tấn công nhắm vào cơ sở hạ tầng nhân sự nội bộ để trích xuất hồ sơ nhân viên thay vì nhắm vào các hệ thống tiếp xúc với khách hàng.

Tại sao Hội đồng Châu Âu là mục tiêu có giá trị cao đối với các nhóm ransomware

Thoạt nhìn, một tổ chức liên chính phủ tập trung vào nhân quyền có vẻ như là một mục tiêu tống tiền kỳ lạ. Trên thực tế, đây là một mục tiêu cực kỳ hấp dẫn. Hội đồng Châu Âu tuyển dụng hàng nghìn nhân viên tại trụ sở chính ở Strasbourg và nhiều văn phòng thực địa, có nghĩa là cơ sở dữ liệu nhân sự của họ chứa đầy hồ sơ cá nhân. Uy tín thể chế cũng làm tăng đòn bẩy mà các nhóm ransomware có được: tổn thất danh tiếng từ một vụ vi phạm sẽ cao hơn đối với một cơ quan có nhiệm vụ bao gồm quyền công dân và bảo vệ dữ liệu.

ShinyHunters có một mô hình hoạt động được ghi nhận rõ ràng là nhắm vào các tổ chức lớn, dễ thấy để tối đa hóa áp lực đòi tiền chuộc. Đầu năm nay, nhóm này đã đưa ra tối hậu thư công khai cho nhà cung cấp viễn thông Hà Lan Odido. Như đã nêu chi tiết trong bài viết về vụ vi phạm dữ liệu của Odido ảnh hưởng đến 8 triệu khách hàng, ShinyHunters đe dọa sẽ công bố dữ liệu khách hàng bị đánh cắp nếu tiền chuộc không được trả, thể hiện sự sẵn sàng sử dụng việc công khai thông tin như một công cụ gây áp lực. Phương thức tương tự dường như đang được sử dụng ở đây.

Vụ vi phạm của Hội đồng Châu Âu cũng tiếp nối cuộc tấn công trước đó mà ShinyHunters tuyên bố đã thực hiện vào cơ sở hạ tầng đám mây của Ủy ban Châu Âu, được cho là liên quan đến hơn 350 GB dữ liệu từ nền tảng Europa.eu. Gộp lại, những sự việc này cho thấy nhóm này đã đưa các thể chế Châu Âu trở thành trọng tâm hoạt động có chủ đích của chúng trong giai đoạn 2025–2026.

Sự trớ trêu khi các cơ quan giám sát quyền riêng tư thất bại trong việc bảo mật dữ liệu cá nhân

Hội đồng Châu Âu là cơ quan chịu trách nhiệm về Công ước Châu Âu về Nhân quyền và giám sát các khuôn khổ mà các quốc gia thành viên sử dụng để quản lý bảo vệ dữ liệu và quyền riêng tư kỹ thuật số. Nói cách khác, đây là một thể chế thiết lập tiêu chuẩn về cách xử lý và bảo vệ dữ liệu cá nhân. Thật khó để phớt lờ sự trớ trêu khi chính thể chế đó lại hứng chịu một vụ vi phạm ở quy mô này.

Đây không phải là một sự căng thẳng cá biệt. Các tổ chức lớn thường có cơ sở hạ tầng CNTT phức tạp, lạc hậu, các mối quan hệ nhà cung cấp trải rộng và dữ liệu lực lượng lao động trải khắp hàng tá hệ thống liên kết với nhau. Những thực tế cấu trúc đó tạo ra các bề mặt tấn công thực sự khó quản lý, bất kể cam kết về quyền riêng tư của tổ chức có mạnh mẽ đến đâu. Vụ vi phạm cho thấy những ý định chính sách tốt đẹp không tự động chuyển thành an ninh vận hành tốt.

Đối với những nhân viên bị ảnh hưởng, hậu quả là ngay lập tức và mang tính cá nhân. Bất kỳ ai có phiếu lương hoặc CV nằm trong số hơn 429.000 tập tin đó giờ đây phải đối mặt với nguy cơ bị lộ thông tin tài chính và giấy tờ tùy thân. Việc rao bán dữ liệu nhân sự của các tổ chức trên web tối, tương tự như những gì đã thấy trong vụ rao bán dữ liệu khách hàng của Iliad Italia, thường diễn ra nhanh chóng sau các vụ xâm phạm, mang lại cho tội phạm một thị trường sẵn sàng cho những hồ sơ bị đánh cắp.

Cá nhân có thể tự bảo vệ mình như thế nào khi các tổ chức thất bại

Khi nhà tuyển dụng hoặc tổ chức bị xâm phạm, những cá nhân bị ảnh hưởng có rất ít quyền kiểm soát đối với những gì đã bị lấy đi. Nhưng có những bước cụ thể bạn có thể thực hiện để hạn chế rủi ro tiếp theo.

Giám sát chặt chẽ các tài khoản tài chính của bạn. Chi tiết ngân hàng bị lộ trong phiếu lương có thể bị sử dụng để gian lận trực tiếp. Thiết lập cảnh báo cho các giao dịch bất thường và cân nhắc xem liệu có phù hợp để tạm thời đóng băng các yêu cầu tín dụng trong phạm vi quyền hạn của bạn hay không.

Cảnh giác với các nỗ lực tấn công lừa đảo có chủ đích. Những kẻ tấn công có CV và phiếu lương của bạn biết bạn làm việc ở đâu, mức lương và chức danh công việc. Chúng có thể tạo ra các email mạo danh cực kỳ thuyết phục bằng cách sử dụng bối cảnh đó. Hãy đối xử với những tin nhắn bất ngờ yêu cầu hành động hoặc thông tin đăng nhập với sự hoài nghi cao độ, ngay cả khi chúng có vẻ đến từ đồng nghiệp hoặc bộ phận nhân sự.

Sử dụng VPN trên các mạng công cộng và mạng chia sẻ. Mặc dù VPN không ngăn chặn được một vụ xâm phạm từ phía máy chủ, nhưng nó bảo vệ lưu lượng truy cập của bạn khỏi bị chặn khi bạn truy cập các cổng thông tin của nhà tuyển dụng hoặc các tài khoản nhạy cảm từ xa, giảm một véc-tơ đánh cắp thông tin đăng nhập.

Kiểm tra xem dữ liệu của bạn có xuất hiện trong các cơ sở dữ liệu vi phạm hay không. Các dịch vụ giám sát các tập dữ liệu vi phạm đã biết có thể cảnh báo bạn nếu email hoặc các định danh khác của bạn xuất hiện trong các tập dữ liệu mới được công bố.

Yêu cầu sự rõ ràng từ nhà tuyển dụng. Nếu bạn là nhân viên hoặc nhà thầu của Hội đồng Châu Âu, hãy thúc giục để có được thông tin cụ thể về những hồ sơ nào đã bị ảnh hưởng và biện pháp khắc phục nào đang được đưa ra.

Những vụ vi phạm thể chế như thế này là một lời nhắc nhở rằng vệ sinh dữ liệu cá nhân trở nên quan trọng nhất chính vào lúc các tổ chức nắm giữ hồ sơ của bạn thất bại trong việc bảo vệ chúng. Rà soát mức độ lộ lọt của bạn, bảo mật tài khoản và luôn cảnh giác trước các kỹ thuật lừa đảo xã hội không phải là những lựa chọn bổ sung; chúng là phản ứng cơ bản khi dữ liệu mà bạn không tự nguyện trao cho tội phạm lại rơi vào tay chúng.

Các cuộc tấn công leo thang của ShinyHunters vào các thể chế Châu Âu cho thấy nhóm này sẽ không chậm lại. Giữ cho mình được thông tin và thực hiện các bước chủ động đối với an ninh kỹ thuật số của chính bạn là phản ứng hiệu quả nhất dành cho những cá nhân bị vạ lây.