- Vụ rò rỉ dữ liệu mới của AT&T đã ảnh hưởng đến hồ sơ liên lạc cuộc gọi·tin nhắn của gần như toàn bộ khách hàng, và dự kiến sẽ gửi thông báo tới khoảng 110 triệu người
- Dữ liệu bị đánh cắp chủ yếu là siêu dữ liệu cuộc gọi·tin nhắn trong giai đoạn từ 1/5/2022 đến 31/10/2022, và với một số khách hàng còn bao gồm cả bản ghi ngày 2/1/2023
- Không bao gồm nội dung tin nhắn hay thời gian·ngày tháng chính xác, nhưng làm lộ ai đã liên lạc với ai, số lượng cuộc gọi·thời lượng cuộc gọi, và một số mã định danh trạm phát sóng di động
- Sự cố lần này tách biệt với vụ an ninh hồi tháng 3 của AT&T, và có liên quan đến làn sóng trộm dữ liệu gần đây nhắm vào các tài khoản khách hàng Snowflake
- Việc không sử dụng xác thực đa yếu tố để bảo vệ tài khoản Snowflake đã trở thành vấn đề tranh cãi, và Mandiant xác nhận có lượng dữ liệu lớn bị đánh cắp từ khoảng 165 tài khoản khách hàng
Phạm vi bản ghi điện thoại bị lộ từ AT&T
- AT&T dự kiến sẽ thông báo cho khoảng 110 triệu người về sự cố này
- Dữ liệu bị đánh cắp bao gồm số điện thoại và bản ghi cuộc gọi·tin nhắn của khách hàng di động·điện thoại cố định của AT&T
- Giai đoạn bị ảnh hưởng là 6 tháng, từ 1/5/2022 đến 31/10/2022
- Với một số khách hàng, dữ liệu còn bao gồm các bản ghi mới hơn vào ngày 2/1/2023, nhưng không công bố số lượng khách hàng liên quan
- Bản ghi cuộc gọi của khách hàng từ các nhà mạng khác sử dụng mạng AT&T cũng nằm trong dữ liệu bị lộ
- Dữ liệu bị lộ không bao gồm nội dung cuộc gọi hay tin nhắn
- Có thể xác định một số AT&T cụ thể đã gọi điện hay nhắn tin với số nào
- Bao gồm tổng số cuộc gọi·tin nhắn của khách hàng và thời lượng cuộc gọi
- Không bao gồm thời gian hay ngày tháng của các cuộc gọi·tin nhắn
- Một số bản ghi có chứa mã định danh trạm phát sóng di động gắn với cuộc gọi điện thoại hoặc tin nhắn văn bản
- Thông tin này có thể dùng để xác định vị trí gần đúng nơi cuộc gọi được thực hiện hoặc tin nhắn được gửi đi
- AT&T đã công bố sự cố qua trang thông tin dành cho khách hàng và hồ sơ nộp cho cơ quan quản lý
Tình hình điều tra và vụ đánh cắp tài khoản Snowflake
- AT&T cho biết họ phát hiện vụ rò rỉ dữ liệu này vào ngày 19/4 và nhấn mạnh rằng nó không liên quan đến sự cố an ninh trước đó được công bố vào tháng 3
- Các bản ghi khách hàng mới nhất được xác nhận là đã bị đánh cắp từ Snowflake trong làn sóng trộm dữ liệu gần đây nhắm vào khách hàng Snowflake
- Snowflake là dịch vụ cho phép khách hàng doanh nghiệp phân tích khối lượng lớn dữ liệu khách hàng trên đám mây
- Lý do AT&T lưu trữ dữ liệu khách hàng trên Snowflake không được công bố
- Trong vài tuần gần đây, Ticketmaster và QuoteWizard, công ty con của LendingTree, cũng xác nhận dữ liệu đã bị đánh cắp từ Snowflake
- Snowflake cho rằng trách nhiệm về việc dữ liệu bị đánh cắp thuộc về những khách hàng không dùng xác thực đa yếu tố để bảo vệ tài khoản
- Snowflake không ép buộc hay yêu cầu bắt buộc khách hàng phải dùng tính năng bảo mật này
- Mandiant, đơn vị được Snowflake thuê để hỗ trợ thông báo cho khách hàng, xác nhận lượng lớn dữ liệu đã bị đánh cắp từ khoảng 165 tài khoản khách hàng Snowflake
- Mandiant quy vụ xâm nhập này cho một nhóm tội phạm mạng chưa được phân loại, được theo dõi dưới tên UNC5537
- Nhóm hacker này được đánh giá là có động cơ tài chính
- Các thành viên ở Bắc Mỹ, và ít nhất 1 người ở Thổ Nhĩ Kỳ
- Dữ liệu của một số doanh nghiệp là nạn nhân trong vụ đánh cắp tài khoản Snowflake đã bị đăng lên các diễn đàn tội phạm mạng nổi tiếng, nhưng AT&T cho biết họ không cho rằng dữ liệu của mình hiện đang được công khai
- AT&T cho biết đang phối hợp với cơ quan thực thi pháp luật để bắt giữ các tội phạm mạng liên quan, và ít nhất 1 người đã bị bắt
- Người bị bắt không phải là nhân viên AT&T
- FBI từ chối bình luận về vụ bắt giữ này
- FBI xác nhận sau khi AT&T báo cáo vụ xâm nhập, AT&T, FBI và Bộ Tư pháp đã hai lần đồng ý trì hoãn việc thông báo cho khách hàng·công chúng
- Lý do là rủi ro tiềm tàng đối với an ninh quốc gia và an toàn công cộng
- Trong thời gian trì hoãn, ba bên đã chia sẻ thông tin về mối đe dọa để hỗ trợ cuộc điều tra của FBI và phản ứng sự cố của AT&T
- Đây là sự cố an ninh thứ hai mà AT&T công bố trong năm nay
- Trước đó, sau khi một bộ nhớ đệm thông tin tài khoản khách hàng bị đăng lên diễn đàn tội phạm mạng, AT&T đã phải đặt lại mật khẩu tài khoản của hàng triệu khách hàng
- Bộ dữ liệu khi đó có chứa passcode đã mã hóa dùng để truy cập tài khoản khách hàng AT&T, và các nhà nghiên cứu bảo mật cho rằng các passcode đó có thể bị giải mã khá dễ dàng
1 bình luận
Ý kiến trên Hacker News
AT&T có 110 triệu khách hàng, nên chỉ cần mỗi khách hàng phải tốn thêm 1 phút để quản lý tài khoản vì vụ xâm nhập này thì tổng cộng đã mất hơn 209 năm thời gian
Luật về rò rỉ dữ liệu phải nghiêm khắc hơn nhiều. Nếu rò rỉ gần như không dẫn đến hậu quả thực chất nào thì các công ty sẽ chỉ đầu tư tối thiểu vào bảo mật dữ liệu
Cần xuyên qua vỏ bọc pháp nhân để truy tố hình sự những người do cẩu thả đã khiến chuyện này có thể xảy ra, hoặc phải phạt thật nặng để ban điều hành và cổ đông chịu tổn thất thực sự
Mọi người đều chỉ trích công ty, nhưng không biết có ai từng thấy lạ khi chính phủ giữ toàn bộ lịch sử hoạt động cuộc gọi của tôi mà vẫn thấy bình thường không. Trước đây, thứ này hẳn đã bị gọi là nhà nước giám sát phản địa đàng
Tôi không muốn phải chịu trách nhiệm pháp lý chỉ vì phần mềm của tôi bị đột nhập do một lỗ hổng mà tôi không biết
Bước đầu hợp lý có thể là tạo ra tiêu chuẩn, kiểm toán và chứng nhận của bên thứ ba cho bảo mật dữ liệu, đồng thời giúp người tiêu dùng coi trọng quyền riêng tư và bảo mật biết được công ty đang làm gì. Nếu người tiêu dùng thấy điều đó có giá trị, họ sẽ ưu tiên công ty đó hơn và các công ty khác cũng có thể làm theo
Tôi hoàn toàn không thể hiểu nổi vì sao việc này vẫn chưa bị coi là bất hợp pháp
Chỉ sau một đêm, AT&T sẽ gần giống một dịch vụ mã hóa đầu-cuối
Bản thân đường truyền sẽ không được mã hóa nên NSA vẫn nghe lén được, nhưng ít nhất trong trung tâm dữ liệu của AT&T có thể sẽ không còn lưu trữ có thể thay đổi nào ngoài ổ khởi động, hàng đợi tin nhắn SMS, cùng ánh xạ giữa SIM đã được cấp quyền và số điện thoại
Tôi không hiểu vì sao thời nay họ vẫn tiếp tục giữ lịch sử cuộc gọi. Ngay cả cho mục đích ban đầu là tính cước thì giờ cũng không còn cần nữa
Nếu đây là “vụ rò rỉ dữ liệu vẫn đang tiếp diễn liên quan đến hơn 160 khách hàng của nhà cung cấp dữ liệu đám mây Snowflake”, thì tôi tự hỏi bình thường Snowflake giữ toàn bộ dữ liệu AT&T để làm gì. Có phải để phân phối lại cho “đối tác marketing” không? Có vẻ là vậy
Tuyên bố sứ mệnh trên website Snowflake ghi rằng: “sứ mệnh của chúng tôi là phá bỏ các silo dữ liệu, vượt qua sự phức tạp, và cho phép hợp tác dữ liệu an toàn giữa các publisher, advertiser và các công nghệ cốt lõi hỗ trợ họ”
Vậy thì có vẻ đây không phải là hệ thống vận hành của AT&T bị xâm nhập, mà là ai đó không được cấp quyền đã lấy đi dữ liệu vốn dĩ đang được bán cho giới tiếp thị rồi. Tôi muốn biết cách hiểu này có đúng không
Nhìn vào vụ này và bản chất của dữ liệu nằm trong data lake của Snowflake, từ góc nhìn khách hàng tôi sẽ không xem đây là một “vụ rò rỉ”. Vụ rò rỉ thật sự theo tôi đã xảy ra từ khâu thượng nguồn rồi
Xét bản chất dữ liệu trong cơ sở dữ liệu và nền tảng nơi nó được lưu, rất có thể dữ liệu này không phải để AT&T dùng nội bộ mà được tạo ra để các bên thứ ba như nhà quảng cáo, đối tác phân tích người tiêu dùng, hoặc cơ quan chính phủ sử dụng từ bên ngoài
Nói cách khác, nếu dữ liệu của tôi từng nằm trong kho này thì ngay từ lúc được đưa vào đó, nó đã bị “rò rỉ” rồi. Vấn đề ở đây có vẻ chỉ là từ góc nhìn của AT&T và FBI, dữ liệu đã rơi vào tay những kẻ không đúng đối tượng
Là AT&T, ngân hàng hay chính phủ thì cũng vậy. Không thể kỳ vọng thông tin nhạy cảm sẽ được giữ kín trong bất kỳ hoàn cảnh nào
Hồi trước khi giới thiệu internet cho trẻ con, người ta gần như dạy điều này như một nguyên tắc tuyệt đối; thật ngạc nhiên khi trong 20 năm mọi thứ đã thay đổi nhiều đến thế
Cổ phiếu AT&T sáng nay đã hồi lại đáng kể sau mức giảm ban đầu -2,6%, nên có vẻ thị trường xem AT&T là miễn nhiễm. Trong khi đó Snowflake đang giảm -3,9%, và họ còn có nhiều khách hàng ngoài AT&T
https://www.marketwatch.com/investing/stock/T
https://www.marketwatch.com/investing/stock/SNOW
Nếu có tác động nào thể hiện trên giá cổ phiếu thì tôi cho rằng rất có thể không liên quan tới tin này
Trong trường hợp này, theo bài báo thì Ticketmaster và Lending Tree cũng bị lộ do Snowflake, nên lúc này việc niềm tin vào Snowflake sụt giảm mạnh là điều dễ hiểu
Kết quả kiện tập thể có lẽ sẽ thành kiểu mỗi người nhận 2 đô thay vì phiếu dùng thử miễn phí dịch vụ nhạc chuông giá trị gia tăng đầu những năm 2000, rồi cuối cùng chỉ làm tăng thêm doanh thu định kỳ mà thôi
Ở châu Âu, việc lưu trữ toàn diện hồ sơ cuộc gọi vượt quá phạm vi cần thiết cho vận hành có lẽ đã là bất hợp pháp ở nhiều quốc gia, và nhìn chung cũng không phù hợp với Công ước châu Âu về Nhân quyền trừ khi đó là mối đe dọa thực sự đối với an ninh quốc gia và là biện pháp tạm thời dưới sự giám sát của tòa án[1]
Ngay từ đầu đã không có lý do gì để nhà cung cấp dịch vụ phải lưu những thứ này, và cũng không khó để sửa bằng lập pháp. Chỉ cần coi việc lưu giữ bản thân nó là bất hợp pháp
[1] https://curia.europa.eu/juris/document/document.jsf?text=&do...
Đức thuộc nhóm tương đối ngắn với 10 tuần, nhưng vẫn phải lưu những hồ sơ như vậy
Nói rằng việc thu thập các hồ sơ này là bất hợp pháp ở châu Âu rõ ràng là sai, và hơn nữa việc thu thập hồ sơ thường là nghĩa vụ trong khoảng thời gian do từng quốc gia quy định
Hồ sơ cuộc gọi là cần thiết cho việc tính cước. Khách hàng thường xuyên tranh chấp hóa đơn, nên cũng cần giữ chúng thêm một thời gian
Đáng tiếc là Mỹ dường như coi trọng “đổi mới mang tính phá hủy” hơn bảo vệ khách hàng, nên bảo vệ dữ liệu bằng pháp luật không được Quốc hội ưa chuộng
Có phải chuyện này sẽ vướng các giới hạn của GDPR hơn không
Người tiêu dùng đã trở nên quá chai lì với các vụ rò rỉ dữ liệu, đến mức giờ gần như không còn nổi giận vì những chuyện như thế này nữa. Nếu không có sự phẫn nộ từ người tiêu dùng thì tôi nghĩ các công ty gần như không có động lực để cố gắng ngăn chặn rò rỉ dữ liệu hơn
Nếu bắt đầu áp mức phạt hàng tỷ USD cho những vụ rò rỉ như thế này thì các công ty sẽ đột nhiên đầu tư vào bảo mật
Nhưng với các phán quyết gần đây của Tòa án Tối cao làm suy yếu quyền lực của các cơ quan chính phủ, có lẽ điều đó sẽ không khả thi
Giờ có lẽ phải trông vào tòa dân sự, tức là các vụ kiện tập thể, để áp tiền phạt
Tôi đã hủy tài khoản AT&T hơn 10 năm trước, vậy mà trong vụ hack trước đó vào tháng 3 năm nay họ vẫn đang lưu địa chỉ cũ, họ tên đầy đủ và số An sinh Xã hội của tôi
Việc không có luật tử tế nào để trừng phạt thực chất những tổ chức vô năng như vậy thật sự quá vô lý
Đầu năm nay số An sinh Xã hội của tôi cũng đã bị đưa lên dark web vì vụ rò rỉ từ AT&T hoặc nhà cung cấp của họ. Giám sát 1 năm là không đủ. Phải là suốt đời
Bảo mật không phải là mối quan tâm. Không có động lực thực sự nào để thay đổi hiện trạng. Cần bắt những công ty như thế này trả chi phí giám sát vô thời hạn
Số giấy tờ tùy thân quốc gia ở nước tôi có thể tính ra từ ngày sinh, số thứ tự tăng dần của người sinh trong ngày đó, và một chữ số checksum; nếu bạn có làm kinh doanh cá nhân dù chỉ một chút thì số thuế cá nhân của bạn phải được ghi trên mọi hóa đơn hoặc chứng từ mua bán phục vụ kinh doanh
Việc biết rằng số ID của bé trai đầu tiên sinh ra hôm nay là 120702450001X không giúp làm điều xấu. Tôi không tính checksum vì lười, nhưng thuật toán là công khai
Hãy nghĩ đến những người đã gọi tới đường dây nóng phòng chống tự sát, phòng khám phá thai, hay dịch vụ trả nợ vay thì sẽ ra sao
Chỉ với số điện thoại là có thể suy ra những chuyện đó
Theo bài của TechCrunch, mã định danh trạm gốc cũng bị bao gồm, nghĩa là còn có cả thông tin vị trí gần đúng
https://techcrunch.com/2024/07/12/att-phone-records-stolen-d...
Vậy nên tôi cũng không biết khoản bồi thường của mình ở đâu. Dĩ nhiên tôi biết là chẳng có biện pháp khắc phục nào cả
Đây là kết quả khi không ai phải chịu trách nhiệm cho những thực hành an toàn như bật xác thực đa yếu tố trên kho dữ liệu chứa lượng lớn thông tin cá nhân khách hàng
Họ chỉ báo cáo rồi bỏ qua, thậm chí chẳng buồn xin lỗi. Cùng lắm là kiểu “ôi chà, bọn tội phạm mạng chết tiệt đó mà”