1 điểm bởi GN⁺ 2024-07-13 | 1 bình luận | Chia sẻ qua WhatsApp
  • Vụ rò rỉ dữ liệu mới của AT&T đã ảnh hưởng đến hồ sơ liên lạc cuộc gọi·tin nhắn của gần như toàn bộ khách hàng, và dự kiến sẽ gửi thông báo tới khoảng 110 triệu người
  • Dữ liệu bị đánh cắp chủ yếu là siêu dữ liệu cuộc gọi·tin nhắn trong giai đoạn từ 1/5/2022 đến 31/10/2022, và với một số khách hàng còn bao gồm cả bản ghi ngày 2/1/2023
  • Không bao gồm nội dung tin nhắn hay thời gian·ngày tháng chính xác, nhưng làm lộ ai đã liên lạc với ai, số lượng cuộc gọi·thời lượng cuộc gọi, và một số mã định danh trạm phát sóng di động
  • Sự cố lần này tách biệt với vụ an ninh hồi tháng 3 của AT&T, và có liên quan đến làn sóng trộm dữ liệu gần đây nhắm vào các tài khoản khách hàng Snowflake
  • Việc không sử dụng xác thực đa yếu tố để bảo vệ tài khoản Snowflake đã trở thành vấn đề tranh cãi, và Mandiant xác nhận có lượng dữ liệu lớn bị đánh cắp từ khoảng 165 tài khoản khách hàng

Phạm vi bản ghi điện thoại bị lộ từ AT&T

  • AT&T dự kiến sẽ thông báo cho khoảng 110 triệu người về sự cố này
  • Dữ liệu bị đánh cắp bao gồm số điện thoại và bản ghi cuộc gọi·tin nhắn của khách hàng di động·điện thoại cố định của AT&T
    • Giai đoạn bị ảnh hưởng là 6 tháng, từ 1/5/2022 đến 31/10/2022
    • Với một số khách hàng, dữ liệu còn bao gồm các bản ghi mới hơn vào ngày 2/1/2023, nhưng không công bố số lượng khách hàng liên quan
  • Bản ghi cuộc gọi của khách hàng từ các nhà mạng khác sử dụng mạng AT&T cũng nằm trong dữ liệu bị lộ
  • Dữ liệu bị lộ không bao gồm nội dung cuộc gọi hay tin nhắn
    • Có thể xác định một số AT&T cụ thể đã gọi điện hay nhắn tin với số nào
    • Bao gồm tổng số cuộc gọi·tin nhắn của khách hàng và thời lượng cuộc gọi
    • Không bao gồm thời gian hay ngày tháng của các cuộc gọi·tin nhắn
  • Một số bản ghi có chứa mã định danh trạm phát sóng di động gắn với cuộc gọi điện thoại hoặc tin nhắn văn bản
    • Thông tin này có thể dùng để xác định vị trí gần đúng nơi cuộc gọi được thực hiện hoặc tin nhắn được gửi đi
  • AT&T đã công bố sự cố qua trang thông tin dành cho khách hànghồ sơ nộp cho cơ quan quản lý

Tình hình điều tra và vụ đánh cắp tài khoản Snowflake

  • AT&T cho biết họ phát hiện vụ rò rỉ dữ liệu này vào ngày 19/4 và nhấn mạnh rằng nó không liên quan đến sự cố an ninh trước đó được công bố vào tháng 3
  • Các bản ghi khách hàng mới nhất được xác nhận là đã bị đánh cắp từ Snowflake trong làn sóng trộm dữ liệu gần đây nhắm vào khách hàng Snowflake
    • Snowflake là dịch vụ cho phép khách hàng doanh nghiệp phân tích khối lượng lớn dữ liệu khách hàng trên đám mây
    • Lý do AT&T lưu trữ dữ liệu khách hàng trên Snowflake không được công bố
  • Trong vài tuần gần đây, Ticketmaster và QuoteWizard, công ty con của LendingTree, cũng xác nhận dữ liệu đã bị đánh cắp từ Snowflake
  • Snowflake cho rằng trách nhiệm về việc dữ liệu bị đánh cắp thuộc về những khách hàng không dùng xác thực đa yếu tố để bảo vệ tài khoản
    • Snowflake không ép buộc hay yêu cầu bắt buộc khách hàng phải dùng tính năng bảo mật này
    • Mandiant, đơn vị được Snowflake thuê để hỗ trợ thông báo cho khách hàng, xác nhận lượng lớn dữ liệu đã bị đánh cắp từ khoảng 165 tài khoản khách hàng Snowflake
  • Mandiant quy vụ xâm nhập này cho một nhóm tội phạm mạng chưa được phân loại, được theo dõi dưới tên UNC5537
    • Nhóm hacker này được đánh giá là có động cơ tài chính
    • Các thành viên ở Bắc Mỹ, và ít nhất 1 người ở Thổ Nhĩ Kỳ
  • Dữ liệu của một số doanh nghiệp là nạn nhân trong vụ đánh cắp tài khoản Snowflake đã bị đăng lên các diễn đàn tội phạm mạng nổi tiếng, nhưng AT&T cho biết họ không cho rằng dữ liệu của mình hiện đang được công khai
  • AT&T cho biết đang phối hợp với cơ quan thực thi pháp luật để bắt giữ các tội phạm mạng liên quan, và ít nhất 1 người đã bị bắt
    • Người bị bắt không phải là nhân viên AT&T
    • FBI từ chối bình luận về vụ bắt giữ này
  • FBI xác nhận sau khi AT&T báo cáo vụ xâm nhập, AT&T, FBI và Bộ Tư pháp đã hai lần đồng ý trì hoãn việc thông báo cho khách hàng·công chúng
    • Lý do là rủi ro tiềm tàng đối với an ninh quốc gia và an toàn công cộng
    • Trong thời gian trì hoãn, ba bên đã chia sẻ thông tin về mối đe dọa để hỗ trợ cuộc điều tra của FBI và phản ứng sự cố của AT&T
  • Đây là sự cố an ninh thứ hai mà AT&T công bố trong năm nay
    • Trước đó, sau khi một bộ nhớ đệm thông tin tài khoản khách hàng bị đăng lên diễn đàn tội phạm mạng, AT&T đã phải đặt lại mật khẩu tài khoản của hàng triệu khách hàng
    • Bộ dữ liệu khi đó có chứa passcode đã mã hóa dùng để truy cập tài khoản khách hàng AT&T, và các nhà nghiên cứu bảo mật cho rằng các passcode đó có thể bị giải mã khá dễ dàng

1 bình luận

 
GN⁺ 2024-07-13
Ý kiến trên Hacker News
  • AT&T có 110 triệu khách hàng, nên chỉ cần mỗi khách hàng phải tốn thêm 1 phút để quản lý tài khoản vì vụ xâm nhập này thì tổng cộng đã mất hơn 209 năm thời gian
    Luật về rò rỉ dữ liệu phải nghiêm khắc hơn nhiều. Nếu rò rỉ gần như không dẫn đến hậu quả thực chất nào thì các công ty sẽ chỉ đầu tư tối thiểu vào bảo mật dữ liệu
    Cần xuyên qua vỏ bọc pháp nhân để truy tố hình sự những người do cẩu thả đã khiến chuyện này có thể xảy ra, hoặc phải phạt thật nặng để ban điều hành và cổ đông chịu tổn thất thực sự

    • Thật ngạc nhiên là chẳng ai chỉ ra việc các công ty như AT&T không thu thập loại dữ liệu đó cho vui. Việc này cũng tốn kém, nhưng họ làm vì chính phủ yêu cầu theo luật
      Mọi người đều chỉ trích công ty, nhưng không biết có ai từng thấy lạ khi chính phủ giữ toàn bộ lịch sử hoạt động cuộc gọi của tôi mà vẫn thấy bình thường không. Trước đây, thứ này hẳn đã bị gọi là nhà nước giám sát phản địa đàng
    • Muốn sửa được gì đó thật sự thì chỉ còn cách đánh vào cổ đông. Cho đến khi người giàu mất tiền và buộc giới C-level cùng hội đồng quản trị phải đối mặt với trách nhiệm, họ vẫn sẽ vỗ vai nhau và lĩnh thưởng
    • Người “cẩu thả khiến chuyện này có thể xảy ra” có lẽ lại là một nhân viên thực thi bình thường. Nên cẩn thận với điều mình mong muốn
      Tôi không muốn phải chịu trách nhiệm pháp lý chỉ vì phần mềm của tôi bị đột nhập do một lỗ hổng mà tôi không biết
      Bước đầu hợp lý có thể là tạo ra tiêu chuẩn, kiểm toán và chứng nhận của bên thứ ba cho bảo mật dữ liệu, đồng thời giúp người tiêu dùng coi trọng quyền riêng tư và bảo mật biết được công ty đang làm gì. Nếu người tiêu dùng thấy điều đó có giá trị, họ sẽ ưu tiên công ty đó hơn và các công ty khác cũng có thể làm theo
    • Thứ luật có thể đã ngăn được kiểu rò rỉ này là luật biến việc bán dữ liệu khách hàng của nhà mạng thành bất hợp pháp. Lý do AT&T đưa toàn bộ dữ liệu lên Snowflake là để bán vị trí khách hàng và mạng lưới quan hệ xã hội của họ cho giới tiếp thị
      Tôi hoàn toàn không thể hiểu nổi vì sao việc này vẫn chưa bị coi là bất hợp pháp
    • Hãy tưởng tượng một thế giới nơi nếu bị rò rỉ dữ liệu thì trong 10 năm công ty đó không được phép thu thập, lưu trữ hay bán loại dữ liệu đó nữa, và quy tắc này còn được ưu tiên hơn cả các luật yêu cầu thu thập dữ liệu
      Chỉ sau một đêm, AT&T sẽ gần giống một dịch vụ mã hóa đầu-cuối
      Bản thân đường truyền sẽ không được mã hóa nên NSA vẫn nghe lén được, nhưng ít nhất trong trung tâm dữ liệu của AT&T có thể sẽ không còn lưu trữ có thể thay đổi nào ngoài ổ khởi động, hàng đợi tin nhắn SMS, cùng ánh xạ giữa SIM đã được cấp quyền và số điện thoại
      Tôi không hiểu vì sao thời nay họ vẫn tiếp tục giữ lịch sử cuộc gọi. Ngay cả cho mục đích ban đầu là tính cước thì giờ cũng không còn cần nữa
  • Nếu đây là “vụ rò rỉ dữ liệu vẫn đang tiếp diễn liên quan đến hơn 160 khách hàng của nhà cung cấp dữ liệu đám mây Snowflake”, thì tôi tự hỏi bình thường Snowflake giữ toàn bộ dữ liệu AT&T để làm gì. Có phải để phân phối lại cho “đối tác marketing” không? Có vẻ là vậy
    Tuyên bố sứ mệnh trên website Snowflake ghi rằng: “sứ mệnh của chúng tôi là phá bỏ các silo dữ liệu, vượt qua sự phức tạp, và cho phép hợp tác dữ liệu an toàn giữa các publisher, advertiser và các công nghệ cốt lõi hỗ trợ họ”
    Vậy thì có vẻ đây không phải là hệ thống vận hành của AT&T bị xâm nhập, mà là ai đó không được cấp quyền đã lấy đi dữ liệu vốn dĩ đang được bán cho giới tiếp thị rồi. Tôi muốn biết cách hiểu này có đúng không

    • Có thể chuyện này không khác mấy so với việc một nơi như Salesforce bị lộ và các khách hàng lớn của họ bị ảnh hưởng. Các tập đoàn lớn dùng dịch vụ SaaS cho phần đáng kể công việc back-office
    • Snowflake chủ yếu là cơ sở dữ liệu đám mây cho OLAP. Tài khoản AT&T được bảo vệ bằng mật khẩu kém và không có xác thực đa yếu tố
    • Cũng có thể AT&T dùng Snowflake cho phân tích nội bộ
    • Nếu vậy thì rất có thể AT&T còn tức hơn vì trên hết họ đã không thu được tiền từ dữ liệu này
  • Nhìn vào vụ này và bản chất của dữ liệu nằm trong data lake của Snowflake, từ góc nhìn khách hàng tôi sẽ không xem đây là một “vụ rò rỉ”. Vụ rò rỉ thật sự theo tôi đã xảy ra từ khâu thượng nguồn rồi
    Xét bản chất dữ liệu trong cơ sở dữ liệu và nền tảng nơi nó được lưu, rất có thể dữ liệu này không phải để AT&T dùng nội bộ mà được tạo ra để các bên thứ ba như nhà quảng cáo, đối tác phân tích người tiêu dùng, hoặc cơ quan chính phủ sử dụng từ bên ngoài
    Nói cách khác, nếu dữ liệu của tôi từng nằm trong kho này thì ngay từ lúc được đưa vào đó, nó đã bị “rò rỉ” rồi. Vấn đề ở đây có vẻ chỉ là từ góc nhìn của AT&T và FBI, dữ liệu đã rơi vào tay những kẻ không đúng đối tượng

    • Vấn đề của việc thu thập dữ liệu bừa bãi và các cơ sở dữ liệu kiểu Snowflake là ngay khi bạn nhập bất kỳ thông tin cá nhân nào lên internet thì nó đã không còn an toàn nữa. Chỉ cần đủ thời gian, tất cả thông tin đó sẽ bị “chia sẻ” và được dùng cho lợi ích tiền bạc hay chính trị của bên thứ ba
      Là AT&T, ngân hàng hay chính phủ thì cũng vậy. Không thể kỳ vọng thông tin nhạy cảm sẽ được giữ kín trong bất kỳ hoàn cảnh nào
      Hồi trước khi giới thiệu internet cho trẻ con, người ta gần như dạy điều này như một nguyên tắc tuyệt đối; thật ngạc nhiên khi trong 20 năm mọi thứ đã thay đổi nhiều đến thế
    • Tôi tự hỏi vì Snowflake chỉ chăm chăm nuốt dữ liệu rồi bán ra thay vì kiểm chứng nó, nên đã có bao nhiêu lần họ công khai truyền đi tài liệu lạm dụng tình dục trẻ em của khách hàng AT&T
  • Cổ phiếu AT&T sáng nay đã hồi lại đáng kể sau mức giảm ban đầu -2,6%, nên có vẻ thị trường xem AT&T là miễn nhiễm. Trong khi đó Snowflake đang giảm -3,9%, và họ còn có nhiều khách hàng ngoài AT&T
    https://www.marketwatch.com/investing/stock/T
    https://www.marketwatch.com/investing/stock/SNOW

    • Tôi chưa từng có cảm giác thị trường thật sự quan tâm đến rò rỉ dữ liệu. Cũng có vẻ hiếm khi các công ty phải chịu trách nhiệm tài chính về chuyện rò rỉ dữ liệu
      Nếu có tác động nào thể hiện trên giá cổ phiếu thì tôi cho rằng rất có thể không liên quan tới tin này
    • Cũng giống như đưa dữ liệu vào Salesforce rồi Salesforce bị lộ. Có thể có trách nhiệm vì chọn nhầm vendor, nhưng sự mất niềm tin thực sự sẽ rơi vào phía Salesforce
      Trong trường hợp này, theo bài báo thì Ticketmaster và Lending Tree cũng bị lộ do Snowflake, nên lúc này việc niềm tin vào Snowflake sụt giảm mạnh là điều dễ hiểu
    • Chi phí không phải vấn đề lớn, và khách hàng cũng sẽ không chuyển sang nơi khác
      Kết quả kiện tập thể có lẽ sẽ thành kiểu mỗi người nhận 2 đô thay vì phiếu dùng thử miễn phí dịch vụ nhạc chuông giá trị gia tăng đầu những năm 2000, rồi cuối cùng chỉ làm tăng thêm doanh thu định kỳ mà thôi
  • Ở châu Âu, việc lưu trữ toàn diện hồ sơ cuộc gọi vượt quá phạm vi cần thiết cho vận hành có lẽ đã là bất hợp pháp ở nhiều quốc gia, và nhìn chung cũng không phù hợp với Công ước châu Âu về Nhân quyền trừ khi đó là mối đe dọa thực sự đối với an ninh quốc gia và là biện pháp tạm thời dưới sự giám sát của tòa án[1]
    Ngay từ đầu đã không có lý do gì để nhà cung cấp dịch vụ phải lưu những thứ này, và cũng không khó để sửa bằng lập pháp. Chỉ cần coi việc lưu giữ bản thân nó là bất hợp pháp
    [1] https://curia.europa.eu/juris/document/document.jsf?text=&do...

    • Ngược lại, nhiều quốc gia châu Âu có thời hạn lưu trữ dữ liệu bắt buộc, trong nhiều trường hợp bằng hoặc dài hơn 6 tháng hồ sơ được nói là có trong vụ rò rỉ này
      Đức thuộc nhóm tương đối ngắn với 10 tuần, nhưng vẫn phải lưu những hồ sơ như vậy
      Nói rằng việc thu thập các hồ sơ này là bất hợp pháp ở châu Âu rõ ràng là sai, và hơn nữa việc thu thập hồ sơ thường là nghĩa vụ trong khoảng thời gian do từng quốc gia quy định
      Hồ sơ cuộc gọi là cần thiết cho việc tính cước. Khách hàng thường xuyên tranh chấp hóa đơn, nên cũng cần giữ chúng thêm một thời gian
    • Có nhiều lý do phải lưu trữ. Chỉ là phần lớn trong số đó đi ngược lại cách mọi người nghĩ doanh nghiệp nên vận hành
      Đáng tiếc là Mỹ dường như coi trọng “đổi mới mang tính phá hủy” hơn bảo vệ khách hàng, nên bảo vệ dữ liệu bằng pháp luật không được Quốc hội ưa chuộng
    • Tôi cứ tưởng là không được phép để chính phủ ra lệnh cho các công ty viễn thông lưu toàn bộ hồ sơ cuộc gọi theo cách này. Có điều, có vẻ như điều đó không ngăn được việc nhà mạng tự làm
      Có phải chuyện này sẽ vướng các giới hạn của GDPR hơn không
    • Có vẻ như bạn đang sống ở một nơi mà chính phủ là vì người dân. Chứ không phải chính phủ là vì chính nó
    • NSA muốn gì thì NSA sẽ lấy. Nếu hệ thống đang vận hành đúng như thiết kế thì không cần luật riêng nào cả
  • Người tiêu dùng đã trở nên quá chai lì với các vụ rò rỉ dữ liệu, đến mức giờ gần như không còn nổi giận vì những chuyện như thế này nữa. Nếu không có sự phẫn nộ từ người tiêu dùng thì tôi nghĩ các công ty gần như không có động lực để cố gắng ngăn chặn rò rỉ dữ liệu hơn

    • Bây giờ bắt đầu có cảm giác như quyền riêng tư dữ liệu không còn tồn tại nữa. Tôi cũng chẳng hiểu vì sao những người quản trị các cơ sở dữ liệu khách hàng khổng lồ ngày nay còn bận tâm đặt mật khẩu làm gì
    • Từ sau vụ Equifax thì có vẻ chẳng ai còn quan tâm nữa. Có lẽ phải là một vụ rò rỉ B2B lớn làm lộ dữ liệu cốt lõi của hoạt động kinh doanh, chứ không phải các thông tin phổ biến như tên, địa chỉ, số điện thoại, thì người ta mới xem là chuyện lớn
    • AT&T là công ty niêm yết. Công ty niêm yết phải bị phạt tương xứng
      Nếu bắt đầu áp mức phạt hàng tỷ USD cho những vụ rò rỉ như thế này thì các công ty sẽ đột nhiên đầu tư vào bảo mật
      Nhưng với các phán quyết gần đây của Tòa án Tối cao làm suy yếu quyền lực của các cơ quan chính phủ, có lẽ điều đó sẽ không khả thi
      Giờ có lẽ phải trông vào tòa dân sự, tức là các vụ kiện tập thể, để áp tiền phạt
    • Nhiều công ty dường như nghĩ rằng chỉ cần đổ tiền vào đội an ninh mạng là có thể giải quyết vấn đề này. Nhưng đội an ninh mạng thường lại không hiệu quả
    • Tôi không hiểu vì sao ngay cả khi chúng ta đã tức giận thì cũng chẳng làm được gì
  • Tôi đã hủy tài khoản AT&T hơn 10 năm trước, vậy mà trong vụ hack trước đó vào tháng 3 năm nay họ vẫn đang lưu địa chỉ cũ, họ tên đầy đủ và số An sinh Xã hội của tôi
    Việc không có luật tử tế nào để trừng phạt thực chất những tổ chức vô năng như vậy thật sự quá vô lý

  • Đầu năm nay số An sinh Xã hội của tôi cũng đã bị đưa lên dark web vì vụ rò rỉ từ AT&T hoặc nhà cung cấp của họ. Giám sát 1 năm là không đủ. Phải là suốt đời
    Bảo mật không phải là mối quan tâm. Không có động lực thực sự nào để thay đổi hiện trạng. Cần bắt những công ty như thế này trả chi phí giám sát vô thời hạn

    • Tôi không hiểu tại sao ở Mỹ người ta lại đối xử với số An sinh Xã hội như bí mật. Nó nên là “tên đăng nhập” chứ không phải “mật khẩu”
      Số giấy tờ tùy thân quốc gia ở nước tôi có thể tính ra từ ngày sinh, số thứ tự tăng dần của người sinh trong ngày đó, và một chữ số checksum; nếu bạn có làm kinh doanh cá nhân dù chỉ một chút thì số thuế cá nhân của bạn phải được ghi trên mọi hóa đơn hoặc chứng từ mua bán phục vụ kinh doanh
      Việc biết rằng số ID của bé trai đầu tiên sinh ra hôm nay là 120702450001X không giúp làm điều xấu. Tôi không tính checksum vì lười, nhưng thuật toán là công khai
    • Tùy trường hợp, số An sinh Xã hội có thể lại là vấn đề nhỏ nhất trong số thông tin bị lộ
      Hãy nghĩ đến những người đã gọi tới đường dây nóng phòng chống tự sát, phòng khám phá thai, hay dịch vụ trả nợ vay thì sẽ ra sao
      Chỉ với số điện thoại là có thể suy ra những chuyện đó
    • Khi tôi học đại học vào cuối thập niên 1980, số An sinh Xã hội của tôi tự động được dùng làm số thẻ sinh viên. Khi mở tài khoản ngân hàng đầu tiên vào năm 1990, số An sinh Xã hội của tôi còn được dùng làm số tài khoản
    • Bản thân cơ quan An sinh Xã hội cũng không bền vững, nên nếu nó sụp trong 10 năm tới thì chuyện này sẽ აღარ là vấn đề nữa
  • Theo bài của TechCrunch, mã định danh trạm gốc cũng bị bao gồm, nghĩa là còn có cả thông tin vị trí gần đúng
    https://techcrunch.com/2024/07/12/att-phone-records-stolen-d...

  • Vậy nên tôi cũng không biết khoản bồi thường của mình ở đâu. Dĩ nhiên tôi biết là chẳng có biện pháp khắc phục nào cả
    Đây là kết quả khi không ai phải chịu trách nhiệm cho những thực hành an toàn như bật xác thực đa yếu tố trên kho dữ liệu chứa lượng lớn thông tin cá nhân khách hàng
    Họ chỉ báo cáo rồi bỏ qua, thậm chí chẳng buồn xin lỗi. Cùng lắm là kiểu “ôi chà, bọn tội phạm mạng chết tiệt đó mà”

    • Nếu bạn ra tòa đòi bồi thường thì nhiều khả năng họ sẽ bắt bạn chứng minh thiệt hại. Bạn có chứng minh được không?
    • Tôi đã vài lần nhận séc vì những chuyện như thế này. Cuối cùng thì chỉ là điền mẫu yêu cầu, đợi cỡ 5 năm, rồi đến một ngày nào đó nhận qua thư một tấm séc giá trị rất nhỏ