1 điểm bởi GN⁺ 2025-11-14 | 1 bình luận | Chia sẻ qua WhatsApp
  • Nền tảng thanh toán Checkout.com đã bị một nhóm tội phạm mạng cố gắng tống tiền, nhưng từ chối trả tiền chuộc và thay vào đó quyên góp số tiền tương ứng cho nghiên cứu an ninh mạng
  • Kẻ tấn công đã truy cập trái phép vào hệ thống lưu trữ tệp đám mây bên thứ ba cũ được sử dụng trước năm 2020 và lấy được một phần dữ liệu
  • Checkout.com nêu rõ rằng nền tảng xử lý thanh toán, tiền của merchant và thông tin thẻ hoàn toàn không bị ảnh hưởng
  • Công ty ước tính ít hơn 25% tổng số merchant có thể bị ảnh hưởng, đồng thời đang phối hợp với cơ quan thực thi pháp luật và cơ quan quản lý
  • Công ty đã quyên góp cho Carnegie Mellon UniversityUniversity of Oxford Cyber Security Center, đồng thời tái khẳng định minh bạch và niềm tin là các giá trị cốt lõi của ngành

Tổng quan sự việc

  • Checkout.com cho biết tuần trước họ đã nhận được liên hệ từ một nhóm tội phạm có tên “ShinyHunters”, nhóm này tuyên bố đã lấy được dữ liệu liên quan đến Checkout.com và yêu cầu tiền chuộc
  • Kết quả điều tra cho thấy kẻ tấn công đã truy cập trái phép vào hệ thống lưu trữ tệp đám mây bên thứ ba được sử dụng trước năm 2020
    • Hệ thống này được dùng để lưu trữ tài liệu vận hành nội bộ và tài liệu onboarding merchant
    • Checkout.com thừa nhận sai sót khi không loại bỏ hệ thống này một cách phù hợp
  • Công ty nhấn mạnh rằng vụ việc không ảnh hưởng đến nền tảng xử lý thanh toán, và kẻ tấn công không thể truy cập tiền của merchant hay số thẻ

Ảnh hưởng và biện pháp ứng phó

  • Checkout.com ước tính hiện tại ít hơn 25% merchant có thể bị ảnh hưởng
  • Công ty đang tiến hành xác định các merchant bị ảnh hưởng và liên hệ riêng với từng bên, đồng thời phối hợp với cơ quan thực thi pháp luật và các cơ quan quản lý liên quan
  • Checkout.com nhấn mạnh minh bạch và trách nhiệm, đồng thời bày tỏ quyết tâm duy trì niềm tin với đối tác và khách hàng

Từ chối trả tiền chuộc và quyết định quyên góp

  • Checkout.com tuyên bố sẽ không trả tiền chuộc cho tội phạm
  • Thay vào đó, công ty sẽ quyên góp số tiền mà phía tấn công yêu cầu cho Carnegie Mellon UniversityUniversity of Oxford Cyber Security Center dưới dạng kinh phí hỗ trợ nghiên cứu tội phạm mạng
  • Công ty cho biết sẽ biến sự việc lần này thành động lực đầu tư bảo mật cho toàn ngành

Lập trường và cam kết của công ty

  • Checkout.com cho biết “bảo mật, minh bạch và niềm tin” là nền tảng của ngành, đồng thời khẳng định sẽ thừa nhận sai sót và bảo vệ merchant
  • Công ty nhấn mạnh sẽ đầu tư vào cuộc chiến chống lại các hành vi tội phạm đe dọa nền kinh tế số
  • Merchant có thể yêu cầu hỗ trợ thông qua đầu mối liên hệ Checkout hiện có

Kết luận

  • Thông qua sự việc này, Checkout.com đã thể hiện lập trường cứng rắn trước hành vi tống tiền mạng, đồng thời
    hướng tới tăng cường năng lực phòng thủ cho toàn ngành thông qua quyên góp cho nghiên cứu bảo mật
  • Công ty hiện tập trung vào khôi phục niềm tin của merchant thông qua công bố minh bạch và các biện pháp có trách nhiệm

1 bình luận

 
GN⁺ 2025-11-14
Ý kiến trên Hacker News
  • Vài năm trước, các thành viên của ShinyHunters từng bị FBI bắt giữ
    Tôi đã ở cùng nhà tù với một trong số họ là Sebastian Raoult, và đã nói chuyện với anh ta khá nhiều
    Sự dai dẳng mà họ thể hiện để thực hiện các cuộc tấn công phishing quy mô lớn thật đáng kinh ngạc. Họ giành được phần lớn quyền truy cập theo cách đó, ngoài ra còn tìm các endpoint API trên GitHub và dò các khóa bị lộ
    Anh ta không mấy thích trình quét tự động của GitHub
    Bài liên quan: thông cáo báo chí của Bộ Tư pháp Mỹ

    • Nói chung trong an ninh mạng, con người thường là mắt xích yếu nhất
      Vì vậy việc họ dùng kỹ nghệ xã hội để lấy quyền truy cập không có gì đáng ngạc nhiên
      Điều thú vị là chính họ cũng có thể là nạn nhân của kỹ nghệ xã hội. Những người tạo exploit cho game online để dụ các hacker trẻ cuối cùng đang xây dựng một mô hình kiếm tiền an toàn hơn cho bản thân
    • Thật đáng tiếc khi phải vào nhà tù liên bang vì điều hành một trang stream thể thao
      Tôi tò mò không biết họ có dùng bulletproof hosting hay bị lần ra thông qua nhà cung cấp thanh toán
      Cũng muốn biết liệu trang đó chỉ cung cấp liên kết như Sportsurge hay thực sự tự host các luồng stream
    • Tôi thắc mắc việc anh ta ghét trình quét GitHub là vì nó quá hiệu quả nên cản trở hoạt động của họ, hay vì anh ta nghĩ nó kém năng lực
    • Tôi muốn nghe giải thích cụ thể câu “sự dai dẳng cho phishing quy mô lớn thật đáng kinh ngạc” thực sự có nghĩa là gì
  • Trong lời xin lỗi của công ty

    “We are sorry. We regret that this incident has caused worry for our partners and people...”
    Tôi thật sự rất thích đoạn này. Dù do LLM hay đội PR viết thì nó vẫn là một câu chữ tạo cảm giác chân thành

    • Mỗi khi thấy những lời xin lỗi kiểu này tôi lại nhớ đến cảnh BP bị nhại trong South Park
      Điều quan trọng hơn một lời xin lỗi thật sự là phân tích nguyên nhân gốc rễ và biện pháp ngăn tái diễn.
      Muốn lấy lại niềm tin thì phải làm rõ còn bao nhiêu hệ thống cũ xử lý dữ liệu khách hàng, và ai đã chặn ngân sách
      Một lời xin lỗi thật sự phải được thể hiện bằng bồi thường, không chỉ bằng lời nói
    • Câu “We are sorry.” là một cách diễn đạt hiếm thấy mà các công ty hầu như không dùng, nên tạo cảm giác mới mẻ
    • Tôi nghĩ thay vì “We are fully committed to maintaining your trust.” thì “rebuilding your trust” sẽ phù hợp hơn
    • Một phản ứng cứng rắn như “chúng tôi sẽ trả 500.000 USD cho người cung cấp thông tin dẫn đến việc bắt giữ thủ phạm” thậm chí có thể tạo thêm niềm tin
    • Tôi thích vì không có những câu sáo rỗng kiểu “due to an abundance of caution”. Nhìn chung đây có vẻ là một cách ứng phó kiểu mẫu
  • Nếu là khách hàng tôi hẳn sẽ rất tức giận, nhưng tôi nghĩ phản ứng lần này là hình thức tốt nhất có thể trong hoàn cảnh đó

    • Phản ứng nhanh, công ty tự nguyện công khai, lời xin lỗi chân thành, giải thích phạm vi thiệt hại — hầu hết các tiêu chí đều đã được đáp ứng
    • Nhưng nếu chỉ dừng ở “chúng tôi xin lỗi” thì ngành này sẽ còn phải đối mặt với thảm họa lớn hơn
      Trách nhiệm pháp lý, hoàn tiềnsiết chặt quy định phải đi kèm
    • Gọi là “phản ứng nhanh”, nhưng họ không tự phát hiện ra vụ hack mà chỉ công khai sau khi kẻ tấn công liên hệ trước, nên tôi nghi ngờ liệu có thật sự nhanh hay không
    • Từ góc nhìn khách hàng, lựa chọn trả tiền chuộc để ngăn dữ liệu bị phát tán có lẽ còn tốt hơn
      Tôi mong họ cũng công bố kết quả kiểm toán và bản postmortem để tăng tính minh bạch
  • Việc quyên góp này cho cảm giác giống một động thái phô diễn hơn là cải thiện bảo mật thực chất
    Điều quan trọng hơn là tuân thủ các quy tắc bảo mật đã được biết rõ. Số tiền đó lẽ ra nên được dùng để tuyển người phụ trách bảo mật hoặc củng cố hệ thống
    (Lưu ý: vụ hack xảy ra trên một hệ thống legacy chưa bị loại bỏ)

    • Tôi xem khoản quyên góp này như một hành động khiêu khích với tội phạm. Thông điệp là “chúng tôi có tiền nhưng không đưa cho các người”
      Nó không chỉ là phô diễn đạo đức mà còn là tín hiệu ‘chúng tôi không khuất phục trước đòi tiền chuộc’
    • Dù vậy, trong tình huống như thế này, phát đi một tín hiệu tích cực cũng không phải điều xấu
      Nếu trả tiền chuộc thì ngược lại có thể còn kích thích thêm nhiều cuộc tấn công
      Dù mất tiền, chọn dùng nó theo một hướng có giá trị vẫn là quyết định khôn ngoan
    • Ở thời điểm này, tôi nghĩ phô diễn đạo đức vẫn còn tốt hơn phô diễn thói xấu
    • ‘Virtue signaling’ thường được dùng để chỉ trích hành vi đạo đức giả, nhưng thái độ như lần này — không đàm phán với tội phạm và hỗ trợ nghiên cứu bảo mật — về dài hạn là hướng đi đúng
    • Dù vậy, từ góc nhìn khách hàng, trả tiền chuộc có thể lại là cách giảm thiệt hại.
      Dù có tác dụng phụ là tài trợ cho tội phạm, nếu không trả thì khách hàng có thể chịu thiệt hại lớn hơn
  • Cách diễn đạt “kẻ tấn công truy cập thông qua hệ thống lưu trữ đám mây bên thứ ba” khiến tôi thấy hơi giống né tránh trách nhiệm

    • Nếu kẻ tấn công đã lấy được cả dữ liệu nhạy cảm thì tôi tự hỏi phản ứng của công ty sẽ khác đến mức nào
    • Phần lớn codebase của các công ty vẫn đầy rẫy công nghệ legacy
      Ngay cả khi xảy ra sự cố kiểu này thì cũng chỉ bị cười nhạo khoảng một tuần rồi thôi. Cuối cùng hầu như không có thay đổi căn bản nào
  • Tôi nghĩ kiểu phản ứng công khai và quyên góp này là một quyết định can đảm
    Bảo mật hoàn hảo là điều không thể, và khi postmortem còn chưa được công bố thì khó có thể vội vàng chỉ trích
    Tôi đánh giá cao việc họ không che giấu và cách tiếp cận vì lợi ích công thông qua quyên góp cho giới học thuật

    • Trên Hacker News có xu hướng xem thái độ hoài nghi, cay độc như một dạng ưu thế trí tuệ
  • Nhìn vào câu “hệ thống được dùng cho tài liệu vận hành nội bộ và tài liệu onboarding merchant”, nhiều khả năng đó là các tài liệu thu thập trong quy trình KYC
    Tức là có thể bao gồm giấy tờ công ty hoặc bản scan hộ chiếu/giấy tờ tùy thân
    Loại dữ liệu này có rủi ro đánh cắp danh tính cao và có thể còn giá trị trong nhiều năm

    • Tuy nhiên khả năng bản scan hộ chiếu được lưu cùng tài liệu KYB thông thường là thấp
      Sau GDPR, loại dữ liệu nhạy cảm này được lưu trong vùng bảo mật riêng
      Có lẽ đó chỉ là kho lưu trữ PDF hoặc tài liệu khảo sát mà đội onboarding sử dụng
  • Dù nói là “chỉ dưới 25% khách hàng bị ảnh hưởng”, nếu tôi nằm trong số đó thì sẽ rất khó hài lòng với một cử chỉ không kèm bồi thường

  • “OXCIS” là viết tắt của Oxford Centre for Islamic Studies, nên có lẽ không phải nơi đó
    Nơi nhận quyên góp thực tế có vẻ là trung tâm nghiên cứu Cyber Security của Đại học Oxford

    • Cyber Security Oxfordcộng đồng nghiên cứu an ninh mạng trực thuộc Đại học Oxford
  • Theo kinh nghiệm làm trong ngành fintech của tôi, thứ bị lộ lần này có vẻ là tài liệu KYB của merchant
    Đây là tài liệu phục vụ đánh giá rủi ro doanh nghiệp, không nhạy cảm như thông tin thanh toán hay PAN
    Tất nhiên bị hack vẫn là chuyện tệ, nhưng loại dữ liệu này đôi khi cũng là thông tin công khai
    Tôi đánh giá cao việc công ty đã công khai minh bạch điều này

    • Nhưng tài liệu KYB thường cũng bao gồm hộ chiếu và mã số thuế của chủ sở hữu cuối cùng hoặc thành viên hội đồng quản trị
      Vì vậy vẫn tồn tại rủi ro đánh cắp danh tính nhắm vào người giàu