Checkout.com ứng phó vụ tấn công mạng: từ chối trả tiền chuộc và quyên góp cho nghiên cứu bảo mật
(checkout.com)- Nền tảng thanh toán Checkout.com đã bị một nhóm tội phạm mạng cố gắng tống tiền, nhưng từ chối trả tiền chuộc và thay vào đó quyên góp số tiền tương ứng cho nghiên cứu an ninh mạng
- Kẻ tấn công đã truy cập trái phép vào hệ thống lưu trữ tệp đám mây bên thứ ba cũ được sử dụng trước năm 2020 và lấy được một phần dữ liệu
- Checkout.com nêu rõ rằng nền tảng xử lý thanh toán, tiền của merchant và thông tin thẻ hoàn toàn không bị ảnh hưởng
- Công ty ước tính ít hơn 25% tổng số merchant có thể bị ảnh hưởng, đồng thời đang phối hợp với cơ quan thực thi pháp luật và cơ quan quản lý
- Công ty đã quyên góp cho Carnegie Mellon University và University of Oxford Cyber Security Center, đồng thời tái khẳng định minh bạch và niềm tin là các giá trị cốt lõi của ngành
Tổng quan sự việc
- Checkout.com cho biết tuần trước họ đã nhận được liên hệ từ một nhóm tội phạm có tên “ShinyHunters”, nhóm này tuyên bố đã lấy được dữ liệu liên quan đến Checkout.com và yêu cầu tiền chuộc
- Kết quả điều tra cho thấy kẻ tấn công đã truy cập trái phép vào hệ thống lưu trữ tệp đám mây bên thứ ba được sử dụng trước năm 2020
- Hệ thống này được dùng để lưu trữ tài liệu vận hành nội bộ và tài liệu onboarding merchant
- Checkout.com thừa nhận sai sót khi không loại bỏ hệ thống này một cách phù hợp
- Công ty nhấn mạnh rằng vụ việc không ảnh hưởng đến nền tảng xử lý thanh toán, và kẻ tấn công không thể truy cập tiền của merchant hay số thẻ
Ảnh hưởng và biện pháp ứng phó
- Checkout.com ước tính hiện tại ít hơn 25% merchant có thể bị ảnh hưởng
- Công ty đang tiến hành xác định các merchant bị ảnh hưởng và liên hệ riêng với từng bên, đồng thời phối hợp với cơ quan thực thi pháp luật và các cơ quan quản lý liên quan
- Checkout.com nhấn mạnh minh bạch và trách nhiệm, đồng thời bày tỏ quyết tâm duy trì niềm tin với đối tác và khách hàng
Từ chối trả tiền chuộc và quyết định quyên góp
- Checkout.com tuyên bố sẽ không trả tiền chuộc cho tội phạm
- Thay vào đó, công ty sẽ quyên góp số tiền mà phía tấn công yêu cầu cho Carnegie Mellon University và University of Oxford Cyber Security Center dưới dạng kinh phí hỗ trợ nghiên cứu tội phạm mạng
- Công ty cho biết sẽ biến sự việc lần này thành động lực đầu tư bảo mật cho toàn ngành
Lập trường và cam kết của công ty
- Checkout.com cho biết “bảo mật, minh bạch và niềm tin” là nền tảng của ngành, đồng thời khẳng định sẽ thừa nhận sai sót và bảo vệ merchant
- Công ty nhấn mạnh sẽ đầu tư vào cuộc chiến chống lại các hành vi tội phạm đe dọa nền kinh tế số
- Merchant có thể yêu cầu hỗ trợ thông qua đầu mối liên hệ Checkout hiện có
Kết luận
- Thông qua sự việc này, Checkout.com đã thể hiện lập trường cứng rắn trước hành vi tống tiền mạng, đồng thời
hướng tới tăng cường năng lực phòng thủ cho toàn ngành thông qua quyên góp cho nghiên cứu bảo mật - Công ty hiện tập trung vào khôi phục niềm tin của merchant thông qua công bố minh bạch và các biện pháp có trách nhiệm
1 bình luận
Ý kiến trên Hacker News
Vài năm trước, các thành viên của ShinyHunters từng bị FBI bắt giữ
Tôi đã ở cùng nhà tù với một trong số họ là Sebastian Raoult, và đã nói chuyện với anh ta khá nhiều
Sự dai dẳng mà họ thể hiện để thực hiện các cuộc tấn công phishing quy mô lớn thật đáng kinh ngạc. Họ giành được phần lớn quyền truy cập theo cách đó, ngoài ra còn tìm các endpoint API trên GitHub và dò các khóa bị lộ
Anh ta không mấy thích trình quét tự động của GitHub
Bài liên quan: thông cáo báo chí của Bộ Tư pháp Mỹ
Vì vậy việc họ dùng kỹ nghệ xã hội để lấy quyền truy cập không có gì đáng ngạc nhiên
Điều thú vị là chính họ cũng có thể là nạn nhân của kỹ nghệ xã hội. Những người tạo exploit cho game online để dụ các hacker trẻ cuối cùng đang xây dựng một mô hình kiếm tiền an toàn hơn cho bản thân
Tôi tò mò không biết họ có dùng bulletproof hosting hay bị lần ra thông qua nhà cung cấp thanh toán
Cũng muốn biết liệu trang đó chỉ cung cấp liên kết như Sportsurge hay thực sự tự host các luồng stream
Trong lời xin lỗi của công ty
Điều quan trọng hơn một lời xin lỗi thật sự là phân tích nguyên nhân gốc rễ và biện pháp ngăn tái diễn.
Muốn lấy lại niềm tin thì phải làm rõ còn bao nhiêu hệ thống cũ xử lý dữ liệu khách hàng, và ai đã chặn ngân sách
Một lời xin lỗi thật sự phải được thể hiện bằng bồi thường, không chỉ bằng lời nói
Nếu là khách hàng tôi hẳn sẽ rất tức giận, nhưng tôi nghĩ phản ứng lần này là hình thức tốt nhất có thể trong hoàn cảnh đó
Trách nhiệm pháp lý, hoàn tiền và siết chặt quy định phải đi kèm
Tôi mong họ cũng công bố kết quả kiểm toán và bản postmortem để tăng tính minh bạch
Việc quyên góp này cho cảm giác giống một động thái phô diễn hơn là cải thiện bảo mật thực chất
Điều quan trọng hơn là tuân thủ các quy tắc bảo mật đã được biết rõ. Số tiền đó lẽ ra nên được dùng để tuyển người phụ trách bảo mật hoặc củng cố hệ thống
(Lưu ý: vụ hack xảy ra trên một hệ thống legacy chưa bị loại bỏ)
Nó không chỉ là phô diễn đạo đức mà còn là tín hiệu ‘chúng tôi không khuất phục trước đòi tiền chuộc’
Nếu trả tiền chuộc thì ngược lại có thể còn kích thích thêm nhiều cuộc tấn công
Dù mất tiền, chọn dùng nó theo một hướng có giá trị vẫn là quyết định khôn ngoan
Dù có tác dụng phụ là tài trợ cho tội phạm, nếu không trả thì khách hàng có thể chịu thiệt hại lớn hơn
Cách diễn đạt “kẻ tấn công truy cập thông qua hệ thống lưu trữ đám mây bên thứ ba” khiến tôi thấy hơi giống né tránh trách nhiệm
Ngay cả khi xảy ra sự cố kiểu này thì cũng chỉ bị cười nhạo khoảng một tuần rồi thôi. Cuối cùng hầu như không có thay đổi căn bản nào
Tôi nghĩ kiểu phản ứng công khai và quyên góp này là một quyết định can đảm
Bảo mật hoàn hảo là điều không thể, và khi postmortem còn chưa được công bố thì khó có thể vội vàng chỉ trích
Tôi đánh giá cao việc họ không che giấu và cách tiếp cận vì lợi ích công thông qua quyên góp cho giới học thuật
Nhìn vào câu “hệ thống được dùng cho tài liệu vận hành nội bộ và tài liệu onboarding merchant”, nhiều khả năng đó là các tài liệu thu thập trong quy trình KYC
Tức là có thể bao gồm giấy tờ công ty hoặc bản scan hộ chiếu/giấy tờ tùy thân
Loại dữ liệu này có rủi ro đánh cắp danh tính cao và có thể còn giá trị trong nhiều năm
Sau GDPR, loại dữ liệu nhạy cảm này được lưu trong vùng bảo mật riêng
Có lẽ đó chỉ là kho lưu trữ PDF hoặc tài liệu khảo sát mà đội onboarding sử dụng
Dù nói là “chỉ dưới 25% khách hàng bị ảnh hưởng”, nếu tôi nằm trong số đó thì sẽ rất khó hài lòng với một cử chỉ không kèm bồi thường
“OXCIS” là viết tắt của Oxford Centre for Islamic Studies, nên có lẽ không phải nơi đó
Nơi nhận quyên góp thực tế có vẻ là trung tâm nghiên cứu Cyber Security của Đại học Oxford
Theo kinh nghiệm làm trong ngành fintech của tôi, thứ bị lộ lần này có vẻ là tài liệu KYB của merchant
Đây là tài liệu phục vụ đánh giá rủi ro doanh nghiệp, không nhạy cảm như thông tin thanh toán hay PAN
Tất nhiên bị hack vẫn là chuyện tệ, nhưng loại dữ liệu này đôi khi cũng là thông tin công khai
Tôi đánh giá cao việc công ty đã công khai minh bạch điều này
Vì vậy vẫn tồn tại rủi ro đánh cắp danh tính nhắm vào người giàu