(Bloomberg) — epizodē, kurā tiek uzsvērta globālo datortīklu ievainojamība, hakeri ieguva pieteikšanās akreditācijas datus Āzijas datu centros, ko izmanto daži no pasaules lielākajiem uzņēmumiem, kas ir potenciāls spiegošanas vai sabotāžas ieguvums, ziņo kiberdrošības pētījumu firma. .
Visvairāk lasītie no Bloomberg
Iepriekš neziņotās datu kešatmiņas ietver e-pasta ziņojumus un paroles klientu atbalsta vietnēm diviem lielākajiem datu centru operatoriem Āzijā: Šanhajā bāzētajiem GDS Holdings Ltd. un Singapūrā bāzētajiem ST Telemedia Global Data Centres, liecina Resecurity Inc., kas nodrošina kiberdrošības pakalpojumus un izmeklē hakerus. Tika ietekmēti aptuveni 2,000 GDS un STT GDC klientu. Hakeri ir pieteikušies vismaz piecu no viņiem kontos, tostarp Ķīnas galvenajā ārvalstu valūtas un parādu tirdzniecības platformā un vēl četros no Indijas, ziņo Resecurity, kas paziņoja, ka tā ir iefiltrējusies hakeru grupā.
Nav skaidrs, ko hakeri izdarīja ar citiem pieteikumiem. Informācija ietvēra dažādu skaitu dažu pasaules lielāko uzņēmumu akreditācijas datus, tostarp Alibaba Group Holding Ltd., Amazon.com Inc., Apple Inc., BMW AG, Goldman Sachs Group Inc., Huawei Technologies Co., Microsoft Corp., un Walmart Inc., saskaņā ar drošības firmas datiem un simtiem lappušu dokumentu, ko Bloomberg izskatīja.
Atbildot uz jautājumiem par Resecurity atklājumiem, GDS paziņoja, ka 2021. gadā tika uzlauzta klientu atbalsta vietne. Nav skaidrs, kā hakeri ieguva STT GDC datus. Šis uzņēmums paziņoja, ka nav atradis pierādījumus, ka tajā gadā būtu apdraudēts tā klientu apkalpošanas portāls. Abi uzņēmumi norādīja, ka negodīgie akreditācijas dati neradīja risku klientu IT sistēmām vai datiem.
Tomēr drošības dienests un četru lielāko ASV uzņēmumu vadītāji, kas tika ietekmēti, sacīja, ka nozagtie akreditācijas dati ir neparasti un nopietni apdraudēti galvenokārt tāpēc, ka klientu atbalsta vietnes kontrolē, kam ir atļauts fiziski piekļūt datu centros esošajam IT aprīkojumam. Tie vadītāji, kuri uzzināja par incidentiem no Bloomberg News un apstiprināja informāciju ar savām drošības komandām, kuri lūdza netikt identificēti, jo viņiem nebija tiesību publiski runāt par šo lietu.
Reģistrējieties mūsu iknedēļas kiberdrošības informatīvajam izdevumam Kiberbiļetens šeit.
Resecurity ziņotais datu zuduma apmērs norāda uz pieaugošo risku, ar kuru uzņēmumi saskaras, jo tie ir atkarīgi no trešajām pusēm, kas nodrošina datu un IT aprīkojuma glabāšanu un palīdz saviem tīkliem sasniegt globālos tirgus. Drošības eksperti saka, ka problēma ir īpaši aktuāla Ķīnā, kur uzņēmumiem ir jāsadarbojas ar vietējiem datu pakalpojumu sniedzējiem.
"Tas ir murgs, kas gaida savu notikumu," sacīja Maikls Henrijs, bijušais Digital Realty Trust Inc., viena no lielākajiem ASV datu centru operatoriem, informācijas virsnieks, kad Bloomberg pastāstīja par incidentiem. (Digital Realty Trust incidenti neietekmēja). Sliktākais jebkura datu centra operatora scenārijs ir tāds, ka uzbrucēji kaut kādā veidā iegūst fizisku piekļuvi klientu serveriem un instalē ļaunprātīgu kodu vai papildu aprīkojumu, sacīja Henrijs. "Ja viņi to var sasniegt, viņi potenciāli var masveidā izjaukt sakarus un tirdzniecību."
GDS un STT GDC paziņoja, ka viņiem nav nekādu pazīmju, ka kaut kas tāds būtu noticis, un ka viņu pamatpakalpojumi nav ietekmēti.
Hakeriem bija piekļuve pieteikšanās akreditācijas datiem vairāk nekā gadu, pirms viņi pagājušajā mēnesī tos ievietoja pārdošanai tumšajā tīmeklī par 175,000 XNUMX USD, sakot, ka viņi ir satriekti ar to apjomu, liecina Resecurity un Bloomberg pārskatītais ieraksta ekrānuzņēmums. .
"Es izmantoju dažus mērķus," ziņojumā teica hakeri. "Bet nevar tikt galā, jo kopējais uzņēmumu skaits pārsniedz 2,000."
Saskaņā ar Resecurity teikto, e-pasta adreses un paroles varēja ļaut hakeriem maskēties kā autorizētiem lietotājiem klientu apkalpošanas vietnēs. Drošības firma atklāja datu kešatmiņas 2021. gada septembrī un paziņoja, ka atradusi arī pierādījumus, ka hakeri to izmantoja, lai piekļūtu GDS un STT GDC klientu kontiem vēl janvārī, kad abi datu centru operatori piespieda klientu paroles atiestatīt, ziņo Resecurity.
Pat bez derīgām parolēm dati joprojām būtu vērtīgi — ļaujot hakeriem izveidot mērķtiecīgus pikšķerēšanas e-pastus pret cilvēkiem, kuriem ir augsta līmeņa piekļuve viņu uzņēmumu tīkliem, norāda Resecurity.
Lielākā daļa ietekmēto uzņēmumu, ar kuriem sazinājās Bloomberg News, tostarp Alibaba, Amazon, Huawei un Walmart, atteicās komentēt. Apple neatbildēja uz ziņojumiem, kas meklē komentārus.
Microsoft paziņojumā teikts: "Mēs regulāri uzraugām draudus, kas varētu ietekmēt Microsoft, un, kad tiek konstatēti iespējamie draudi, mēs veicam atbilstošus pasākumus, lai aizsargātu Microsoft un mūsu klientus." Goldman Sachs pārstāvis sacīja: "Mēs esam ieviesuši papildu kontroles, lai aizsargātu pret šāda veida pārkāpumiem, un esam gandarīti, ka mūsu dati netika apdraudēti."
Autoražotājs BMW paziņoja, ka ir informēts par šo problēmu. Taču uzņēmuma pārstāvis sacīja: "Pēc novērtējuma problēmai ir ļoti ierobežota ietekme uz BMW biznesu, un tā nav nodarījusi kaitējumu BMW klientiem un ar produktu saistītai informācijai." Pārstāvis piebilda: "BMW ir mudinājis GDS uzlabot informācijas drošības līmeni."
GDS un STT GDC ir divi no Āzijas lielākajiem izvietošanas pakalpojumu sniedzējiem. Viņi darbojas kā saimnieki, iznomājot telpas savos datu centros klientiem, kuri tur uzstāda un pārvalda savu IT aprīkojumu, parasti, lai būtu tuvāk klientiem un biznesa operācijām Āzijā. Saskaņā ar Synergy Research Group Inc datiem GDS ir viens no trim labākajiem izvietošanas pakalpojumu sniedzējiem Ķīnā, kas ir otrais lielākais pakalpojumu tirgus pasaulē pēc ASV. Singapūra ieņem sesto vietu.
Uzņēmumi ir arī savstarpēji saistīti: korporatīvā dokumentācija liecina, ka 2014. gadā STT GDC mātesuzņēmums Singapore Technologies Telemedia Pte iegādājās 40% GDS akciju.
Drošības nodaļas izpilddirektors Džīns Jo sacīja, ka viņa firma atklāja incidentus 2021. gadā pēc tam, kad viens no tā darbiniekiem bija slepens, lai iefiltrētos hakeru grupā Ķīnā, kas bija uzbrukusi valdības mērķiem Taivānā.
Drīz pēc tam tas brīdināja GDS un STT GDC un nelielu skaitu Resecurity klientu, kas tika ietekmēti, saskaņā ar Yoo un dokumentiem.
Drošība vēlreiz informēja GDS un STT GDC janvārī pēc tam, kad atklāja, ka hakeri piekļūst kontiem, un saskaņā ar Yoo un dokumentiem apsardzes firma tobrīd brīdināja iestādes arī Ķīnā un Singapūrā.
Abi datu centru operatori teica, ka viņi nekavējoties reaģēja, kad viņiem tika paziņots par drošības problēmām, un uzsāka iekšējo izmeklēšanu.
Singapūras Kiberdrošības aģentūras pārstāve Šerila Lī sacīja, ka aģentūra "zina par incidentu un palīdz ST Telemedia šajā jautājumā". Ķīnas Nacionālā datortīklu avārijas reaģēšanas tehniskā komanda/koordinācijas centrs, nevalstiskā organizācija, kas nodarbojas ar reaģēšanu kiberneatliekamās situācijās, neatbildēja uz ziņojumiem, kuros tika lūgts komentēt.
GDS atzina, ka ir uzlauzta klientu atbalsta vietne, un paziņoja, ka tā izmeklēja un novērsa vietnes ievainojamību 2021. gadā.
"Lietojumprogrammas, uz kuru mērķēja hakeri, darbības joma un informācija ir ierobežota ar nekritiskām pakalpojumu funkcijām, piemēram, biļešu iegādes pieprasījumu veikšanu, aprīkojuma fiziskās piegādes plānošanu un apkopes pārskatu pārskatīšanu," teikts uzņēmuma paziņojumā. “Pieprasījumiem, kas iesniegti, izmantojot lietojumprogrammu, parasti ir nepieciešama bezsaistes pārraudzība un apstiprinājums. Ņemot vērā lietojumprogrammas būtību, pārkāpums neradīja nekādus draudus mūsu klientu IT darbībām.
STT GDC paziņoja, ka, uzzinot par incidentu 2021. gadā, piesaistīja ārējus kiberdrošības ekspertus. "Attiecīgā IT sistēma ir klientu apkalpošanas biļešu pārdošanas rīks" un "tai nav savienojuma ar citām korporatīvajām sistēmām vai kritisku datu infrastruktūru", sacīja uzņēmums. .
Uzņēmums paziņoja, ka 2021. gadā tā klientu apkalpošanas portāls netika pārkāpts un ka Resecurity iegūtie akreditācijas dati ir “daļējs un novecojis lietotāju akreditācijas datu saraksts mūsu klientu biļešu lietojumprogrammām. Visi šādi dati tagad ir nederīgi un turpmāk nerada drošības risku.
"Netika novērota nesankcionēta piekļuve vai datu zudumi," teikts STT GDC paziņojumā.
Neatkarīgi no tā, kā hakeri varēja izmantot šo informāciju, kiberdrošības eksperti sacīja, ka zādzības liecina, ka uzbrucēji pēta jaunus veidus, kā iefiltrēties cietos mērķos.
IT aprīkojuma fiziskā drošība trešo pušu datu centros un sistēmas piekļuves kontroles sistēmām ir ievainojamības, kuras bieži vien neievēro korporatīvās drošības nodaļas, sacīja Malkolms Harkinss, bijušais Intel Corp. drošības un privātuma piedāvājums. Jebkura datu centra manipulācija. iekārtām "varētu būt postošas sekas," sacīja Harkins.
Saskaņā ar Bloomberg News izskatītajiem dokumentiem hakeri ieguva e-pasta adreses un paroles vairāk nekā 3,000 GDS darbinieku, tostarp tās darbinieku un klientu, un vairāk nekā 1,000 no STT GDC.
Hakeri arī nozaga akreditācijas datus GDS tīklam, kurā ir vairāk nekā 30,000 12345 novērošanas kameru, no kurām lielākā daļa balstījās uz vienkāršām parolēm, piemēram, “admin” vai “adminXNUMX”, liecina dokumenti. GDS neatbildēja uz jautājumu par iespējamu kameru tīkla akreditācijas datu zādzību vai parolēm.
Klientu atbalsta vietņu pieteikšanās akreditācijas datu skaits dažādiem klientiem bija atšķirīgs. Piemēram, uzņēmumā Alibaba bija 201 konts, Amazon – 99, Microsoft – 32, Baidu Inc. – 16, Bank of America Corp. – 15, Bank of China Ltd. – septiņi, Apple – četri un Goldman – trīs konts. dokumentus. Resecurity Yoo sacīja, ka hakeriem ir nepieciešama tikai viena derīga e-pasta adrese un parole, lai piekļūtu uzņēmuma kontam klientu apkalpošanas portālā.
Starp citiem uzņēmumiem, kuru darbinieku pieteikšanās informācija tika iegūta saskaņā ar Resecurity un dokumentiem, bija: Bharti Airtel Ltd. Indijā, Bloomberg LP (Bloomberg News īpašnieks), ByteDance Ltd., Ford Motor Co., Globe Telecom Inc. Filipīnās Mastercard Inc., Morgan Stanley, Paypal Holdings Inc., Porsche AG, SoftBank Corp., Telstra Group Ltd. Austrālijā, Tencent Holdings Ltd., Verizon Communications Inc. un Wells Fargo & Co.
Paziņojumā Baidu sacīja: "Mēs neuzskatām, ka kādi dati būtu apdraudēti. Baidu lielu uzmanību pievērš mūsu klientu datu drošības nodrošināšanai. Mēs rūpīgi sekosim līdzi tādiem jautājumiem kā šis un būsim modri attiecībā uz jebkādiem jauniem datu drošības apdraudējumiem jebkurā mūsu darbības daļā.
Porsche pārstāvis sacīja: "Šajā konkrētajā gadījumā mums nav nekādu pazīmju, ka pastāvētu kāds risks." SoftBank pārstāvis sacīja, ka Ķīnas meitas uzņēmums pagājušajā gadā pārtrauca izmantot GDS. "Nav apstiprināta klientu informācijas noplūde no vietējā Ķīnas uzņēmuma, kā arī nav bijusi nekāda ietekme uz tā uzņēmējdarbību un pakalpojumiem," sacīja pārstāvis.
Telstra pārstāvis sacīja: "Mēs neesam informēti par ietekmi uz uzņēmējdarbību pēc šī pārkāpuma," savukārt Mastercard pārstāvis sacīja: "Lai gan mēs turpinām uzraudzīt šo situāciju, mēs neapzināmies nekādus riskus mūsu biznesam vai ietekmi uz uzņēmumu. mūsu darījumu tīkls vai sistēmas.
Tencent pārstāvis sacīja: "Mēs neesam informēti par jebkādu ietekmi uz uzņēmējdarbību pēc šī pārkāpuma. Mēs pārvaldām savus serverus datu centros tieši, un datu centru operatoriem nav piekļuves datiem, kas glabājas Tencent serveros. Mēs pēc izmeklēšanas neesam atklājuši nesankcionētu piekļuvi mūsu IT sistēmām un serveriem, kas joprojām ir droši.
Uzņēmuma Wells Fargo pārstāvis sacīja, ka līdz 2022. gada decembrim tā izmantoja GDS rezerves IT infrastruktūrai. "GDS nebija piekļuves Wells Fargo datiem, sistēmām vai Wells Fargo tīklam," paziņoja uzņēmums. Pārējie uzņēmumi atteicās komentēt vai neatbildēja.
Resecurity Yoo sacīja, ka janvārī viņa firmas slepenais darbinieks piespieda hakerus demonstrēt, vai viņiem joprojām ir piekļuve kontiem. Viņš teica, ka hakeri nodrošināja ekrānuzņēmumus, kuros viņi piesakās piecu uzņēmumu kontos un pārvietojas uz dažādām lapām GDS un STT GDC tiešsaistes portālos. Drošība ļāva Bloomberg News pārskatīt šos ekrānuzņēmumus.
Vietnē GDS hakeri piekļuva kontam Ķīnas ārvalstu valūtas tirdzniecības sistēmai, kas ir Ķīnas centrālās bankas filiāle, kurai ir galvenā loma šīs valsts ekonomikā un kura pārvalda valdības galveno ārvalstu valūtas un parādu tirdzniecības platformu, liecina ekrānšāviņi un drošības nodaļa. Organizācija uz ziņojumiem neatbildēja.
Vietnē STT GDC hakeri piekļuva Indijas Nacionālās interneta apmaiņas kontiem, organizācijai, kas savieno interneta pakalpojumu sniedzējus visā valstī, un trīs citām Indijā bāzētām personām: MyLink Services Pvt., Skymax Broadband Services Pvt. un Logix InfoSecurity Pvt., ekrānšāviņi rāda.
Indijas Nacionālā interneta birža paziņoja, ka nav informēta par incidentu, un atteicās sniegt papildu komentārus. Neviena no citām organizācijām Indijā neatbildēja uz komentāru pieprasījumiem.
Jautāts par apgalvojumu, ka hakeri janvārī joprojām piekļūst kontiem, izmantojot nozagtos akreditācijas datus, GDS pārstāvis sacīja: “Nesen mēs atklājām vairākus jaunus hakeru uzbrukumus, izmantojot veco konta piekļuves informāciju. Mēs esam izmantojuši dažādus tehniskos rīkus, lai bloķētu šos uzbrukumus. Pagaidām mēs neesam atraduši nevienu jaunu veiksmīgu hakeru uzlaušanu, kas ir saistīts ar mūsu sistēmas ievainojamību.
GDS pārstāvis piebilda: “Kā mēs zinām, viens klients neatiestatīja vienu no sava konta parolēm šai lietojumprogrammai, kas piederēja viņa bijušajam darbiniekam. Tas ir iemesls, kāpēc mēs nesen piespiedām paroles atiestatīšanu visiem lietotājiem. Mēs uzskatām, ka tas ir atsevišķs notikums. Tas nav saistīts ar hakeriem, kas uzlauzuši mūsu drošības sistēmu.
STT GDC paziņoja, ka janvārī saņēmusi paziņojumu par turpmākiem draudiem klientu apkalpošanas portāliem "mūsu Indijas un Taizemes reģionos". "Mūsu līdzšinējā izmeklēšana liecina, ka neviens no šiem klientu apkalpošanas portāliem nav zaudējis datus vai nav ietekmējis," sacīja uzņēmums.
Janvāra beigās pēc tam, kad GDS un STT GDC mainīja klientu paroles, Resecurity pamanīja hakerus, kas ievietoja datubāzes pārdošanai tumšā tīmekļa forumā angļu un ķīniešu valodā, norāda Yoo.
"DB satur klientu informāciju, tos var izmantot pikšķerēšanai, piekļuvei skapjiem, pasūtījumu un aprīkojuma uzraudzībai, attālinātiem pasūtījumiem," teikts ziņojumā. “Kas var palīdzēt ar mērķtiecīgu pikšķerēšanu?”
Visvairāk lasītie no Bloomberg Businessweek
© 2023 Bloomberg LP
Avots: https://finance.yahoo.com/news/hackers-scored-data-center-logins-020028440.html