(Bloomberg) - Në një episod që nënvizon cenueshmërinë e rrjeteve kompjuterike globale, hakerët morën kredencialet e hyrjes për qendrat e të dhënave në Azi të përdorura nga disa prej bizneseve më të mëdha në botë, një burim i mundshëm për spiunim ose sabotim, sipas një firme kërkimore të sigurisë kibernetike. .
Më i lexuari nga Bloomberg
Memoria e të dhënave të pararaportuara më parë përfshijnë email dhe fjalëkalime për faqet e internetit të mbështetjes së klientit për dy nga operatorët më të mëdhenj të qendrave të të dhënave në Azi: GDS Holdings Ltd. me bazë në Shanghai dhe Qendrat Globale të të Dhënave ST Telemedia me bazë në Singapor, sipas Resecurity Inc., e cila ofron shërbimet e sigurisë kibernetike dhe heton hakerat. Rreth 2,000 klientë të GDS dhe STT GDC u prekën. Hakerët kanë hyrë në llogaritë e të paktën pesë prej tyre, duke përfshirë platformën kryesore të tregtisë së këmbimit valutor dhe borxhit të Kinës dhe katër të tjerë nga India, sipas Resecurity, e cila tha se ishte infiltruar në grupin e hakerëve.
Nuk është e qartë se çfarë kanë bërë hakerët me hyrjet e tjera. Informacioni përfshinte kredencialet në numra të ndryshëm për disa nga kompanitë më të mëdha në botë, duke përfshirë Alibaba Group Holding Ltd., Amazon.com Inc., Apple Inc., BMW AG, Goldman Sachs Group Inc., Huawei Technologies Co., Microsoft Corp. dhe Walmart Inc., sipas firmës së sigurisë dhe qindra faqeve të dokumenteve që Bloomberg shqyrtoi.
Duke iu përgjigjur pyetjeve në lidhje me gjetjet e Resecurity, GDS tha në një deklaratë se një uebsajt i mbështetjes së klientit u shkel në vitin 2021. Nuk është e qartë se si hakerët morën të dhënat e STT GDC. Ajo kompani tha se nuk gjeti asnjë provë që portali i saj i shërbimit ndaj klientit ishte komprometuar atë vit. Të dyja kompanitë thanë se kredencialet mashtruese nuk përbënin rrezik për sistemet ose të dhënat e IT të klientëve.
Megjithatë, Resecurity dhe drejtuesit e katër kompanive kryesore me bazë në SHBA që u prekën thanë se kredencialet e vjedhura përfaqësonin një rrezik të pazakontë dhe serioz, kryesisht sepse faqet e internetit të mbështetjes së klientit kontrollojnë se kush lejohet të hyjë fizikisht në pajisjet e IT të vendosura në qendrat e të dhënave. Ata drejtues, të cilët mësuan për incidentet nga Bloomberg News dhe e vërtetuan informacionin me ekipet e tyre të sigurisë, të cilët kërkuan të mos identifikoheshin sepse nuk ishin të autorizuar të flisnin publikisht për këtë çështje.
Regjistrohu për buletinin tonë javor të sigurisë kibernetike, Buletinin Kibernetik, këtu.
Madhësia e humbjes së të dhënave të raportuar nga Resecurity thekson rrezikun në rritje të kompanive për shkak të varësisë së tyre nga palët e treta për të strehuar të dhëna dhe pajisje IT dhe për të ndihmuar rrjetet e tyre të arrijnë tregjet globale. Ekspertët e sigurisë thonë se çështja është veçanërisht e mprehtë në Kinë, e cila kërkon që korporatat të bashkëpunojnë me ofruesit lokalë të shërbimeve të të dhënave.
"Ky është një makth që pret të ndodhë," tha Michael Henry, ish-shefi i informacionit për Digital Realty Trust Inc., një nga operatorët më të mëdhenj të qendrave të të dhënave në SHBA, kur u tha për incidentet nga Bloomberg. (Digital Realty Trust nuk u prek nga incidentet). Skenari i rastit më të keq për çdo operator të qendrës së të dhënave është që sulmuesit në një farë mënyre të kenë akses fizik në serverët e klientëve dhe të instalojnë kode me qëllim të keq ose pajisje shtesë, tha Henry. "Nëse ata mund ta arrijnë këtë, ata potencialisht mund të prishin komunikimet dhe tregtinë në një shkallë masive."
GDS dhe STT GDC thanë se nuk kishin asnjë tregues se diçka e tillë kishte ndodhur dhe se shërbimet e tyre kryesore nuk ishin ndikuar.
Hakerët kishin akses në kredencialet e hyrjes për më shumë se një vit përpara se ta postonin atë për shitje në rrjetin e errët muajin e kaluar, për 175,000 dollarë, duke thënë se ishin të mbingarkuar nga vëllimi i tij, sipas Resecurity dhe një pamje ekrani të postimit të rishikuar nga Bloomberg. .
"Kam përdorur disa objektiva," thanë hakerët në postim. "Por në pamundësi për të trajtuar pasi numri i përgjithshëm i kompanive është mbi 2,000."
Adresat e emailit dhe fjalëkalimet mund të kenë lejuar hakerat të maskohen si përdorues të autorizuar në faqet e internetit të shërbimit të klientit, sipas Resecurity. Firma e sigurisë zbuloi memoriet e të dhënave në shtator 2021 dhe tha se gjeti gjithashtu prova që hakerët po e përdornin për të hyrë në llogaritë e klientëve të GDS dhe STT GDC deri në janar, kur të dy operatorët e qendrës së të dhënave detyruan rivendosjen e fjalëkalimit të klientit, sipas Resecurity.
Edhe pa fjalëkalime të vlefshme, të dhënat do të ishin ende të vlefshme – duke i lejuar hakerët të krijojnë emaile të synuara phishing kundër njerëzve me akses të nivelit të lartë në rrjetet e kompanive të tyre, sipas Resecurity.
Shumica e kompanive të prekura që kontaktoi Bloomberg News, përfshirë Alibaba, Amazon, Huawei dhe Walmart, nuk pranuan të komentojnë. Apple nuk iu përgjigj mesazheve që kërkonin koment.
Në një deklaratë, Microsoft tha: "Ne monitorojmë rregullisht për kërcënime që mund të ndikojnë në Microsoft dhe kur identifikohen kërcënime të mundshme, ne marrim masat e duhura për të mbrojtur Microsoft-in dhe klientët tanë". Një zëdhënës i Goldman Sachs tha: "Ne kemi vendosur kontrolle shtesë për t'u mbrojtur kundër këtij lloji të shkeljes dhe jemi të kënaqur që të dhënat tona nuk ishin në rrezik".
Prodhuesi i automjeteve BMW tha se ishte në dijeni të çështjes. Por një zëdhënës i kompanisë tha: "Pas vlerësimit, çështja ka një ndikim shumë të kufizuar në bizneset e BMW dhe nuk ka shkaktuar dëme te klientët e BMW dhe informacionet në lidhje me produktin." Zëdhënësi shtoi, "BMW i ka kërkuar GDS të përmirësojë nivelin e sigurisë së informacionit."
GDS dhe STT GDC janë dy nga ofruesit më të mëdhenj të Azisë të shërbimeve të "kolokacionit". Ata veprojnë si pronarë, duke u dhënë me qira hapësirë në qendrat e tyre të të dhënave klientëve që instalojnë dhe menaxhojnë pajisjet e tyre IT atje, zakonisht për të qenë më afër klientëve dhe operacioneve të biznesit në Azi. GDS është ndër tre ofruesit kryesorë të kolokacionit në Kinë, tregu i dytë më i madh për shërbimin në botë pas SHBA-së, sipas Synergy Research Group Inc. Singapori renditet i gjashti.
Kompanitë janë gjithashtu të ndërthurura: një dosje e korporatës tregon se në vitin 2014, Singapore Technologies Telemedia Pte, prindja e STT GDC, bleu 40% të aksioneve në GDS.
Shefi Ekzekutiv i Sigurisë, Gene Yoo tha se firma e tij zbuloi incidentet në vitin 2021 pasi një nga operativët e saj u fsheh për të depërtuar në një grup hakerimi në Kinë që kishte sulmuar objektivat e qeverisë në Tajvan.
Menjëherë pas kësaj, ajo njoftoi GDS dhe STT GDC dhe një numër të vogël klientësh të Resecurity që u ndikuan, sipas Yoo dhe dokumenteve.
Resecurity njoftoi GDS dhe STT GDC përsëri në janar pasi zbuloi se hakerat kishin akses në llogari, dhe firma e sigurisë gjithashtu njoftoi autoritetet në Kinë dhe Singapor në atë kohë, sipas Yoo dhe dokumenteve.
Të dy operatorët e qendrës së të dhënave thanë se u përgjigjën menjëherë kur u njoftuan për çështjet e sigurisë dhe filluan hetimet e brendshme.
Cheryl Lee, një zëdhënëse për Agjencinë e Sigurisë Kibernetike të Singaporit, tha se agjencia "është në dijeni të incidentit dhe po ndihmon ST Telemedia për këtë çështje". Ekipi Teknik i Reagimit ndaj Emergjencave të Rrjetit Kompjuterik Kombëtar/Qendra e Koordinimit të Kinës, një organizatë joqeveritare që merret me përgjigjen e urgjencës kibernetike, nuk iu përgjigj mesazheve që kërkonin koment.
GDS pranoi se një faqe interneti për mbështetjen e klientit ishte shkelur dhe tha se hetoi dhe rregulloi një dobësi në sit në vitin 2021.
"Aplikacioni i cili ishte në shënjestër nga hakerët është i kufizuar në shtrirje dhe informacion për funksione shërbimi jo kritike, të tilla si bërja e kërkesave për bileta, planifikimi i dorëzimit fizik të pajisjeve dhe rishikimi i raporteve të mirëmbajtjes," sipas një deklarate të kompanisë. “Kërkesat e bëra përmes aplikacionit zakonisht kërkojnë ndjekje dhe konfirmim jashtë linje. Duke pasur parasysh natyrën bazë të aplikacionit, shkelja nuk rezultoi në ndonjë kërcënim për operacionet e IT të klientëve tanë.”
STT GDC tha se solli ekspertë të jashtëm të sigurisë kibernetike kur mësoi për incidentin në vitin 2021. "Sistemi IT në fjalë është një mjet për shitjen e biletave të shërbimit ndaj klientit" dhe "nuk ka lidhje me sisteme të tjera të korporatave dhe as ndonjë infrastrukturë kritike të të dhënave," tha kompania. .
Kompania tha se portali i saj i shërbimit ndaj klientit nuk u shkel në vitin 2021 dhe se kredencialet e marra nga Resecurity janë “një listë e pjesshme dhe e vjetëruar e kredencialeve të përdoruesve për aplikacionet tona të biletave të klientëve. Çdo e dhënë e tillë tani është e pavlefshme dhe nuk paraqet rrezik sigurie në të ardhmen.”
“Asnjë akses i paautorizuar apo humbje e të dhënave nuk u vërejt”, sipas deklaratës së STT GDC.
Pavarësisht se si hakerët mund ta kenë përdorur informacionin, ekspertët e sigurisë kibernetike thanë se vjedhjet tregojnë se sulmuesit po eksplorojnë mënyra të reja për të depërtuar në objektiva të fortë.
Siguria fizike e pajisjeve të TI-së në qendrat e të dhënave të palëve të treta dhe sistemet për kontrollin e aksesit në të përfaqësojnë dobësi që shpesh anashkalohen nga departamentet e sigurisë së korporatave, tha Malcolm Harkins, ish-shefi i sigurisë dhe ofertës së privatësisë së Intel Corp. Çdo ndërhyrje e qendrës së të dhënave pajisjet "mund të kenë pasoja shkatërruese," tha Harkins.
Hakerët morën adresa emaili dhe fjalëkalime për më shumë se 3,000 njerëz në GDS – duke përfshirë punonjësit e saj dhe ata të klientëve të saj – dhe më shumë se 1,000 nga STT GDC, sipas dokumenteve të shqyrtuara nga Bloomberg News.
Hakerët vodhën gjithashtu kredencialet për rrjetin e GDS-së prej më shumë se 30,000 kamerash vëzhgimi, shumica e të cilave mbështeteshin në fjalëkalime të thjeshta si "admin" ose "admin12345", tregojnë dokumentet. GDS nuk adresoi një pyetje në lidhje me vjedhjen e pretenduar të kredencialeve në rrjetin e kamerës, apo për fjalëkalimet.
Numri i kredencialeve të hyrjes për faqet e internetit të mbështetjes së klientit ndryshonte për klientë të ndryshëm. Për shembull, kishte 201 llogari në Alibaba, 99 në Amazon, 32 në Microsoft, 16 në Baidu Inc., 15 në Bank of America Corp., shtatë në Bank of China Ltd., katër në Apple dhe tre në Goldman, sipas dokumentet. Yoo i Resecurity tha se hakerëve u duhet vetëm një adresë e vlefshme emaili dhe fjalëkalimi për të hyrë në llogarinë e një kompanie në portalin e shërbimit të klientit.
Ndër kompanitë e tjera, të dhënat e hyrjes së punëtorëve të të cilave u morën, sipas Resecurity dhe dokumenteve, ishin: Bharti Airtel Ltd. në Indi, Bloomberg LP (pronari i Bloomberg News), ByteDance Ltd., Ford Motor Co., Globe Telecom Inc. në Filipine, Mastercard Inc., Morgan Stanley, Paypal Holdings Inc., Porsche AG, SoftBank Corp., Telstra Group Ltd. në Australi, Tencent Holdings Ltd., Verizon Communications Inc. dhe Wells Fargo & Co.
Në një deklaratë, Baidu tha, "Ne nuk besojmë se ndonjë e dhënë është komprometuar. Baidu i kushton vëmendje të madhe për të siguruar sigurinë e të dhënave të klientëve tanë. Ne do të vëzhgojmë nga afër çështje të tilla si kjo dhe do të qëndrojmë në gatishmëri ndaj çdo kërcënimi të shfaqur ndaj sigurisë së të dhënave në çdo pjesë të operacioneve tona.”
Një përfaqësues i Porsche tha: “Në këtë rast konkret nuk kemi asnjë indikacion se ka pasur ndonjë rrezik”. Një përfaqësues i SoftBank tha se një filial kinez ndaloi përdorimin e GDS vitin e kaluar. "Asnjë rrjedhje e të dhënave të klientit nga kompania lokale kineze nuk është konfirmuar, as nuk ka pasur ndonjë ndikim në biznesin dhe shërbimet e saj," tha përfaqësuesi.
Një zëdhënës për Telstra tha, "Ne nuk jemi në dijeni të ndonjë ndikimi në biznes pas kësaj shkeljeje", ndërsa një përfaqësues i Mastercard tha, "Ndërsa ne vazhdojmë të monitorojmë këtë situatë, ne nuk jemi të vetëdijshëm për ndonjë rrezik për biznesin tonë ose ndikim në rrjetin ose sistemet tona të transaksioneve.”
Një përfaqësues për Tencent tha, "Ne nuk jemi në dijeni të ndonjë ndikimi në biznes pas kësaj shkeljeje. Ne menaxhojmë serverët tanë brenda qendrave të të dhënave drejtpërdrejt, me operatorët e objektit të qendrës së të dhënave që nuk kanë qasje në asnjë të dhënë të ruajtur në serverët Tencent. Ne nuk kemi zbuluar ndonjë akses të paautorizuar të sistemeve dhe serverëve tanë të IT pas hetimit, të cilët mbeten të sigurt dhe të sigurt.”
Një zëdhënës i Wells Fargo tha se përdorte GDS për infrastrukturën rezervë të TI-së deri në dhjetor 2022. "GDS nuk kishte akses në të dhënat, sistemet ose rrjetin Wells Fargo të Wells Fargo," tha kompania. Të gjitha kompanitë e tjera refuzuan të komentojnë ose nuk u përgjigjën.
Yoo i Resecurity tha se në janar, operativi i fshehtë i firmës së tij u bëri presion hakerëve për të demonstruar nëse ata ende kishin akses në llogaritë. Hakerët siguruan pamje nga ekrani që i tregonin ata duke hyrë në llogaritë e pesë kompanive dhe duke lundruar në faqe të ndryshme në portalet online GDS dhe STT GDC, tha ai. Sigurimi i lejoi Bloomberg News të rishikonte ato pamje nga ekrani.
Në GDS, hakerët arritën në një llogari për Sistemin e Tregtisë së Këmbimit të Kinezëve, një krah i bankës qendrore të Kinës që luan një rol kyç në ekonominë e atij vendi, duke operuar platformën kryesore të qeverisë për tregtimin e këmbimit valutor dhe borxhit, sipas pamjeve të ekranit dhe Resecurity. Organizata nuk iu përgjigj mesazheve.
Në STT GDC, hakerat arritën te llogaritë e Shkëmbimit Kombëtar të Internetit të Indisë, një organizatë që lidh ofruesit e internetit në të gjithë vendin dhe tre të tjerë me bazë në Indi: MyLink Services Pvt., Skymax Broadband Services Pvt. dhe Logix InfoSecurity Pvt., shfaqen pamjet e ekranit.
E kontaktuar nga Bloomberg, Shkëmbimi Kombëtar i Internetit i Indisë tha se nuk ishte në dijeni të incidentit dhe nuk pranoi komente të mëtejshme. Asnjë nga organizatat e tjera në Indi nuk iu përgjigj kërkesave për koment.
I pyetur në lidhje me pretendimin se hakerët ishin ende duke hyrë në llogari në janar duke përdorur kredencialet e vjedhura, një përfaqësues i GDS tha: "Kohët e fundit, ne zbuluam sulme të shumta të reja nga hakerat duke përdorur informacionin e vjetër të aksesit në llogari. Ne kemi përdorur mjete të ndryshme teknike për të bllokuar këto sulme. Deri më tani, ne nuk kemi gjetur ndonjë depërtim të ri të suksesshëm nga hakerët, gjë që është për shkak të cenueshmërisë së sistemit tonë.”
Përfaqësuesi i GDS shtoi, “Siç jemi në dijeni, një klient i vetëm nuk ka rivendosur një nga fjalëkalimet e llogarisë së tij në këtë aplikacion që i përkiste një ish-punonjësi të tyre. Kjo është arsyeja pse së fundmi ne kemi detyruar një rivendosje të fjalëkalimit për të gjithë përdoruesit. Ne besojmë se kjo është një ngjarje e izoluar. Nuk është rezultat i hakerëve që depërtojnë sistemin tonë të sigurisë.”
STT GDC tha se mori njoftim në janar për kërcënime të mëtejshme ndaj portaleve të shërbimit ndaj klientit në "rajonet tona të Indisë dhe Tajlandës". “Hetimet tona të deritanishme tregojnë se nuk ka pasur humbje të të dhënave apo ndikim në asnjë prej këtyre portaleve të shërbimit ndaj klientit,” tha kompania.
Në fund të janarit, pasi GDS dhe STT GDC ndryshuan fjalëkalimet e klientëve, Resecurity vuri re hakerët që postonin bazat e të dhënave për shitje në një forum të errët të internetit, në anglisht dhe kinezisht, sipas Yoo.
“DB-të përmbajnë informacione të klientëve, mund të përdoren për phishing, akses në kabinete, monitorim të porosive dhe pajisjeve, porositë me dorë në distancë”, thuhej në postim. "Kush mund të ndihmojë me phishing të synuar?"
Më i lexuari nga Bloomberg Businessweek
© 2023 Bloomberg LP
Burimi: https://finance.yahoo.com/news/hackers-scored-data-center-logins-020028440.html