(Bloomberg) - Jaksossa, joka korostaa maailmanlaajuisten tietokoneverkkojen haavoittuvuutta, hakkerit saivat käsiinsä joidenkin maailman suurimpien yritysten käyttämien Aasian datakeskusten kirjautumistunnukset, mikä on mahdollinen vakoilun tai sabotoinnin voitto, kyberturvallisuustutkimusyhtiön mukaan. .
Useimmat luetut Bloombergilta
Aiemmin raportoimattomat datavälimuistit sisältävät sähköpostit ja salasanat asiakastukisivustoille kahdelle Aasian suurimmalle palvelinkeskusoperaattorille: Shanghaissa sijaitsevalle GDS Holdings Ltd:lle ja Singaporessa sijaitsevalle ST Telemedia Global Data Centerille, kertoo Resecurity Inc., joka tarjoaa kyberturvallisuuspalveluita ja tutkii hakkereita. Vaikutus koskee noin 2,000 XNUMX GDS:n ja STT GDC:n asiakasta. Hakkerit ovat kirjautuneet sisään ainakin viiden heistä, mukaan lukien Kiinan päävaluutta- ja velkakaupankäyntialustalle ja neljälle muulle Intiasta, Resecurityn mukaan, joka sanoi soluttautuneen hakkerointiryhmään.
Ei ole selvää, mitä – jos mitään – hakkerit tekivät muilla kirjautumisilla. Tiedot sisälsivät eri määrin valtuustietoja joistakin maailman suurimmista yrityksistä, mukaan lukien Alibaba Group Holding Ltd., Amazon.com Inc., Apple Inc., BMW AG, Goldman Sachs Group Inc., Huawei Technologies Co., Microsoft Corp., ja Walmart Inc., turvallisuusyrityksen ja satojen sivujen Bloombergin tarkistamien asiakirjojen mukaan.
Vastatessaan kysymyksiin Resecurityn löydöistä GDS sanoi lausunnossaan, että asiakastukisivustoa rikottiin vuonna 2021. Ei ole selvää, kuinka hakkerit saivat STT GDC:n tiedot. Yritys sanoi, ettei se löytänyt todisteita siitä, että sen asiakaspalveluportaali olisi vaarantunut kyseisenä vuonna. Molemmat yhtiöt sanoivat, että petolliset tunnistetiedot eivät aiheuttaneet riskiä asiakkaiden IT-järjestelmille tai tiedoille.
Resecurity ja neljän suuren yhdysvaltalaisen yrityksen johtajat kuitenkin sanoivat, että varastetut käyttäjätiedot muodostivat epätavallisen ja vakavan vaaran pääasiassa siksi, että asiakastukisivustot valvovat, kuka saa fyysisesti käyttää datakeskuksissa olevia IT-laitteita. Ne johtajat, jotka saivat tietää tapauksista Bloomberg Newsilta ja vahvistivat tiedot turvatiimiensä kanssa, jotka pyysivät olla tunnistamatta heitä, koska heillä ei ollut oikeutta puhua asiasta julkisesti.
Tilaa viikoittainen kyberturvallisuusuutiskirjeemme, Cyber Bulletin, tästä.
Resecurityn ilmoittaman datahäviön suuruus korostaa yritysten kasvavaa riskiä, koska ne ovat riippuvaisia kolmansista osapuolista datan ja IT-laitteiden sijoittamisessa ja verkkojensa auttamisessa globaaleille markkinoille. Tietoturva-asiantuntijat sanovat, että ongelma on erityisen akuutti Kiinassa, joka edellyttää yritysten yhteistyötä paikallisten tietopalveluntarjoajien kanssa.
"Tämä on painajainen, joka odottaa tapahtuvansa", sanoi Michael Henry, Digital Realty Trust Inc:n, yhden Yhdysvaltain suurimmista datakeskusoperaattoreista, entinen tietopäällikkö Bloombergille kerrottaessa tapahtumista. (Tapaukset eivät vaikuttaneet Digital Realty Trustiin). Pahin skenaario kenelle tahansa palvelinkeskuksen operaattorille on, että hyökkääjät pääsevät jollakin tavalla fyysisesti asiakkaiden palvelimiin ja asentavat haitallista koodia tai lisälaitteita, Henry sanoi. "Jos he voivat saavuttaa sen, he voivat mahdollisesti häiritä viestintää ja kauppaa massiivisessa mittakaavassa."
GDS ja STT GDC sanoivat, että heillä ei ollut viitteitä siitä, että mitään vastaavaa olisi tapahtunut, ja että heidän ydinpalveluihinsa ei ollut vaikutusta.
Hakkereilla oli pääsy kirjautumistietoihin yli vuoden ajan ennen kuin he julkaisivat ne myyntiin pimeässä verkossa viime kuussa 175,000 XNUMX dollarilla, sanoen, että he olivat hämmentyneitä sen määrästä, kertoo Resecurity ja Bloombergin tarkistama kuvakaappaus viestistä. .
"Käytin joitain kohteita", hakkerit sanoivat viestissä. "Mutta ei pysty käsittelemään, koska yritysten kokonaismäärä on yli 2,000."
Resecurityn mukaan sähköpostiosoitteet ja salasanat ovat saattaneet antaa hakkereille mahdollisuuden naamioitua valtuutetuiksi käyttäjiksi asiakaspalvelusivustoilla. Turvayritys löysi tietovälimuistit syyskuussa 2021 ja sanoi myös löytäneensä todisteita siitä, että hakkerit käyttivät sitä päästäkseen GDS- ja STT GDC -asiakkaiden tileille vielä tammikuussa, jolloin molemmat palvelinkeskuksen operaattorit pakottivat asiakkaiden salasanan nollaamisen Resecurityn mukaan.
Jopa ilman kelvollisia salasanoja, tiedot olisivat silti arvokkaita – Resecurityn mukaan hakkerit voivat luoda kohdistettuja tietojenkalasteluviestejä ihmisiä vastaan, joilla on korkean tason pääsy yritysten verkkoihin.
Suurin osa yrityksistä, joihin Bloomberg News otti yhteyttä, mukaan lukien Alibaba, Amazon, Huawei ja Walmart, kieltäytyivät kommentoimasta. Apple ei vastannut kommentteja pyytäviin viesteihin.
Microsoft sanoi lausunnossaan: "Seuraamme säännöllisesti uhkia, jotka voivat vaikuttaa Microsoftiin, ja kun mahdollisia uhkia havaitaan, ryhdymme asianmukaisiin toimiin suojellaksemme Microsoftia ja asiakkaitamme." Goldman Sachsin tiedottaja sanoi: "Meillä on lisävalvontatoimenpiteitä suojautuaksemme tämän tyyppisiltä tietomurroilta, ja olemme tyytyväisiä siihen, että tietomme eivät olleet vaarassa."
Autovalmistaja BMW ilmoitti olevansa tietoinen ongelmasta. Mutta yrityksen tiedottaja sanoi: "Arvioinnin jälkeen ongelmalla on hyvin rajallinen vaikutus BMW-yrityksiin, eikä se ole aiheuttanut vahinkoa BMW-asiakkaille eikä tuotteisiin liittyville tiedoille." Tiedottaja lisäsi: "BMW on kehottanut GDS:ää parantamaan tietoturvatasoa."
GDS ja STT GDC ovat kaksi Aasian suurinta ”colokation”-palvelujen tarjoajaa. He toimivat vuokranantajina ja vuokraavat palvelinkeskuksissaan tilaa asiakkaille, jotka asentavat ja hallitsevat sinne omia IT-laitteitaan, tyypillisesti ollakseen lähempänä asiakkaita ja liiketoimintaa Aasiassa. Synergy Research Group Inc:n mukaan GDS on kolmen suurimman paikannuspalveluntarjoajan joukossa Kiinassa, joka on maailman toiseksi suurin palvelumarkkina Yhdysvaltojen jälkeen. Singapore sijoittuu kuudenneksi.
Yritykset ovat myös kietoutuneet toisiinsa: yrityshakemus osoittaa, että STT GDC:n emoyhtiö Singapore Technologies Telemedia Pte hankki vuonna 2014 40 prosentin osuuden GDS:stä.
Turvallisuusosaston pääjohtaja Gene Yoo sanoi, että hänen yrityksensä paljasti tapaukset vuonna 2021 sen jälkeen, kun yksi sen toimihenkilöistä meni salaa soluttautumaan Kiinan hakkerointiryhmään, joka oli hyökännyt hallituksen kohteisiin Taiwanissa.
Pian sen jälkeen se hälytti GDS:n ja STT GDC:n sekä pienelle joukolle Resecurity-asiakkaita, jotka vaikuttivat Yoon ja asiakirjojen mukaan.
Resecurity ilmoitti GDS:lle ja STT GDC:lle uudelleen tammikuussa havaittuaan hakkereiden pääsyn tileille, ja turvallisuusyritys varoitti tuolloin myös Kiinan ja Singaporen viranomaisia Yoon ja asiakirjojen mukaan.
Molemmat konesalioperaattorit sanoivat reagoineensa ripeästi tietoturvaongelmiin ja aloittaneensa sisäiset tutkimukset.
Singaporen kyberturvallisuusviraston tiedottaja Cheryl Lee sanoi, että virasto "on tietoinen tapauksesta ja auttaa ST Telemediaa tässä asiassa". National Computer Network Emergency Response Technical Team/Coordination Center of China, kansalaisjärjestö, joka hoitaa kyberhätätoimia, ei vastannut kommentteja pyytäviin viesteihin.
GDS myönsi, että asiakastukisivustoa oli rikottu, ja sanoi, että se tutki ja korjasi sivuston haavoittuvuuden vuonna 2021.
"Hakkereiden kohteena olevan sovelluksen laajuus ja tiedot on rajoitettu ei-kriittisiin palvelutoimintoihin, kuten lippupyyntöjen tekemiseen, laitteiden fyysisen toimituksen ajoittamiseen ja huoltoraporttien tarkistamiseen", yhtiön lausunnon mukaan. "Sovelluksen kautta tehdyt pyynnöt vaativat yleensä offline-seurantaa ja vahvistusta. Sovelluksen perusluonteesta johtuen tietomurto ei aiheuttanut uhkaa asiakkaidemme IT-toiminnalle."
STT GDC kertoi ottaneensa mukaan ulkopuolisia kyberturvallisuusasiantuntijoita, kun se sai tiedon tapahtuneesta vuonna 2021. "Kyseinen IT-järjestelmä on asiakaspalvelun lipunmyyntityökalu" ja "ei ole yhteyttä muihin yrityksen järjestelmiin eikä kriittiseen tietoinfrastruktuuriin", yhtiö sanoi. .
Yhtiö sanoi, että sen asiakaspalveluportaalia ei rikottu vuonna 2021 ja että Resecurityn saamat tunnistetiedot ovat "osittainen ja vanhentunut luettelo asiakaslippusovellustemme käyttäjätunnuksista. Kaikki tällaiset tiedot ovat nyt virheellisiä eivätkä aiheuta turvallisuusriskiä jatkossa."
"Luvatonta pääsyä tai tietojen menetystä ei havaittu", STT GDC:n lausunnon mukaan.
Riippumatta siitä, kuinka hakkerit ovat käyttäneet tietoja, kyberturvallisuusasiantuntijat sanoivat, että varkaudet osoittavat, että hyökkääjät tutkivat uusia tapoja tunkeutua koviin kohteisiin.
Kolmansien osapuolien tietokeskusten IT-laitteiden fyysinen turvallisuus ja niihin pääsyn valvontajärjestelmät edustavat haavoittuvuuksia, jotka yritysten tietoturvaosastot usein jättävät huomiotta, sanoi Malcolm Harkins, Intel Corp.:n entinen turvallisuus- ja tietosuojatarjous. Kaikki tietokeskuksen peukalointi. Laitteilla "voi olla tuhoisat seuraukset", Harkins sanoi.
Hakkerit saivat Bloomberg Newsin tarkistamien asiakirjojen mukaan sähköpostiosoitteita ja salasanoja yli 3,000 1,000 GDS:n työntekijälle - mukaan lukien sen omat työntekijät ja sen asiakkaat - ja yli XNUMX XNUMX STT GDC:ltä.
Hakkerit varastivat myös GDS:n yli 30,000 12345 valvontakameran verkoston käyttäjätiedot, joista suurin osa perustui yksinkertaisiin salasanoihin, kuten "admin" tai "adminXNUMX", asiakirjat osoittavat. GDS ei vastannut kysymykseen väitetystä kameraverkon valtuustietojen varkaudesta tai salasanoista.
Asiakastukisivustojen kirjautumistietojen määrä vaihteli eri asiakkaiden välillä. Esimerkiksi Alibabassa oli 201 tiliä, Amazonissa 99, Microsoftissa 32, Baidu Inc:ssä 16, Bank of America Corp.:ssa 15, Bank of China Ltd:ssä seitsemän, Applessa neljä ja Goldmanissa kolme tiliä. dokumentit. Resecurityn Yoo sanoi, että hakkerit tarvitsevat vain yhden voimassa olevan sähköpostiosoitteen ja salasanan päästäkseen yrityksen tilille asiakaspalveluportaalissa.
Muita yrityksiä, joiden työntekijöiden kirjautumistiedot saatiin Resecurityn ja asiakirjojen mukaan, olivat: Bharti Airtel Ltd. Intiassa, Bloomberg LP (Bloomberg Newsin omistaja), ByteDance Ltd., Ford Motor Co., Globe Telecom Inc. Filippiineillä Mastercard Inc., Morgan Stanley, Paypal Holdings Inc., Porsche AG, SoftBank Corp., Telstra Group Ltd. Australiassa, Tencent Holdings Ltd., Verizon Communications Inc. ja Wells Fargo & Co.
Baidu sanoi lausunnossaan: "Emme usko, että mitään dataa olisi vaarantunut. Baidu kiinnittää suurta huomiota asiakkaidemme tietoturvan varmistamiseen. Pidämme tämän kaltaisia asioita tarkasti silmällä ja pysymme valppaana mahdollisten tietoturvauhkien suhteen kaikissa toimintamme osissa."
Porschen edustaja sanoi: "Tässä nimenomaisessa tapauksessa meillä ei ole viitteitä siitä, että riskiä olisi ollut." SoftBankin edustaja sanoi, että kiinalainen tytäryhtiö lopetti GDS:n käytön viime vuonna. "Paikallisen kiinalaisen yrityksen asiakastietovuotoa ei ole vahvistettu, eikä sillä ole ollut vaikutusta sen liiketoimintaan ja palveluihin", edustaja sanoi.
Telstran tiedottaja sanoi: "Emme ole tietoisia tämän rikkomuksen vaikutuksista liiketoimintaan", kun taas Mastercardin edustaja sanoi: "Vaikka jatkamme tilanteen seurantaa, emme ole tietoisia riskeistä liiketoimintaamme tai vaikutuksista tapahtumaverkostomme tai -järjestelmämme."
Tencentin edustaja sanoi: "Emme ole tietoisia tämän rikkomuksen vaikutuksista liiketoimintaan. Hallinnoimme palvelimiamme palvelinkeskuksissa suoraan, ja palvelinkeskusten operaattorit eivät pääse käsiksi Tencent-palvelimille tallennettuihin tietoihin. Emme ole havainneet luvatonta pääsyä IT-järjestelmiimme ja palvelimiimme tutkimuksen jälkeen, ja ne ovat edelleen turvallisia."
Wells Fargon tiedottaja sanoi, että se käytti GDS:ää IT-infrastruktuurin varmuuskopiointiin joulukuuhun 2022 asti. "GDS:llä ei ollut pääsyä Wells Fargon tietoihin, järjestelmiin tai Wells Fargo -verkkoon", yhtiö sanoi. Kaikki muut yritykset kieltäytyivät kommentoimasta tai eivät vastanneet.
Resecurityn Yoo sanoi, että tammikuussa hänen yrityksensä salainen työntekijä painosti hakkereita osoittamaan, onko heillä edelleen pääsy tileille. Hakkerit toimittivat kuvakaappauksia, joissa he kirjautuivat viiden yrityksen tilille ja navigoivat eri sivuille GDS- ja STT GDC -verkkoportaaleissa, hän sanoi. Turvallisuus antoi Bloomberg Newsin tarkistaa nämä kuvakaappaukset.
GDS:ssä hakkerit pääsivät Kiinan valuuttakauppajärjestelmän tilille, joka on Kiinan keskuspankin haara, jolla on keskeinen rooli maan taloudessa ja joka operoi hallituksen pääasiallista valuutta- ja velkakauppajärjestelmää kuvakaappausten ja Resecurityn mukaan. Organisaatio ei vastannut viesteihin.
STT GDC:ssä hakkerit käyttivät National Internet Exchange of India -järjestön tilejä, jotka yhdistävät Internet-palveluntarjoajia eri puolilla maata, ja kolmea muuta Intiassa sijaitsevaa: MyLink Services Pvt., Skymax Broadband Services Pvt. ja Logix InfoSecurity Pvt., kuvakaappaukset näyttävät.
Bloombergin tavoittama Intian kansallinen Internet-pörssi ilmoitti, ettei se ollut tietoinen tapauksesta ja kieltäytyi kommentoimasta enempää. Mikään muu intialainen organisaatio ei vastannut kommenttipyyntöihin.
GDS:n edustajalta kysyttiin väitteestä, jonka mukaan hakkerit käyttivät tilejä vielä tammikuussa varastetuilla tunnistetiedoilla, "Huomasimme äskettäin useita uusia hyökkäyksiä hakkereilta käyttäen vanhoja tilin käyttötietoja. Olemme käyttäneet erilaisia teknisiä työkaluja estääksemme nämä hyökkäykset. Toistaiseksi emme ole löytäneet yhtään uutta onnistunutta murtautumista hakkereilta, mikä johtuu järjestelmämme haavoittuvuudesta."
GDS-edustaja lisäsi: "Kuten tiedämme, yksi asiakas ei nollannut tilisalasanaansa tälle sovellukselle, joka kuului heidän entiselle työntekijälleen. Tästä syystä pakotimme hiljattain uusien salasanan kaikille käyttäjille. Uskomme, että tämä on yksittäinen tapahtuma. Se ei ole seurausta siitä, että hakkerit ovat murtaneet turvajärjestelmämme läpi."
STT GDC ilmoitti saaneensa tammikuussa ilmoituksen asiakaspalveluportaaleihin kohdistuvista uusista uhista "Intian ja Thaimaan alueillamme". "Tähän mennessä tekemämme tutkimuksemme osoittavat, että mitään näistä asiakaspalveluportaaleista ei ole menetetty tai vaikuttanut mihinkään", yhtiö sanoi.
Tammikuun lopulla, kun GDS ja STT GDC vaihtoivat asiakkaiden salasanoja, Resecurity huomasi Yoon mukaan hakkerit julkaisemassa tietokannat myyntiin pimeässä verkkofoorumissa englanniksi ja kiinaksi.
"DB:t sisältävät asiakastietoja, niitä voidaan käyttää tietojenkalasteluun, kaappeihin pääsyyn, tilausten ja laitteiden valvontaan, etäkäteen tehtäviin tilauksiin", viestissä todettiin. "Kuka voi auttaa kohdistetussa tietojenkalastelussa?"
Useimmat luetut Bloomberg Businessweekistä
© 2023 Bloomberg LP
Lähde: https://finance.yahoo.com/news/hackers-scored-data-center-logins-020028440.html