Chỉ mất 2 phút để hack ứng dụng xác minh tuổi mới của EU và các tin tức an ninh mạng khác

Chỉ mất 2 phút để hack ứng dụng xác minh tuổi mới của EU và các tin tức an ninh mạng khác

Tổng hợp tin tức an ninh mạng tuần này: Ứng dụng xác minh tuổi của EU gặp lỗi bảo mật nghiêm trọng, các vụ rò rỉ dữ liệu tại Basic-Fit và Booking.com, cùng cuộc tấn công DDoS nhắm vào Bluesky.

Ứng dụng xác minh tuổi của EU bị hack trong tích tắc

Liên minh Châu Âu (EU) vừa tung ra một ứng dụng mã nguồn mở miễn phí nhằm xác minh độ tuổi người dùng truy cập vào các mạng xã hội và trang web khiêu dâm. Tuy nhiên, thay vì được ca ngợi, ứng dụng này đã trở thành tâm chỉ chỉ trích vì các lỗ hổng bảo mật nghiêm trọng.

Tại một cuộc họp báo, Chủ tịch Ủy ban Châu Âu Ursula von der Leyen từng tuyên bố rằng với sự ra mắt của ứng dụng này, các nền tảng "không còn lý do gì" để không kiểm tra độ tuổi người dùng. Tuy nhiên, nhận định này đã bị bác bỏ ngay sau khi các chuyên gia bảo mật phát hiện ra những sai sót nghiêm trọng.

Theo báo cáo của Politico, chuyên gia tư vấn bảo mật Paul Moore cho biết ông đã tìm thấy một chuỗi các vấn đề bảo mật cho phép ông hack ứng dụng này "trong vòng chưa đầy 2 phút". Một trong những lỗi nghiêm trọng nhất liên quan đến cách ứng dụng lưu trữ mã PIN do người dùng tạo ra, có thể cho phép kẻ tấn công chiếm đoạt hồ sơ ứng dụng của nạn nhân một cách dễ dàng. Baptiste Robert, một hacker mũ trắng, cũng đã xác nhận tính xác thực của lỗ hổng này.

"Sản phẩm này sẽ là chất xúc tác cho một vụ vi phạm dữ liệu khổng lồ vào một thời điểm nào đó. Chỉ là vấn đề thời gian thôi," Moore kết luận trong bài đăng của mình.

Chuỗi phòng tập và ông lớn khách sạn công bố vụ rò rỉ dữ liệu lớn

Hệ thống an ninh mạng của các doanh nghiệp châu Âu đang đối mặt với những thách thức lớn khi hai vụ rò rỉ dữ liệu nghiêm trọng vừa được công bố.

Basic-Fit, chuỗi phòng tập lớn nhất châu Âu, đã xác nhận một vụ rò rỉ dữ liệu lớn vào thứ Hai, tiết lộ rằng thông tin ngân hàng của khoảng một triệu khách hàng đã bị xâm phạm. Chỉ riêng tại Hà Lan đã có khoảng 200.000 thành viên bị ảnh hưởng. Dữ liệu bị đánh cắp bao gồm chi tiết ngân hàng cùng với tên, địa chỉ nhà và email, số điện thoại và ngày sinh của khách hàng. Một người phát ngôn cho biết các thành viên tại Bỉ, Pháp, Đức, Luxembourg và Tây Ban Nha cũng bị ảnh hưởng tương tự thông qua một hệ thống duy nhất ghi lại lượt ra vào của thành viên. Tuy nhiên, Basic-Fit khẳng định không lưu trữ mật khẩu nên thông tin này không bị lộ.

Cùng ngày, Booking.com, "gã khổng lồ" trong lĩnh vực đặt phòng và du lịch toàn cầu, cũng xác nhận rằng hacker có thể đã trích xuất dữ liệu khách hàng bao gồm tên, địa chỉ email, số điện thoại và chi tiết đặt phòng. Công ty thông báo với TechCrunch rằng họ đã "phát hiện một số hoạt động đáng ngờ" và "đã thực hiện các biện pháp để ngăn chặn vấn đề". Mặc dù Booking.com từ chối chia sẻ chi tiết về quy mô của vụ việc, họ khẳng định với The Guardian rằng không có "thông tin tài chính" nào bị mất.

Bluesky gồng mình chống lại cuộc tấn công DDoS

Nền tảng mạng xã hội Bluesky đã trải qua một ngày thứ Năm đầy khó khăn khi trang web và ứng dụng của họ phải hứng chịu một cuộc tấn công từ chối dịch vụ phân tán (DDoS). Rose Wang, giám đốc vận hành, cho biết cuộc tấn công "đáng gờm" này bắt đầu vào khoảng 20h40 ngày 15/4 theo giờ ET và gây ra các lỗi gián đoạn trên các nguồn cấp dữ liệu (feeds), thông báo và tính năng tìm kiếm.

Công ty cho biết họ chưa tìm thấy bằng chứng nào cho thấy có sự truy cập trái phép vào dữ liệu người dùng. Tuy nhiên, sự cố ngừng hoạt động đã ảnh hưởng đến cơ sở hạ tầng của Bluesky nhưng lại bỏ qua các cộng đồng như Blacksky, nơi vận hành các phiên bản riêng của họ trên giao thức AT Protocol cơ bản. Blacksky cho biết họ đã thấy sự gia tăng đáng kể trong các yêu cầu di cư trong 12 giờ qua, khi người dùng và các nhà vận hành đối thủ trên ATmosphere thúc đẩy các lựa chọn thay thế.

Sàn tiền điện tử Grinex của Nga bị hack, đổ lỗi cho điệp viên nước ngoài

Sàn giao dịch tiền điện tử Grinex của Nga, vốn bị cáo buộc giúp nước này lẩn tránh các lệnh trừng phạt, đã bất ngờ thông báo đình chỉ hoạt động sau một vụ vi phạm dữ liệu cho phép hacker đánh cắp hơn 1 tỷ ruble (tương đương hơn 13 triệu USD) từ tiền của người dùng.

Trong các thông báo trên mạng xã hội, Grinex đổ lỗi cho "các dịch vụ đặc biệt" của một quốc gia nước ngoài, viết rằng "dấu vết kỹ thuật số và bản chất của cuộc tấn công cho thấy mức độ tài nguyên và công nghệ chưa từng có, chỉ có sẵn cho các cấu trúc của các quốc gia không thân thiện". Họ cho rằng cuộc tấn công nhằm vào "gây thiệt hại trực tiếp cho chủ quyền tài chính của Nga".

Grinex, vốn bị chính quyền tài chính Mỹ trừng phạt, được coi là người kế thừa của Garantex, một sàn giao dịch Nga khác cũng bị trừng phạt vì cho phép lẩn tránh trừng phạt và các tội phạm tài chính khác. Theo công ty theo dõi tiền điện tử Elliptic, Grinex có thể được tạo ra bởi cùng một chủ sở hữu và kế thừa tiền cũng như khách hàng của Garantex. Tuy nhiên, Grinex không cung cấp bằng chứng công khai nào để chứng minh cho tuyên bố rằng việc đánh cắp tiền của họ là do các hacker được nhà nước bảo trợ thực hiện.