Cựu giám đốc an ninh mạng tố cáo IBM che giấu hàng loạt vụ lộ lọt dữ liệu

Cựu giám đốc an ninh mạng tố cáo IBM che giấu hàng loạt vụ lộ lọt dữ liệu

Một cựu giám đốc an ninh mạng của IBM đã cáo buộc công ty này bị tin tặc tấn công ba lần trong thập kỷ trước bởi các chính phủ nước ngoài và sau đó che giấu các vụ việc này.

Trong một vụ kiện được công bố vào tuần này nhưng đã được đệ trình từ năm 2020, William Barlow, người từng là Phó chủ tịch phụ trách tình báo đe dọa (threat intelligence) của IBM cho đến tháng 8 năm 2019, cho biết IBM đã kết luận rằng các tin tặc Trung Quốc đã xâm nhập vào mạng lõi của công ty từ năm 2013 đến năm 2016. Tuy nhiên, công ty sau đó đã che giấu các vụ vi phạm này và không bao giờ công bố chúng. Barlow cũng cho biết ít nhất hai công ty con của IBM cũng bị tấn công và IBM đã che giấu những vụ việc đó.

Trong đơn khiếu nại, Barlow cáo buộc mạng lõi của IBM "thường xuyên bị tin tặc nhà nước và các bên khác tấn công", đồng thời thêm rằng dữ liệu thường xuyên bị đánh cắp và các cơ quan chính phủ "không bao giờ được thông báo".

Mặc dù các vụ tấn công được cho là đã diễn ra hơn một thập kỷ trước, nhưng tin tức này cho thấy các cuộc tấn công mạng, ngay cả những vụ ảnh hưởng đến các công ty công nghệ lớn niêm yết công khai như IBM, đôi khi không bao giờ được công bố, dù với công chúng hay các cơ quan chính phủ có liên quan. IBM là một nhà cung cấp dịch vụ an ninh mạng lớn cho chính phủ liên bang Hoa Kỳ, điều này khiến hành vi che giấu bị cáo buộc trở nên đặc biệt nghiêm trọng. Trong vài năm gần đây, nhiều luật về thông báo lộ lọt dữ liệu đã được thông qua để đối phó với vấn đề này.

Bloomberg là đơn vị đầu tiên đưa tin về vụ kiện này.

Người phát ngôn của IBM, Miki Carver, đã từ chối trả lời các câu hỏi cụ thể về vụ kiện và các cáo buộc cơ bản. Thay vào đó, Carver nói với TechCrunch: "Đơn khiếu nại này đã được đệ trình sáu năm trước và Bộ Tư pháp Hoa Kỳ đã từ chối can thiệp. IBM tự tin rằng các hành động của chúng tôi tuân thủ đúng luật pháp."

Cụ thể, Barlow cho biết IBM nằm trong số nhiều nạn nhân của một chiến dịch tấn công do nhóm APT 10 thực hiện, một nhóm có liên kết với chính phủ Trung Quốc mà khi đó Giám đốc FBI Christopher Wray nói đã nhắm vào "Danh sách những người nổi tiếng" của nền kinh tế toàn cầu khi các thành viên của nhóm này bị truy tố vào năm 2018. Những kẻ tấn công đã đột nhập vào cả mạng lưới của công ty và dữ liệu mà công ty duy trì đó trong quan hệ đối tác với AT&T.

Barlow cáo buộc rằng vào tháng 3 năm 2017, các quan chức tình báo từ Úc, Canada, New Zealand, Hoa Kỳ và Vương quốc Anh — liên minh được gọi là Five Eyes — đã cảnh báo IBM về vụ vi phạm, thúc đẩy một cuộc điều tra nội bộ.

Theo đơn khiếu nại, cuộc điều tra kết luận rằng APT 10 có khả năng đã xâm nhập vào mạng của IBM hơn 56.000 lần giữa năm 2013 và 2016. Quan trọng hơn, công ty cho biết họ không thể điều tra thêm vì họ không giữ nhật ký (logs) về ai đã truy cập mạng của mình và khi nào — một thực hành bảo mật cơ bản.

Sau đó, IBM bị cáo buộc là đã không cảnh báo cho bất kỳ cơ quan chức năng nào hoặc chính phủ Hoa Kỳ, một trong những khách hàng chính của họ.

"Vì cơ sở hạ tầng của Mạng lõi IBM và AT&T đã lỗi thời, những kẻ tin tặc đã có thể truy cập vào hệ thống nhiều lần và có thể di chuyển gần như ở bất cứ đâu mà không bị phát hiện," đơn khiếu nại viết, giải thích rằng cuộc điều tra nội bộ của IBM kết luận bốn máy chủ đã bị xâm phạm trong chiến dịch tấn công của APT 10.

"Những kẻ tấn công đã xâm nhập và/hoặc truy cập gần 400 tài khoản bị xâm phạm và gần 200 hệ thống và máy chủ tổng thể trên mọi đơn vị kinh doanh của IBM, mười tám quốc gia và nhiều sản phẩm của IBM," một báo cáo nội bộ của IBM về cuộc điều tra vụ vi phạm cho biết, theo đơn khiếu nại.

Jason Brown, luật sư đại diện cho Barlow, nói với TechCrunch rằng công ty của ông "mong đợi sẽ tranh tụng gay gắt vấn đề này."

"Bạn không thể bán an ninh mạng cho chính phủ liên bang trong khi bị cáo buộc có các vấn đề bảo mật này trong chính công ty của mình," Brown nói.

Theo Barlow, các vụ vi phạm khác mà ông biết đến đã ảnh hưởng đến Trusteer, một startup an ninh mạng mà IBM mua lại vào năm 2013, mà ông nói đã bị xâm nhập vào năm 2018; và Truven, một startup dữ liệu y tế mà IBM mua lại vào năm 2016, mà ông nói đã bị xâm nhập nhiều lần sau thương vụ mua lại.

Trong cả hai trường hợp, Barlow cáo buộc IBM đã không điều tra và công bố các vụ vi phạm này một cách thích đáng.