Gã khổng lồ an ninh ADT xác nhận bị xâm nhập dữ liệu, hacker khoe đánh cắp 10 triệu hồ sơ

Một công ty chuyên kinh doanh hệ thống báo động trộm lại bị "đột nhập" theo kiểu kỹ thuật số chắc chắn là một tình huống trớ trêu, nhưng đó chính là vị thế hiện tại của ADT. Công ty này đã xác nhận một vụ xâm nhập mạng sau khi nhóm hacker ShinyHunters cố gắng tống tiền, với tuyên bố đã lấy cắp hơn 10 triệu bản ghi dữ liệu.

ADT nói gì về vụ việc?

Có trụ sở tại Mỹ, ADT là một trong những nhà cung cấp hệ thống báo động gia đình được giám sát lớn nhất thế giới, bán các sản phẩm từ chuông báo trộm, camera đến các bộ smarthome, tất cả đều được quảng cáo là để giữ những vị khách không mời ra ngoài.

Vào thứ Sáu vừa qua, công ty cho biết họ đã phát hiện "truy cập trái phép" vào ngày 20 tháng 4, ngay lập tức chặn đứng nó và đưa các đơn vị phản hồi sự cố bên ngoài vào cuộc, đồng thời thông báo cho cơ quan thực thi pháp luật.

Theo ADT, kẻ xâm nhập đã đánh cắp một "tập dữ liệu hạn chế" bao gồm tên, số điện thoại và địa chỉ. Một phần nhỏ hơn trong số đó bao gồm ngày sinh và 4 chữ số cuối của số An sinh xã hội hoặc mã số thuế. Công ty khẳng định không có dữ liệu thanh toán nào bị truy cập và nhấn mạnh rằng các hệ thống an ninh của khách hàng không bị ảnh hưởng.

Thông tin từ phía hacker ShinyHunters

Tuy nhiên, ShinyHunters lại đưa ra một câu chuyện hoàn toàn khác. Trong một bài đăng trên trang web rò rỉ dữ liệu dark web của mình, nhóm này tuyên bố đã lấy cắp "hơn 10 triệu bản ghi Salesforce chứa thông tin nhận dạng cá nhân (PII) và dữ liệu nội bộ khác của công ty". Họ đang công bố toàn bộ dữ liệu này sau khi các cuộc đàm phán với ADT đi vào ngõ cụt.

"Công ty đã không đạt được thỏa thuận với chúng tôi bất chấp sự kiên nhẫn đáng kinh ngạc, cũng như tất cả các cơ hội và đề nghị chúng tôi đưa ra", nhóm này nói. "Họ không quan tâm."

Sự xuất hiện của Salesforce gợi ý về một điểm tựa SaaS (Phần mềm như một dịch vụ) thay vì việc ai đó can thiệp trực tiếp vào các bảng điều khiển báo động. Mặc dù ADT chưa xác nhận cách kẻ xâm nhập truy cập được, nhưng công ty cho biết trong một hồ sơ 8-K riêng rằng kẻ tấn công đã truy cập vào "một số môi trường dựa trên đám mây".

Thực tế nằm ở đâu?

Nói một cách nhẹ nhàng, có một khoảng cách lớn giữa "tập dữ liệu hạn chế" và "10 triệu bản ghi". Các công ty thường có xu hướng định nghĩa các sự cố một cách chặt chẽ nhất có thể, trong khi tội phạm lại có xu hướng làm điều ngược lại. Sự thật thường nằm ở một vị trí khó xử ở giữa.

Have I Been Pwned (HIBP) hiện đã đưa ra một con số cụ thể, liệt kê 5,5 triệu địa chỉ email duy nhất. Con số này gần với "hàng triệu" hơn nhiều so với phiên bản sự kiện mà ADT đưa ra.

ShinyHunters gần đây cũng đưa ra các tuyên bố tương tự về Carnival Corporation, kèm theo lời nói về các cuộc đàm phán thất bại và việc đổ bộ dữ liệu sắp xảy ra.

Đối với một công ty được xây dựng dựa trên việc giữ kẻ xâm nhập ở bên ngoài, kẻ xâm nhập này đã lọt được qua cửa chính. Liệu chúng có dọn sạch cả tủ hồ sơ hay không vẫn là điều đang gây tranh cãi.