Gã khổng lồ ngành giải trí đêm RCI Hospitality thừa nhận rò rỉ dữ liệu người dùng

Gã khổng lồ ngành giải trí đêm RCI Hospitality thừa nhận rò rỉ dữ liệu người dùng

RCI Hospitality Holdings, một trong những chuỗi câu lạc bộ đêm dành cho người lớn lớn nhất tại Mỹ, mới đây đã công bố một sự cố an ninh mạng làm lộ thông tin cá nhân nhạy cảm.

Theo hồ sơ gửi lên Ủy ban Chứng khoán và Giao dịch Hoa Kỳ (SEC), công ty con RCI Internet Services đã phát hiện vào ngày 23/3 rằng một lỗ hổng Insecure Direct Object Reference (IDOR) trên máy chủ web IIS đã cho phép truy cập trái phép vào thông tin cá nhân.

RCI Hospitality

Cuộc điều tra kết thúc vào đầu tháng này cho thấy sự cố bắt đầu từ ngày 19/3. RCI cho biết vụ rò rỉ dữ liệu liên quan đến việc truy cập trái phép vào thông tin của "nhiều" nhà thầu độc lập, bao gồm tên, ngày sinh, thông tin liên lạc, số An sinh xã hội (SSN) và số giấy phép lái xe.

Dữ liệu khách hàng không bị ảnh hưởng

"Theo hiểu biết của công ty, kẻ tấn công trái phép chưa công khai dữ liệu này," RCI cho biết trong hồ sơ SEC. "Không có thông tin khách hàng hay hệ thống tài chính nào bị truy cập."

Công ty cũng lưu ý rằng hoạt động kinh doanh không bị ảnh hưởng và không tin rằng sự cố này sẽ có tác động đáng kể. Hiện vẫn chưa rõ có bao nhiêu cá nhân bị ảnh hưởng, nhưng RCI Hospitality sở hữu hàng chục địa điểm tại Mỹ với các thương hiệu như Rick’s và Tootsie’s, bên cạnh các quán bar thể thao và câu lạc bộ khiêu vũ.

Nguy cơ từ lỗ hổng IDOR

Lỗ hổng IDOR là một lỗ hổng bảo mật web cho phép kẻ tấn công truy cập dữ liệu chỉ đơn giản bằng cách thay đổi một giá trị trong liên kết web hoặc yêu cầu gửi đến máy chủ. Nó xảy ra khi một trang web sử dụng bộ định danh (như số tài khoản hoặc tên tệp) để truy xuất bản ghi nhưng không xác minh rằng người dùng yêu cầu có quyền cần thiết để truy cập nó.

Ví dụ, một người dùng đăng nhập vào trang web với tham số account=101 trong URL có thể thay đổi thành account=102 và truy cập vào thông tin riêng tư của người khác nếu hệ thống không kiểm soát quyền truy cập chặt chẽ.

SecurityWeek Logo

Hiện tại, chưa có nhóm tội phạm mạng nào nhận trách nhiệm cho cuộc tấn công vào RCI Hospitality. Mặc dù RCI mô tả sự cố là "truy cập trái phép", nhưng có một khả năng nhỏ rằng nó liên quan đến hoạt động của các nhà nghiên cứu bảo mật. Trong quá khứ, đã có những trường hợp các tổ chức gán nhãn việc truy cập do nhà nghiên cứu bảo mật khai thác lỗ hổng IDOR là "truy cập trái phép", đặc biệt là khi quá trình tiết lộ lỗ hổng bị tranh cãi hoặc xử lý kém.

SecurityWeek đã liên hệ với công ty để xin làm rõ và sẽ cập nhật bài viết nếu có phản hồi.