Kẻ tấn công tuyên bố rò rỉ "footage giám sát video" của các công ty khách hàng

Một công ty dịch vụ hạ tầng CNTT và chuyển đổi số có trụ sở tại Mexico đang trong quá trình khắc phục hậu quả sau khi một tội phạm đăng tải các ảnh chụp màn hình được cho là hình ảnh giám sát video của công ty lên một diễn đàn tội phạm mạng.

Công ty Be Prime có trụ sở tại Monterrey đã xác nhận họ là nạn nhân của một "sự cố an ninh mạng" vào thứ Năm tuần trước. Điều này diễn ra sau khi kẻ tấn công sử dụng bí danh "dylanmarly" đưa ra những tuyên bố rộng rãi về một cuộc tấn công mà họ nhận trách nhiệm.

Các ảnh chụp màn hình được kẻ tấn công công bố cho thấy quyền truy cập vào bảng điều khiển Cisco Meraki Vision của Be Prime. Nếu thông tin này là đúng, kẻ tấn công có thể theo dõi trực tiếp các luồng hình ảnh tại văn phòng của khách hàng, bao gồm cả những camera quay về không gian làm việc của các đội nhóm khác nhau.

Dylanmarly cũng tuyên bố đã rò rỉ khoảng 12,6 GB dữ liệu thuộc về Be Prime và một số khách hàng lớn của công ty này. Danh sách khách hàng của họ bao gồm các gã khổng lồ trong ngành năng lượng, các tên tuổi bán lẻ nổi tiếng và các chuỗi hiệu thuốc trên toàn quốc.

Trong tuyên bố chính thức, Be Prime không đề cập trực tiếp đến các cáo buộc về việc dữ liệu khách hàng bị rò rỉ trực tuyến, cũng không bình luận về việc liệu họ có sử dụng Cisco Meraki Vision hay không—thứ mà kẻ tấn công tuyên bố đã xâm nhập. Tuy nhiên, công ty thừa nhận đã bị tấn công mạng và cho biết đang làm việc với Cisco Talos để khắc phục sự cố.

"Trong những thời điểm như thế này, chúng tôi tin rằng đúng đắn nhất là phải nói chuyện một cách rõ ràng, khiêm tốn và hoàn toàn minh bạch," tuyên bố đăng trên LinkedIn của công ty cho biết (dịch từ tiếng Tây Ban Nha). "Không tổ chức nào là miễn nhiễm hoàn toàn với các sự cố an ninh mạng, và ngày hôm nay nó đã xảy ra với chúng tôi."

Be Prime cho biết họ đã kích hoạt ngay lập tức các giao thức chứa đựng, giảm thiểu, điều tra và khắc phục. Dựa trên thông tin phân tích được đến nay, công ty khẳng định không có bằng chứng nào cho thấy sự cố này ảnh hưởng đến tính liên tục vận hành của Be Prime hay hoạt động của khách hàng.

Theo câu chuyện được chia sẻ bởi nhà báo Ignacio Gómez Villaseñor, kẻ tấn công dylanmarly khẳng định đã truy cập được vào tài khoản quản trị vì Be Prime không triển khai tính năng xác thực hai yếu tố (2FA).

Kẻ tấn công còn cho biết đã truy cập được các khóa API của Meraki và sử dụng chúng để kiểm soát hàng nghìn thiết bị mạng của Be Prime, bao gồm cả nguồn cấp camera an ninh của khách hàng.

Dù không rõ những camera này thuộc về ai, nhưng việc camera quay vào không gian làm việc là điều đáng chú ý. Tuy nhiên, việc các công ty triển khai giám sát tại các vị trí nhạy cảm về thương mại như phòng máy chủ để hỗ trợ điều tra hình sự cũng không phải là hiếm gặp.

Be Prime chưa trực tiếp giải đáp các tuyên bố cụ thể của kẻ tấn công về việc đánh cắp khóa API hay hàng nghìn thiết bị bị xâm nhập trong các thông cáo công khai. Tuy nhiên, công ty đã cảnh báo sẽ khởi kiện bất kỳ cá nhân hoặc phương tiện truyền thông nào lan truyền thông tin sai lệch hoặc thiếu bối cảnh.

Khi được The Register yêu cầu làm rõ mọi khía cạnh trong tuyên bố của kẻ tấn công, Be Prime đã không phản hồi.

Trong thông báo công khai, Be Prime cũng bày tỏ lòng biết ơn đối với sự hỗ trợ của khách hàng và nhắc nhở về các kênh liên hệ chuyên biệt nếu họ có thắc mắc về vụ tấn công.

"Chúng tôi sẽ tiếp tục duy trì giao tiếp trực tiếp với khách hàng để cung cấp sự an tâm, hỗ trợ và trợ giúp," Be Prime tuyên bố. "Chúng tôi đã thiết lập và thông báo một điểm liên hệ cụ thể để giải quyết mọi câu hỏi, làm rõ hoặc yêu cầu liên quan đến sự cố này."

Công ty khẳng định ưu tiên hàng đầu của họ là bảo vệ hoạt động, tăng cường hơn nữa khả năng an ninh và phản hồi bằng hành động chứ không chỉ là lời nói.