(Bloomberg) - Í þætti sem undirstrikar varnarleysi alþjóðlegra tölvuneta komust tölvuþrjótar yfir innskráningarskilríki fyrir gagnaver í Asíu sem notuð eru af sumum af stærstu fyrirtækjum heims, hugsanlega njósnir eða skemmdarverk, að sögn netöryggisrannsóknarfyrirtækis. .
Mest lesið frá Bloomberg
Áður ótilkynnt gagnageymslum felur í sér tölvupóst og lykilorð fyrir vefsíður fyrir þjónustuver fyrir tvo af stærstu rekstraraðilum gagnavera í Asíu: GDS Holdings Ltd. í Shanghai og ST Telemedia Global Data Centres í Singapúr, samkvæmt Resecurity Inc., sem veitir netöryggisþjónustu og rannsakar tölvuþrjóta. Um 2,000 viðskiptavinir GDS og STT GDC urðu fyrir áhrifum. Tölvuþrjótar hafa skráð sig inn á reikninga að minnsta kosti fimm þeirra, þar á meðal helstu gjaldeyris- og skuldaviðskiptavettvangur Kína og fjögurra annarra frá Indlandi, að sögn Resecurity, sem sagði að það hafi síast inn í tölvuþrjótahópinn.
Það er ekki ljóst hvað - ef eitthvað - tölvuþrjótarnir gerðu með hinum innskráningunum. Upplýsingarnar innihéldu mismikið skilríki fyrir sum af stærstu fyrirtækjum heims, þar á meðal Alibaba Group Holding Ltd., Amazon.com Inc., Apple Inc., BMW AG, Goldman Sachs Group Inc., Huawei Technologies Co., Microsoft Corp. , og Walmart Inc., samkvæmt öryggisfyrirtækinu og hundruðum síðna af skjölum sem Bloomberg fór yfir.
Til að bregðast við spurningum um niðurstöður Resecurity, sagði GDS í yfirlýsingu að brotið hafi verið á þjónustuvefsíðu viðskiptavina árið 2021. Ekki er ljóst hvernig tölvuþrjótarnir fengu STT GDC gögnin. Það fyrirtæki sagðist ekki finna neinar vísbendingar um að þjónustugátt þess hafi verið í hættu það ár. Bæði fyrirtækin sögðu að svikaskilríkin hefðu ekki í för með sér hættu fyrir upplýsingatæknikerfi eða gögn viðskiptavina.
Hins vegar sögðu öryggiseftirlit og stjórnendur fjögurra stórra bandarískra fyrirtækja sem urðu fyrir áhrifum að stolnu skilríkjunum fæli í sér óvenjulega og alvarlega hættu, fyrst og fremst vegna þess að þjónustuvefsíðurnar stjórna því hverjir fá líkamlegan aðgang að upplýsingatæknibúnaðinum sem er til húsa í gagnaverunum. Þessir stjórnendur, sem fréttu af atvikunum frá Bloomberg News og staðfestu upplýsingarnar með öryggisteymum sínum, sem báðu um að vera ekki nafngreindir vegna þess að þeir höfðu ekki heimild til að tjá sig opinberlega um málið.
Skráðu þig á vikulega netöryggisfréttabréfið okkar, Cyber Bulletin, hér.
Umfang gagnatapsins sem Resecurity greindi frá varpar ljósi á vaxandi áhættu sem fyrirtæki standa frammi fyrir vegna þess að þau eru háð þriðja aðila til að hýsa gögn og upplýsingatæknibúnað og hjálpa netum sínum að ná alþjóðlegum mörkuðum. Öryggissérfræðingar segja að málið sé sérstaklega alvarlegt í Kína, sem krefst þess að fyrirtæki eigi í samstarfi við staðbundna gagnaþjónustuveitendur.
„Þetta er martröð sem bíður þess að gerast,“ sagði Michael Henry, fyrrverandi upplýsingafulltrúi Digital Realty Trust Inc., eins stærsta rekstraraðila gagnavera í Bandaríkjunum, þegar Bloomberg sagði frá atvikunum. (Digital Realty Trust varð ekki fyrir áhrifum af atvikunum). Versta tilvikið fyrir rekstraraðila gagnavera er að árásarmenn fá einhvern veginn líkamlegan aðgang að netþjónum viðskiptavina og setja upp illgjarn kóða eða viðbótarbúnað, sagði Henry. „Ef þeir geta náð því geta þeir hugsanlega truflað samskipti og viðskipti í stórum stíl.
GDS og STT GDC sögðust ekki hafa neinar vísbendingar um að eitthvað slíkt hafi gerst og að kjarnaþjónusta þeirra hafi ekki haft áhrif.
Tölvuþrjótarnir höfðu aðgang að innskráningarskilríkjunum í meira en ár áður en þeir settu það til sölu á myrka vefnum í síðasta mánuði, fyrir 175,000 dollara, og sögðust vera óvart af magni þess, samkvæmt Resecurity og skjáskoti af færslunni sem Bloomberg skoðaði. .
„Ég notaði nokkur skotmörk,“ sögðu tölvuþrjótarnir í færslunni. „En geta ekki séð um það þar sem heildarfjöldi fyrirtækja er yfir 2,000.
Netföngin og lykilorðin hefðu getað gert tölvuþrjótum kleift að gefa sig ímynd sem viðurkenndir notendur á þjónustuvefsíðunum, að sögn Resecurity. Öryggisfyrirtækið uppgötvaði skyndiminni gagna í september 2021 og sagðist einnig hafa fundið vísbendingar um að tölvuþrjótarnir notuðu þau til að fá aðgang að reikningum GDS og STT GDC viðskiptavina svo nýlega sem í janúar, þegar báðir rekstraraðilar gagnavera neyddu til að endurstilla lykilorð viðskiptavina, samkvæmt Resecurity.
Jafnvel án gildra lykilorða væru gögnin samt verðmæt – sem gerir tölvuþrjótum kleift að búa til markvissa vefveiðapóst gegn fólki með aðgang að netkerfum fyrirtækja sinna á háu stigi, samkvæmt Resecurity.
Flest fyrirtækin sem Bloomberg News hafði samband við, þar á meðal Alibaba, Amazon, Huawei og Walmart, neituðu að tjá sig. Apple svaraði ekki skilaboðum um athugasemdir.
Í yfirlýsingu Microsoft sagði: „Við fylgjumst reglulega með ógnum sem gætu haft áhrif á Microsoft og þegar hugsanlegar ógnir koma fram grípum við til viðeigandi aðgerða til að vernda Microsoft og viðskiptavini okkar. Talsmaður Goldman Sachs sagði: „Við erum með viðbótareftirlit til að verjast þessari tegund brota og við erum ánægð með að gögnin okkar hafi ekki verið í hættu.
Bílaframleiðandinn BMW sagðist vera meðvitaður um málið. En talsmaður fyrirtækisins sagði: "Eftir mat hefur málið mjög takmörkuð áhrif á BMW fyrirtæki og hefur ekki valdið tjóni á BMW viðskiptavinum og vörutengdum upplýsingum." Talsmaðurinn bætti við: „BMW hefur hvatt GDS til að bæta upplýsingaöryggisstigið.
GDS og STT GDC eru tveir af stærstu veitendum Asíu af „samsetningu“ þjónustu. Þeir starfa sem leigusalar og leigja pláss í gagnaverum sínum til viðskiptavina sem setja upp og stjórna sínum eigin upplýsingatæknibúnaði þar, venjulega til að vera nær viðskiptavinum og fyrirtækjarekstri í Asíu. GDS er meðal þriggja efstu þjónustuveitenda í Kína, næststærsti markaðurinn fyrir þjónustuna í heiminum á eftir Bandaríkjunum, samkvæmt Synergy Research Group Inc. Singapore er í sjötta sæti.
Fyrirtækin eru líka samtvinnuð: fyrirtækjaskráning sýnir að árið 2014 eignaðist Singapore Technologies Telemedia Pte, móðurfélag STT GDC, 40% hlut í GDS.
Framkvæmdastjóri öryggismála, Gene Yoo, sagði að fyrirtæki hans hafi uppgötvað atvikin árið 2021 eftir að einn af starfsmönnum þess fór huldu höfði til að síast inn í tölvuþrjótahóp í Kína sem hafði ráðist á skotmörk stjórnvalda í Taívan.
Skömmu síðar gerði það GDS og STT GDC viðvart og fáeinum fjölda öryggisviðskiptavina sem urðu fyrir áhrifum, samkvæmt Yoo og skjölunum.
Öryggiseftirlitið tilkynnti GDS og STT GDC aftur í janúar eftir að uppgötvuðu tölvuþrjótana sem fengu aðgang að reikningum og öryggisfyrirtækið lét einnig yfirvöld í Kína og Singapúr vita á þeim tíma, samkvæmt Yoo og skjölunum.
Báðir rekstraraðilar gagnavera sögðust hafa brugðist skjótt við þegar þeir fengu tilkynningu um öryggismálin og hófu innri rannsóknir.
Cheryl Lee, talsmaður netöryggisstofnunarinnar í Singapúr, sagði að stofnunin „viti af atvikinu og er að aðstoða ST Telemedia í þessu máli. Tækniteymi/samhæfingarmiðstöð Kína fyrir neyðarviðbrögð á tölvuneti, frjáls félagasamtök sem sjá um netneyðarviðbrögð, svaraði ekki skilaboðum þar sem óskað var eftir athugasemdum.
GDS viðurkenndi að brotið hefði verið á þjónustuvefsíðu viðskiptavina og sagði að það hefði rannsakað og lagað varnarleysi á síðunni árið 2021.
„Forritið sem tölvusnápur beitti sér fyrir er takmarkað að umfangi og upplýsingum við þjónustuaðgerðir sem ekki eru mikilvægar, svo sem beiðnir um miðasölu, tímasetningu líkamlegrar afhendingu búnaðar og yfirferð viðhaldsskýrslna,“ segir í yfirlýsingu fyrirtækisins. „Beiðnir sem gerðar eru í gegnum forritið þurfa venjulega eftirfylgni og staðfestingu án nettengingar. Í ljósi grundvallareðlis forritsins leiddi brotið ekki til neinnar ógn við upplýsingatæknirekstur viðskiptavina okkar.“
STT GDC sagði að það hafi fengið til sín utanaðkomandi netöryggissérfræðinga þegar það frétti af atvikinu árið 2021. „Upplýsingatæknikerfið sem um ræðir er miðasölutæki fyrir viðskiptavini“ og „hefur enga tengingu við önnur fyrirtækjakerfi né neina mikilvæga gagnainnviði,“ sagði fyrirtækið. .
Fyrirtækið sagði að þjónustugáttin fyrir viðskiptavini sína hafi ekki verið brotin árið 2021 og að skilríkin sem Resecurity hefur fengið séu „að hluta og úreltur listi yfir notendaskilríki fyrir miðasöluforrit viðskiptavina okkar. Öll slík gögn eru nú ógild og hafa enga öryggisáhættu í för með sér.
„Enginn óviðkomandi aðgangur eða gagnatap varð vart,“ samkvæmt yfirlýsingu STT GDC.
Óháð því hvernig tölvuþrjótarnir kunna að hafa notað upplýsingarnar, sögðu netöryggissérfræðingar að þjófnaðurinn sýni að árásarmenn séu að kanna nýjar leiðir til að síast inn í hörð skotmörk.
Líkamlegt öryggi upplýsingatæknibúnaðar í gagnaverum þriðja aðila og kerfin til að stjórna aðgangi að honum tákna veikleika sem oft gleymast af öryggisdeildum fyrirtækja, sagði Malcolm Harkins, fyrrverandi yfirmaður öryggis- og persónuverndartilboðs Intel Corp. búnaður „gæti haft hrikalegar afleiðingar,“ sagði Harkins.
Tölvuþrjótarnir fengu netföng og lykilorð fyrir meira en 3,000 manns hjá GDS - þar á meðal eigin starfsmenn og viðskiptavini þess - og meira en 1,000 frá STT GDC, samkvæmt skjölunum sem Bloomberg News hefur skoðað.
Tölvuþrjótarnir stálu einnig skilríkjum fyrir netkerfi GDS með meira en 30,000 eftirlitsmyndavélum, sem flestar rerust á einföld lykilorð eins og „admin“ eða „admin12345,“ sýna skjölin. GDS svaraði ekki spurningu um meintan þjófnað á skilríkjum á myndavélarnetið eða um lykilorðin.
Fjöldi innskráningarskilríkja fyrir þjónustuvefsíðurnar var mismunandi fyrir mismunandi viðskiptavini. Til dæmis voru 201 reikningur hjá Alibaba, 99 hjá Amazon, 32 hjá Microsoft, 16 hjá Baidu Inc., 15 hjá Bank of America Corp., sjö hjá Bank of China Ltd., fjórir hjá Apple og þrír hjá Goldman, skv. skjölin. Yoo hjá Resecurity sagði að tölvuþrjótarnir þurfi aðeins eitt gilt netfang og lykilorð til að fá aðgang að reikningi fyrirtækis á þjónustugáttinni.
Meðal annarra fyrirtækja þar sem innskráningarupplýsingar starfsmanna voru fengnar, samkvæmt Resecurity og skjölunum, voru: Bharti Airtel Ltd. á Indlandi, Bloomberg LP (eigandi Bloomberg News), ByteDance Ltd., Ford Motor Co., Globe Telecom Inc. á Filippseyjum, Mastercard Inc., Morgan Stanley, Paypal Holdings Inc., Porsche AG, SoftBank Corp., Telstra Group Ltd. í Ástralíu, Tencent Holdings Ltd., Verizon Communications Inc. og Wells Fargo & Co.
Í yfirlýsingu sagði Baidu: „Við teljum ekki að nein gögn hafi verið í hættu. Baidu leggur mikla áherslu á að tryggja gagnaöryggi viðskiptavina okkar. Við munum fylgjast vel með málum eins og þessu og vera á varðbergi gagnvart hvers kyns ógnum við gagnaöryggi í hvaða hluta starfsemi okkar sem er.“
Fulltrúi Porsche sagði: „Í þessu tiltekna tilviki höfum við engar vísbendingar um að það hafi verið nein hætta. Fulltrúi SoftBank sagði að kínverskt dótturfyrirtæki hefði hætt að nota GDS á síðasta ári. „Enginn leki viðskiptavinaupplýsinga frá kínverska fyrirtækinu hefur verið staðfest, né hefur það haft nein áhrif á viðskipti þess og þjónustu,“ sagði fulltrúinn.
Talsmaður Telstra sagði: „Við erum ekki meðvituð um nein áhrif á viðskiptin eftir þetta brot,“ en fulltrúi Mastercard sagði: „Á meðan við höldum áfram að fylgjast með þessu ástandi erum við ekki meðvituð um neina áhættu fyrir viðskipti okkar eða áhrif á viðskiptanet okkar eða kerfi.“
Fulltrúi Tencent sagði: „Okkur er ekki kunnugt um nein áhrif á viðskiptin eftir þetta brot. Við stjórnum netþjónum okkar í gagnaverum beint, þar sem rekstraraðilar gagnavera hafa engan aðgang að neinum gögnum sem geymd eru á Tencent netþjónum. Við höfum ekki uppgötvað neinn óviðkomandi aðgang að upplýsingatæknikerfum okkar og netþjónum eftir rannsókn, sem eru áfram örugg og örugg.“
Talsmaður Wells Fargo sagði að það notaði GDS til öryggisafrita upplýsingatækniinnviða þar til í desember 2022. „GDS hafði ekki aðgang að Wells Fargo gögnum, kerfum eða Wells Fargo netinu,“ sagði fyrirtækið. Hin fyrirtækin neituðu öll að tjá sig eða svöruðu ekki.
Yoo hjá Resecurity sagði að í janúar hafi leyniþjónustumaður fyrirtækis hans þrýst á tölvuþrjótana um að sýna fram á hvort þeir hefðu enn aðgang að reikningum. Tölvuþrjótarnir útveguðu skjáskot sem sýndu þá skrá sig inn á reikninga fyrir fimm fyrirtæki og fara á mismunandi síður í GDS og STT GDC netgáttum, sagði hann. Öryggisöryggi gerði Bloomberg News kleift að skoða þessar skjámyndir.
Hjá GDS fengu tölvuþrjótarnir aðgang að reikningi fyrir Kína gjaldeyrisviðskiptakerfi, arm seðlabanka Kína sem gegnir lykilhlutverki í efnahagslífi þess lands, sem rekur helsta gjaldeyris- og skuldaviðskiptavettvang ríkisins, samkvæmt skjáskotunum og Resecurity. Samtökin svöruðu ekki skilaboðum.
Hjá STT GDC fengu tölvuþrjótarnir aðgang að reikningum National Internet Exchange of India, stofnun sem tengir netveitur um allt land, og þrjá aðra með aðsetur á Indlandi: MyLink Services Pvt., Skymax Broadband Services Pvt., og Logix InfoSecurity Pvt., skjáskotin sýna.
National Internet Exchange of India, sem Bloomberg náði til, sagði að það væri ekki meðvitað um atvikið og neitaði frekari athugasemdum. Engin hinna stofnana á Indlandi svaraði beiðnum um athugasemdir.
Aðspurður um fullyrðinguna um að tölvuþrjótar væru enn að fá aðgang að reikningum í janúar með stolnu skilríkjunum sagði fulltrúi GDS: „Nýlega fundum við margar nýjar árásir tölvuþrjóta sem notuðu gömlu aðgangsupplýsingarnar. Við höfum notað ýmis tæknileg tæki til að hindra þessar árásir. Hingað til höfum við ekki fundið nein ný heppnuð innbrot frá tölvuþrjótum sem stafar af veikleika kerfisins okkar.
Fulltrúi GDS bætti við: „Eins og okkur er kunnugt, endurstillti einn viðskiptavinur ekki eitt af lykilorðum reikningsins síns á þetta forrit sem tilheyrði fyrrverandi starfsmanni þeirra. Það er ástæðan fyrir því að við neyddum nýlega til endurstillingar lykilorðs fyrir alla notendur. Við teljum að þetta sé einangraður atburður. Það er ekki afleiðing af tölvuþrjótum sem brjótast í gegnum öryggiskerfið okkar.“
STT GDC sagði að það hafi borist tilkynning í janúar um frekari hótanir við þjónustugáttir á „Indlandi og Tælandi okkar svæðum“. „Rannsóknir okkar hingað til benda til þess að ekkert gagnatap eða áhrif hafi orðið á neina af þessum þjónustugáttum,“ sagði fyrirtækið.
Seint í janúar, eftir að GDS og STT GDC breyttu lykilorðum viðskiptavina, kom Resecurity auga á tölvuþrjótana sem birtu gagnagrunna til sölu á myrkum vefvettvangi, á ensku og kínversku, að sögn Yoo.
„DBs innihalda upplýsingar um viðskiptavini, er hægt að nota fyrir vefveiðar, aðgang að skápum, eftirlit með pöntunum og búnaði, fjarskiptapantanir,“ sagði í færslunni. "Hver getur aðstoðað við markvissa vefveiðar?"
Mest lesið úr Bloomberg Businessweek
© 2023 Bloomberg LP
Heimild: https://finance.yahoo.com/news/hackers-scored-data-center-logins-020028440.html