Nhóm tin tặc LulzSec ngày 2/6 đã đột nhập vào các máy chủ của Sony Pictures và Sony BMG. LulzSec tận dụng một lỗi cực kỳ phổ biến trong quản trị website là lỗ hổng SQL, và nói rằng có thể lấy được lượng thông tin của khoảng 1 triệu tài khoản người dùng trong cơ sở dữ liệu nhưng không đủ sức tải hết do thiếu nguồn lực. Trên trang Twitter của mình, nhóm này kêu gọi tài trợ để có thể tiếp tục tấn công.
 |
LulzSec chính là nhóm tin tặc đã bẻ khóa bảo mật thành công website của dịch vụ truyền hình cáp PBS chủ nhật trước, và bên cạnh việc dựng chuyện về rapper Tupac, họ còn để lại thông điệp phản đối các thông tin về WikiLeaks được công bố trên website này. Trong vụ này, LulzSec đã xâm hại và công bố hàng ngàn mật khẩu mà họ đoạt được.
Trước đó, LulzSec đã đột nhập website Sony đặt tại Nhật Bản và Fox.com, sau đó họ công bố tên tuổi, mật khẩu sử dụng, số điện thoại và địa chỉ e-mail của 363 nhân viên cùng 73.000 khán giả đăng ký tham gia chương trình tìm kiếm tài năng rất nổi tiếng của Fox là The X-Factor.
Việc Sony Pictures bị tấn công là một vụ trong chuỗi tổn thất nghiêm trọng liên quan đến bảo mật an toàn thông tin của hãng tính từ tháng 4 năm nay. Nghiêm trọng nhất là các vụ tấn công thu thập thông tin của 75 triệu người dùng mạng Sony PlayStation Network, và 25 triệu khách hàng sử dụng Sony Online Entertainment. Hiện chưa tìm ra nhóm nào nhận trách nhiệm về các vụ nghiêm trọng này, nhưng mới đây, một nhóm tin tặc tên là Anonymous (Vô Danh) đã nói rằng nguyên nhân Sony trở thành mục tiêu của các đợt tấn công là do họ đã tiến hành kiện cáo với George Hotz, người đã bẻ khóa thành công mã bảo mật PlayStation 3 của hãng này. Sony thông báo họ đã tìm thấy dấu vết để lại của nhóm Anonymous trong các máy chủ của Sony Online Entertaiment sau vụ tấn công.
| Sự việc tai tiếng này của Sony đã gióng lên hồi chuông báo động cho các doanh nghiệp kinh doanh trực tuyến. Đầu tháng 4 năm nay, hãng bảo mật Symantec cảnh báo rằng, những cuộc tấn công mạng nhắm vào các mục tiêu cụ thể sẽ gia tăng trong năm nay, và nhiều công ty trên khắp thế giới sẽ trở thành nạn nhân, tương tự như vụ "sâu" Stuxnet tấn công vào chương trình hạt nhân của Iran vào năm 2010. Các doanh nghiệp hiện nay (như Sony) đều cho rằng mình sử dụng các biện pháp chuẩn mực bảo mật của ngành này. Vậy phải chăng, đã đến lúc nên đánh giá lại chuẩn mực này và đưa ra những yêu cầu cao hơn để đảm bảo an toàn thông tin cho người dùng. |
Trên trang Pastebin, LulzSec cho biết :"Chúng tôi mới đột nhập thành công vào SonyPictures.com và thấy toàn bộ thông tin cá nhân của hơn 1.000.000 người dùng, bao gồm mật khẩu, địa chỉ e-mail, địa chỉ nhà riêng, ngày sinh và các thông tin mà Sony gắn thêm vào từng tài khoản. Ngoài ra, chúng tôi đã có trong tay toàn bộ dữ liệu quản trị của Sony Pictures (bao gồm cả các mật khẩu) cùng với 75.000 'music code' (mã tải nhạc) và 3,5 triệu 'music coupon' (phiếu mua bài hát)."
Nhóm này nói rằng họ không đủ nguồn lực kỹ thuật để “bứng” hết các tài nguyên này một cách nhanh gọn, mà phải mất vài tuần. Hiện chưa xác định được có bao nhiêu thông tin về danh tính, e-mail, mật khẩu trong dữ liệu mà nhóm này công bố để chứng minh cho “năng lực” của họ. Trong file dữ liệu công bố thuộc về Sony BMG Music Entertainment ở Bỉ có thêm một ghi chú sau: "Mục tiêu này làm chúng tôi vô cùng hài lòng khi nó cho biết các thông tin nội bộ về ngày ra mắt các bản nhạc, mã vạch, doanh số và mật khẩu của các nhân viên Sony". Sony vẫn chưa lên tiếng sau khi các thông tin trên được công bố.
LulzSec nói rằng việc lấy được các thông tin trên hoàn toàn không phức tạp. Họ chiếm quyền sử dụng SonyPictures.com chỉ bằng một phương thức phổ biến SQL-injection. “Điều tồi tệ là các thông tin mà chúng tôi có được không hề bị mã hóa, Sony lưu các thông tin mật khẩu của khoảng 1 triệu khách hàng chỉ dưới dạng file văn bản đơn giản. Điều đó thật hổ thẹn và thiếu an toàn, họ phải trả giá cho điều đó”. Nhóm này cũng cho biết họ sẽ chấp nhận các hỗ trợ tài chính theo phương thức tiền ảo BitCoin để có thể tiếp tục hack. BitCoin là một phương thức trao đổi tài chính trên không gian ảo mà người gửi và người nhận đều không bị theo dõi và kiểm soát.
Người dùng nên đổi mật khẩu, thay đổi câu hỏi kiểm tra an ninh và theo dõi chặt chẽ các biến động bất thường ở tài khoản của mình. Họ cũng nên cảnh giác với các e-mail lừa đảo (kiểu phishing) mạo danh Sony. "Các thông tin khách hàng bị lộ và phát tán là một điều rát nguy hiểm" - ông E.J. Hilbert, chủ tịch Online Intelligence, một cựu thành viên của bộ phận phòng chống tội phạm trên không gian ảo của FBI nói - " Các thông tin ngoài đời thực như địa chỉ nhà riêng, số điện thoại không chỉ là thông tin, nó có thể bị lợi dụng cho các tội ác ngoài đời thực, những kẻ bất lương sẽ có muôn vàn cách sử dụng những thông tin như thế để phạm pháp”.
Tuy nhiên, ông Hilbert cũng cho biết hiện mới chỉ có một vài người phàn nàn trên kênh chat IRC rằng họ không thể vào được các trang mạng có yêu cầu đăng nhập trực tuyến. Những người này thường dùng một mật khẩu cho nhiều dịch vụ, mạng khác nhau.
Sơ lược tình hình Sony bị tấn công: + Vào đầu tháng 4/2010, nhóm tin tặc Anonymous tấn công vào một vài trang mạng của Sony để trả đũa về việc Sony đưa ra các cáo buộc pháp lý với George Hotz, người “bẻ khóa” thành công máy chơi game PlayStation 3. + Từ 17-19/4/2011: tin tặc xâm nhập thành công hệ thống Sony Online, lấy được thông tin cá nhân của hơn 100 triệu người dùng các dịch vụ Sony PlayStation Network (PSN), dịch vụ giải trí Qriocity, và mạng Sony Online Entertainment. Sony buộc phải đóng cửa dịch vụ PSN trong 3 tuần, phối hợp với FBI và các chuyên gia bảo mật để vá lỗi hệ thống cũng như các tăng cường các công tác an ninh cho dịch vụ mạng lưới chơi game và giải trí trực tuyến này. Một phần các dịch vụ trên PSN đã hoạt động trở lại vào giữa tháng 5, phần PlayStation Store cuối cùng của hệ thống này đã được khôi phục vào ngày 1/6. Xem thêm tại đây. |