(Bloomberg) — Într-un episod care subliniază vulnerabilitatea rețelelor globale de calculatoare, hackerii au obținut acreditările de conectare pentru centrele de date din Asia utilizate de unele dintre cele mai mari afaceri din lume, o potențială bunătate pentru spionaj sau sabotaj, potrivit unei firme de cercetare în domeniul securității cibernetice. .
Cele mai citite de la Bloomberg
Cache-urile de date neraportate anterior implică e-mailuri și parole pentru site-urile web de asistență pentru clienți pentru doi dintre cei mai mari operatori de centre de date din Asia: GDS Holdings Ltd. cu sediul în Shanghai și ST Telemedia Global Data Centres cu sediul în Singapore, conform Resecurity Inc., care oferă servicii de securitate cibernetică și investighează hackerii. Aproximativ 2,000 de clienți ai GDS și STT GDC au fost afectați. Hackerii s-au conectat la conturile a cel puțin cinci dintre ei, inclusiv principala platformă de schimb valutar și de tranzacționare a datoriilor din China și a altor patru din India, potrivit Resecurity, care a declarat că s-a infiltrat în grupul de hacking.
Nu este clar ce – dacă ceva – au făcut hackerii cu celelalte autentificări. Informațiile au inclus acreditări în număr diferit pentru unele dintre cele mai mari companii din lume, inclusiv Alibaba Group Holding Ltd., Amazon.com Inc., Apple Inc., BMW AG, Goldman Sachs Group Inc., Huawei Technologies Co., Microsoft Corp. , și Walmart Inc., conform firmei de securitate și a sutelor de pagini de documente pe care Bloomberg le-a revizuit.
Răspunzând la întrebările despre constatările Resecurity, GDS a declarat într-o declarație că un site web de asistență pentru clienți a fost încălcat în 2021. Nu este clar cum au obținut hackerii datele STT GDC. Compania respectivă a spus că nu a găsit nicio dovadă că portalul său de servicii pentru clienți a fost compromis în acel an. Ambele companii au spus că acreditările necinstite nu prezintă un risc pentru sistemele IT sau datele clienților.
Cu toate acestea, Resecurity și directorii celor patru mari companii din SUA care au fost afectate au spus că acreditările furate reprezintă un pericol neobișnuit și grav, în primul rând pentru că site-urile web de asistență pentru clienți controlează cui are permisiunea de a accesa fizic echipamentele IT găzduite în centrele de date. Acei directori, care au aflat despre incidente de la Bloomberg News și au coroborat informațiile cu echipele lor de securitate, care au cerut să nu fie identificați deoarece nu erau autorizați să vorbească public despre această problemă.
Înscrieți-vă aici pentru buletinul nostru informativ săptămânal de securitate cibernetică, Cyber Bulletin.
Amploarea pierderii de date raportată de Resecurity evidențiază riscul în creștere cu care se confruntă companiile din cauza dependenței lor de terți pentru a găzdui date și echipamente IT și pentru a-și ajuta rețelele să ajungă pe piețele globale. Experții în securitate spun că problema este deosebit de acută în China, care impune corporațiilor să colaboreze cu furnizorii locali de servicii de date.
„Acesta este un coșmar care așteaptă să se întâmple”, a spus Michael Henry, fost director de informații pentru Digital Realty Trust Inc., unul dintre cei mai mari operatori de centre de date din SUA, când a spus despre incidente de către Bloomberg. (Digital Realty Trust nu a fost afectat de incidente). Scenariul cel mai rău pentru orice operator de centre de date este ca atacatorii să obțină cumva acces fizic la serverele clienților și să instaleze cod rău intenționat sau echipamente suplimentare, a spus Henry. „Dacă reușesc să reușească acest lucru, pot perturba comunicarea și comerțul la scară masivă.”
GDS și STT GDC au spus că nu au niciun indiciu că s-a întâmplat așa ceva și că serviciile lor de bază nu au fost afectate.
Hackerii au avut acces la datele de conectare mai mult de un an înainte de a le posta spre vânzare pe dark web luna trecută, pentru 175,000 de dolari, spunând că au fost copleșiți de volumul acesteia, potrivit Resecurity și o captură de ecran a postării revizuite de Bloomberg. .
„Am folosit niște ținte”, au spus hackerii în postare. „Dar incapabil să se descurce, deoarece numărul total de companii este de peste 2,000.”
Adresele de e-mail și parolele ar fi putut permite hackerilor să se prefacă drept utilizatori autorizați pe site-urile web de servicii pentru clienți, potrivit Resecurity. Firma de securitate a descoperit cache-urile de date în septembrie 2021 și a spus că a găsit, de asemenea, dovezi că hackerii le foloseau pentru a accesa conturile clienților GDS și STT GDC încă din ianuarie, când ambii operatori de centre de date au forțat resetarea parolei clienților, potrivit Resecurity.
Chiar și fără parole valide, datele ar fi încă valoroase - permițând hackerilor să creeze e-mailuri de phishing direcționate împotriva persoanelor cu acces la nivel înalt la rețelele companiilor lor, potrivit Resecurity.
Majoritatea companiilor afectate pe care Bloomberg News le-a contactat, inclusiv Alibaba, Amazon, Huawei și Walmart, au refuzat să comenteze. Apple nu a răspuns la mesajele care solicită comentarii.
Într-o declarație, Microsoft a spus: „Monitorizăm în mod regulat amenințările care ar putea afecta Microsoft și, atunci când sunt identificate potențiale amenințări, luăm măsurile adecvate pentru a proteja Microsoft și clienții noștri”. Un purtător de cuvânt al Goldman Sachs a declarat: „Avem în vigoare controale suplimentare pentru a ne proteja împotriva acestui tip de încălcare și suntem mulțumiți că datele noastre nu erau în pericol”.
Producătorul auto BMW a spus că este conștient de această problemă. Însă un purtător de cuvânt al companiei a spus: „După evaluare, problema are un impact foarte limitat asupra afacerilor BMW și nu a cauzat niciun prejudiciu clienților BMW și informațiilor legate de produs”. Purtătorul de cuvânt a adăugat: „BMW a cerut GDS să îmbunătățească nivelul de securitate a informațiilor”.
GDS și STT GDC sunt doi dintre cei mai mari furnizori de servicii de „colocare” din Asia. Aceștia acționează ca proprietari, închiriind spațiu în centrele lor de date clienților care instalează și gestionează propriul echipament IT acolo, de obicei pentru a fi mai aproape de clienți și de operațiunile de afaceri din Asia. GDS se numără printre primii trei furnizori de colocare din China, a doua cea mai mare piață pentru servicii din lume după SUA, potrivit Synergy Research Group Inc. Singapore ocupă locul șase.
Companiile sunt, de asemenea, împletite: un dosar corporativ arată că în 2014, Singapore Technologies Telemedia Pte, mamă a STT GDC, a achiziționat un pachet de 40% din GDS.
Directorul executiv al Resecurity, Gene Yoo, a declarat că firma sa a descoperit incidentele în 2021, după ce unul dintre agenții săi a intrat sub acoperire pentru a se infiltra într-un grup de hacking din China care atacase ținte guvernamentale din Taiwan.
La scurt timp după aceea, a alertat GDS și STT GDC și un număr mic de clienți Resecurity care au fost afectați, potrivit Yoo și documentele.
Resecurity a notificat din nou GDS și STT GDC în ianuarie, după ce a descoperit că hackerii accesau conturi, iar firma de securitate a alertat și autoritățile din China și Singapore la acel moment, potrivit Yoo și documentele.
Ambii operatori de centre de date au spus că au răspuns prompt atunci când au fost notificați despre problemele de securitate și au început investigații interne.
Cheryl Lee, purtătorul de cuvânt al Agenției de Securitate Cibernetică din Singapore, a declarat că agenția „este la curent cu incidentul și ajută ST Telemedia în această chestiune”. Echipa tehnică/Centrul de coordonare a rețelei naționale de calculatoare pentru răspunsul la urgențe din China, o organizație neguvernamentală care se ocupă de răspunsul la urgențe cibernetice, nu a răspuns la mesajele care solicită comentarii.
GDS a recunoscut că un site web de asistență pentru clienți a fost încălcat și a spus că a investigat și a remediat o vulnerabilitate a site-ului în 2021.
„Aplicația care a fost vizată de hackeri este limitată în domeniul de aplicare și informații la funcții de serviciu non-critice, cum ar fi efectuarea de cereri de bilete, programarea livrării fizice a echipamentelor și revizuirea rapoartelor de întreținere”, potrivit unui comunicat al companiei. „Solicitările făcute prin intermediul aplicației necesită, de obicei, urmărire și confirmare offline. Având în vedere natura de bază a aplicației, încălcarea nu a dus la nicio amenințare pentru operațiunile IT ale clienților noștri.”
STT GDC a declarat că a adus experți externi în securitate cibernetică când a aflat despre incident în 2021. „Sistemul IT în cauză este un instrument de ticketing pentru serviciul clienți” și „nu are nicio conexiune cu alte sisteme corporative și nicio infrastructură critică de date”, a spus compania. .
Compania a spus că portalul său de servicii pentru clienți nu a fost încălcat în 2021 și că acreditările obținute de Resecurity sunt „o listă parțială și învechită de acreditări ale utilizatorilor pentru aplicațiile noastre de ticketing pentru clienți. Orice astfel de date este acum nevalidă și nu prezintă un risc de securitate în viitor.”
„Nu a fost observat niciun acces neautorizat sau pierdere de date”, conform declarației STT GDC.
Indiferent de modul în care hackerii ar fi folosit informațiile, experții în securitate cibernetică au spus că furturile arată că atacatorii explorează modalități noi de a se infiltra în ținte dure.
Securitatea fizică a echipamentelor IT din centrele de date ale terților și sistemele de control al accesului la acestea reprezintă vulnerabilități care sunt adesea trecute cu vederea de către departamentele de securitate corporative, a declarat Malcolm Harkins, fost șef al ofertei de securitate și confidențialitate al Intel Corp. Orice manipulare a centrului de date. echipamentul „ar putea avea consecințe devastatoare”, a spus Harkins.
Hackerii au obținut adrese de e-mail și parole pentru mai mult de 3,000 de oameni la GDS — inclusiv proprii angajați și cei ai clienților săi — și peste 1,000 de la STT GDC, potrivit documentelor analizate de Bloomberg News.
Hackerii au furat, de asemenea, acreditările pentru rețeaua GDS de peste 30,000 de camere de supraveghere, dintre care majoritatea se bazau pe parole simple precum „admin” sau „admin12345”, arată documentele. GDS nu a adresat nicio întrebare despre presupusul furt de acreditări în rețeaua camerelor sau despre parole.
Numărul de acreditări de conectare pentru site-urile web de asistență pentru clienți a variat în funcție de clienți. De exemplu, existau 201 conturi la Alibaba, 99 la Amazon, 32 la Microsoft, 16 la Baidu Inc., 15 la Bank of America Corp., șapte la Bank of China Ltd., patru la Apple și trei la Goldman, potrivit datelor. documentele. Yoo de la Resecurity a spus că hackerii au nevoie doar de o singură adresă de e-mail și parolă valide pentru a accesa contul unei companii pe portalul de servicii pentru clienți.
Printre celelalte companii ale căror detalii de conectare ale lucrătorilor au fost obținute, potrivit Resecurity și documentele, s-au numărat: Bharti Airtel Ltd. din India, Bloomberg LP (proprietarul Bloomberg News), ByteDance Ltd., Ford Motor Co., Globe Telecom Inc. . în Filipine, Mastercard Inc., Morgan Stanley, Paypal Holdings Inc., Porsche AG, SoftBank Corp., Telstra Group Ltd. în Australia, Tencent Holdings Ltd., Verizon Communications Inc. și Wells Fargo & Co.
Într-o declarație, Baidu a spus: „Nu credem că nicio dată a fost compromisă. Baidu acordă o mare atenție asigurării securității datelor clienților noștri. Vom urmări îndeaproape chestiuni precum aceasta și vom rămâne atenți la orice amenințări emergente la adresa securității datelor în orice parte a operațiunilor noastre.”
Un reprezentant al Porsche a spus: „În acest caz specific nu avem niciun indiciu că ar exista vreun risc”. Un reprezentant SoftBank a declarat că o filială chineză a încetat să mai folosească GDS anul trecut. „Nu a fost confirmată nicio scurgere de date despre informații despre clienți de la compania locală din China și nici nu a existat niciun impact asupra afacerilor și serviciilor sale”, a spus reprezentantul.
Un purtător de cuvânt al Telstra a spus: „Nu suntem conștienți de niciun impact asupra afacerii în urma acestei încălcări”, în timp ce un reprezentant Mastercard a spus: „În timp ce continuăm să monitorizăm această situație, nu suntem conștienți de niciun risc pentru afacerea noastră sau impact asupra rețeaua sau sistemele noastre de tranzacții.”
Un reprezentant al Tencent a spus: „Nu suntem conștienți de vreun impact asupra afacerii în urma acestei încălcări. Ne gestionăm serverele în interiorul centrelor de date direct, operatorii centrelor de date nu având acces la nicio dată stocată pe serverele Tencent. Nu am descoperit niciun acces neautorizat la sistemele și serverele noastre IT după investigație, care rămân sigure și securizate.”
Un purtător de cuvânt al Wells Fargo a declarat că a folosit GDS pentru infrastructura IT de rezervă până în decembrie 2022. „GDS nu a avut acces la datele, sistemele Wells Fargo sau la rețeaua Wells Fargo”, a spus compania. Toate celelalte companii au refuzat să comenteze sau nu au răspuns.
Yoo, de la Resecurity, a spus că, în ianuarie, agentul sub acoperire al firmei sale i-a presat pe hackeri să demonstreze dacă au încă acces la conturi. Hackerii au furnizat capturi de ecran în care se conectează la conturi pentru cinci companii și navighează la diferite pagini din portalurile online GDS și STT GDC, a spus el. Resecuritatea a permis Bloomberg News să revizuiască acele capturi de ecran.
La GDS, hackerii au accesat un cont pentru China Foreign Exchange Trade System, o ramură a băncii centrale a Chinei care joacă un rol cheie în economia acelei țări, exploatând principala platformă de tranzacționare a valutei și a datoriilor a guvernului, potrivit capturilor de ecran și Resecurity. Organizația nu a răspuns la mesaje.
La STT GDC, hackerii au accesat conturi pentru National Internet Exchange of India, o organizație care conectează furnizorii de internet din întreaga țară și alte trei cu sediul în India: MyLink Services Pvt., Skymax Broadband Services Pvt. și Logix InfoSecurity Pvt., capturile de ecran arată.
Adresat de Bloomberg, National Internet Exchange of India a declarat că nu este la curent cu incidentul și a refuzat să comenteze mai multe. Niciuna dintre celelalte organizații din India nu a răspuns solicitărilor de comentarii.
Întrebat despre afirmația că hackerii încă accesau conturi în ianuarie folosind acreditările furate, un reprezentant GDS a spus: „Recent, am detectat mai multe atacuri noi de la hackeri folosind informațiile vechi de acces la cont. Am folosit diverse instrumente tehnice pentru a bloca aceste atacuri. Până acum, nu am găsit nicio nouă spargere de succes de la hackeri, care se datorează vulnerabilității sistemului nostru.”
Reprezentantul GDS a adăugat: „După cum știm, un singur client nu a resetat una dintre parolele contului său la această aplicație care aparținea unui fost angajat al său. Acesta este motivul pentru care recent am forțat resetarea parolei pentru toți utilizatorii. Credem că acesta este un eveniment izolat. Nu este rezultatul spargerii hackerilor în sistemul nostru de securitate.”
STT GDC a declarat că a primit o notificare în ianuarie cu privire la noi amenințări la adresa portalurilor de servicii pentru clienți din „regiunile noastre India și Thailanda”. „Investigațiile noastre până în prezent indică faptul că nu a existat nicio pierdere de date sau impact asupra niciunuia dintre aceste portaluri de servicii pentru clienți”, a spus compania.
La sfârșitul lunii ianuarie, după ce GDS și STT GDC au schimbat parolele clienților, Resecurity i-a observat pe hackeri care postau bazele de date spre vânzare pe un forum dark web, în engleză și chineză, potrivit Yoo.
„DB-urile conțin informații despre clienți, pot fi folosite pentru phishing, acces la dulapuri, monitorizarea comenzilor și echipamentelor, comenzilor de la distanță”, se arată în postare. „Cine poate ajuta cu phishingul direcționat?”
Cele mai citite din Bloomberg Businessweek
© 2023 Bloomberg LP
Sursa: https://finance.yahoo.com/news/hackers-scored-data-center-logins-020028440.html