(Bloomberg) — Sa isang episode na binibigyang-diin ang kahinaan ng mga pandaigdigang network ng computer, nakuha ng mga hacker ang mga kredensyal sa pag-log in para sa mga data center sa Asia na ginagamit ng ilan sa mga pinakamalaking negosyo sa mundo, isang potensyal na bonanza para sa espiya o sabotahe, ayon sa isang cybersecurity research firm .
Karamihan Basahin mula sa Bloomberg
Ang mga dati nang hindi naiulat na data cache ay nagsasangkot ng mga email at password para sa mga website ng suporta sa customer para sa dalawa sa pinakamalaking operator ng data center sa Asya: Shanghai-based GDS Holdings Ltd. at Singapore-based ST Telemedia Global Data Centers, ayon sa Resecurity Inc., na nagbibigay ng mga serbisyo sa cybersecurity at nag-iimbestiga sa mga hacker. Humigit-kumulang 2,000 customer ng GDS at STT GDC ang naapektuhan. Ang mga hacker ay nag-log in sa mga account ng hindi bababa sa lima sa kanila, kabilang ang pangunahing foreign exchange at debt trading platform ng China at apat na iba pa mula sa India, ayon sa Resecurity, na nagsabing nakalusot ito sa hacking group.
Hindi malinaw kung ano — kung mayroon man — ang ginawa ng mga hacker sa iba pang mga pag-login. Kasama sa impormasyon ang mga kredensyal sa iba't ibang numero para sa ilan sa mga pinakamalaking kumpanya sa mundo, kabilang ang Alibaba Group Holding Ltd., Amazon.com Inc., Apple Inc., BMW AG, Goldman Sachs Group Inc., Huawei Technologies Co., Microsoft Corp. , at Walmart Inc., ayon sa security firm at daan-daang pahina ng mga dokumento na sinuri ng Bloomberg.
Bilang pagtugon sa mga tanong tungkol sa mga natuklasan ng Resecurity, sinabi ng GDS sa isang pahayag na ang isang website ng suporta sa customer ay nilabag noong 2021. Hindi malinaw kung paano nakuha ng mga hacker ang data ng STT GDC. Sinabi ng kumpanyang iyon na wala itong nakitang katibayan na ang portal ng serbisyo sa customer nito ay nakompromiso sa taong iyon. Sinabi ng parehong kumpanya na ang mga kredensyal ng rogue ay hindi nagdudulot ng panganib sa mga IT system o data ng mga kliyente.
Gayunpaman, sinabi ng Resecurity at mga executive sa apat na pangunahing kumpanyang nakabase sa US na naapektuhan na ang mga ninakaw na kredensyal ay kumakatawan sa isang hindi pangkaraniwang at seryosong panganib, lalo na dahil kinokontrol ng mga website ng customer-support kung sino ang pinapayagang pisikal na ma-access ang IT equipment na nakalagay sa mga data center. Ang mga executive na iyon, na nalaman ang tungkol sa mga insidente mula sa Bloomberg News at pinatunayan ang impormasyon sa kanilang mga security team, na humiling na huwag makilala dahil hindi sila awtorisadong magsalita sa publiko tungkol sa usapin.
Mag-sign up para sa aming lingguhang cybersecurity newsletter, ang Cyber Bulletin, dito.
Ang laki ng pagkawala ng data na iniulat ng Resecurity ay nagpapakita ng lumalaking panganib na kinakaharap ng mga kumpanya dahil sa kanilang dependency sa mga third party na maglagay ng data at IT equipment at tulungan ang kanilang mga network na maabot ang mga pandaigdigang merkado. Sinasabi ng mga eksperto sa seguridad na partikular na talamak ang isyu sa China, na nangangailangan ng mga korporasyon na makipagsosyo sa mga lokal na tagapagbigay ng serbisyo ng data.
"Ito ay isang bangungot na naghihintay na mangyari," sabi ni Michael Henry, dating punong opisyal ng impormasyon para sa Digital Realty Trust Inc., isa sa pinakamalaking operator ng data center ng US, nang sabihin tungkol sa mga insidente ng Bloomberg. (Hindi naapektuhan ng mga insidente ang Digital Realty Trust). Ang pinakamasamang sitwasyon para sa anumang operator ng data center ay ang mga umaatake ay nakakakuha ng pisikal na access sa mga server ng mga kliyente at nag-install ng malisyosong code o karagdagang kagamitan, sabi ni Henry. "Kung makakamit nila iyon, maaari silang makagambala sa mga komunikasyon at komersyo sa napakalaking sukat."
Sinabi ng GDS at STT GDC na wala silang indikasyon na may nangyaring ganoon, at hindi naapektuhan ang kanilang mga pangunahing serbisyo.
Ang mga hacker ay may access sa mga kredensyal sa pag-log in sa loob ng higit sa isang taon bago ito i-post para ibenta sa dark web noong nakaraang buwan, sa halagang $175,000, na nagsasabing sila ay nabigla sa dami nito, ayon sa Resecurity at isang screenshot ng pag-post na sinuri ng Bloomberg .
"Gumamit ako ng ilang mga target," sabi ng mga hacker sa post. "Ngunit hindi makayanan dahil ang kabuuang bilang ng mga kumpanya ay higit sa 2,000."
Ang mga email address at password ay maaaring nagbigay-daan sa mga hacker na magpanggap bilang mga awtorisadong gumagamit sa mga website ng serbisyo sa customer, ayon sa Resecurity. Natuklasan ng security firm ang mga data cache noong Setyembre 2021 at sinabing nakakita rin ito ng ebidensya na ginagamit ito ng mga hacker para ma-access ang mga account ng mga customer ng GDS at STT GDC noong Enero, nang pilitin ng parehong mga operator ng data center na i-reset ang password ng customer, ayon sa Resecurity.
Kahit na walang mga wastong password, magiging mahalaga pa rin ang data — na nagpapahintulot sa mga hacker na gumawa ng mga naka-target na phishing na email laban sa mga taong may mataas na antas ng access sa mga network ng kanilang mga kumpanya, ayon sa Resecurity.
Karamihan sa mga apektadong kumpanya na nakipag-ugnayan sa Bloomberg News, kabilang ang Alibaba, Amazon, Huawei at Walmart, ay tumanggi na magkomento. Hindi tumugon ang Apple sa mga mensaheng naghahanap ng komento.
Sa isang pahayag, sinabi ng Microsoft, "Regular naming sinusubaybayan ang mga banta na maaaring makaapekto sa Microsoft at kapag natukoy ang mga potensyal na banta, nagsasagawa kami ng naaangkop na aksyon upang protektahan ang Microsoft at ang aming mga customer." Sinabi ng isang tagapagsalita para sa Goldman Sachs, "Mayroon kaming mga karagdagang kontrol upang maprotektahan laban sa ganitong uri ng paglabag at kami ay nasiyahan na ang aming data ay hindi nasa panganib."
Sinabi ng automaker na BMW na alam nito ang isyu. Ngunit sinabi ng isang tagapagsalita ng kumpanya, "Pagkatapos ng pagtatasa, ang isyu ay may napakalimitadong epekto sa mga negosyo ng BMW at hindi nagdulot ng pinsala sa mga customer ng BMW at impormasyong nauugnay sa produkto." Idinagdag ng tagapagsalita, "Hinimok ng BMW ang GDS na pagbutihin ang antas ng seguridad ng impormasyon."
Ang GDS at STT GDC ay dalawa sa pinakamalaking provider ng "colocation" na mga serbisyo sa Asya. Gumaganap sila bilang mga panginoong maylupa, umuupa ng espasyo sa kanilang mga data center sa mga kliyenteng nag-i-install at namamahala ng sarili nilang IT equipment doon, karaniwang para mas malapit sa mga customer at mga operasyon ng negosyo sa Asia. Ang GDS ay kabilang sa nangungunang tatlong tagapagbigay ng colocation sa China, ang pangalawang pinakamalaking merkado para sa serbisyo sa mundo pagkatapos ng US, ayon sa Synergy Research Group Inc. Ang Singapore ay nasa ikaanim na ranggo.
Ang mga kumpanya ay magkakaugnay din: ipinapakita ng isang corporate filing na noong 2014, ang Singapore Technologies Telemedia Pte, ang magulang ng STT GDC, ay nakakuha ng 40% stake sa GDS.
Sinabi ng Resecurity Chief Executive Officer na si Gene Yoo na natuklasan ng kanyang kumpanya ang mga insidente noong 2021 matapos ang isa sa mga operatiba nito ay nagtago upang makalusot sa isang grupo ng pag-hack sa China na umatake sa mga target ng gobyerno sa Taiwan.
Di-nagtagal, inalerto nito ang GDS at STT GDC at ang maliit na bilang ng mga kliyente ng Resecurity na naapektuhan, ayon kay Yoo at sa mga dokumento.
Inabisuhan muli ng Resecurity ang GDS at STT GDC noong Enero matapos matuklasan ang mga hacker na nag-a-access ng mga account, at inalertuhan din ng security firm ang mga awtoridad sa China at Singapore noong panahong iyon, ayon kay Yoo at sa mga dokumento.
Ang parehong mga operator ng data center ay nagsabi na sila ay tumugon kaagad kapag naabisuhan tungkol sa mga isyu sa seguridad at nagsimula ng mga panloob na pagsisiyasat.
Sinabi ni Cheryl Lee, isang tagapagsalita para sa Cyber Security Agency ng Singapore, na "alam ng ahensya ang insidente at tinutulungan ang ST Telemedia sa bagay na ito." Ang National Computer Network Emergency Response Technical Team/Coordination Center ng China, isang non-government na organisasyon na nangangasiwa ng cyber emergency response, ay hindi tumugon sa mga mensaheng humihingi ng komento.
Kinilala ng GDS na nilabag ang isang website ng suporta sa customer at sinabing nag-imbestiga ito at nag-ayos ng kahinaan sa site noong 2021.
"Ang application na na-target ng mga hacker ay limitado sa saklaw at impormasyon sa mga hindi kritikal na function ng serbisyo, tulad ng paggawa ng mga kahilingan sa tiket, pag-iskedyul ng pisikal na paghahatid ng kagamitan at pagrepaso sa mga ulat sa pagpapanatili," ayon sa isang pahayag ng kumpanya. “Ang mga kahilingang ginawa sa pamamagitan ng application ay karaniwang nangangailangan ng offline na pag-follow up at kumpirmasyon. Dahil sa pangunahing katangian ng application, ang paglabag ay hindi nagresulta sa anumang banta sa mga operasyon ng IT ng aming mga customer."
Sinabi ng STT GDC na nagdala ito ng mga external na eksperto sa cybersecurity nang malaman nito ang tungkol sa insidente noong 2021. "Ang IT system na pinag-uusapan ay isang customer service ticketing tool" at "walang koneksyon sa iba pang corporate system o anumang kritikal na imprastraktura ng data," sabi ng kumpanya .
Sinabi ng kumpanya na ang portal ng serbisyo sa customer nito ay hindi nilabag noong 2021 at ang mga kredensyal na nakuha ng Resecurity ay “isang bahagyang at hindi napapanahong listahan ng mga kredensyal ng user para sa aming mga aplikasyon sa pagticket ng customer. Anumang ganoong data ay hindi wasto na ngayon at hindi nagdudulot ng panganib sa seguridad sa hinaharap."
"Walang hindi awtorisadong pag-access o pagkawala ng data ang naobserbahan," ayon sa pahayag ng STT GDC.
Hindi alintana kung paano ginamit ng mga hacker ang impormasyon, sinabi ng mga eksperto sa cybersecurity na ang mga pagnanakaw ay nagpapakita na ang mga umaatake ay nag-e-explore ng mga bagong paraan upang makalusot sa mga matitigas na target.
Ang pisikal na seguridad ng IT equipment sa mga third-party na data center at ang mga system para sa pagkontrol sa pag-access dito ay kumakatawan sa mga kahinaan na kadalasang napapansin ng mga corporate security department, sabi ni Malcolm Harkins, dating punong seguridad at privacy na alok ng Intel Corp. Anumang pakikialam sa data center kagamitan "ay maaaring magkaroon ng mapangwasak na mga kahihinatnan," sabi ni Harkins.
Ang mga hacker ay nakakuha ng mga email address at password para sa higit sa 3,000 katao sa GDS - kabilang ang sarili nitong mga empleyado at ng mga customer nito - at higit sa 1,000 mula sa STT GDC, ayon sa mga dokumentong sinuri ng Bloomberg News.
Ang mga hacker ay nagnakaw din ng mga kredensyal para sa network ng GDS na may higit sa 30,000 surveillance camera, karamihan sa mga ito ay umaasa sa mga simpleng password tulad ng "admin" o "admin12345," ipinapakita ng mga dokumento. Hindi tinugunan ng GDS ang isang tanong tungkol sa pinaghihinalaang pagnanakaw ng mga kredensyal sa network ng camera, o tungkol sa mga password.
Ang bilang ng mga kredensyal sa pag-log in para sa mga website ng suporta sa customer ay iba-iba para sa iba't ibang mga customer. Halimbawa, mayroong 201 account sa Alibaba, 99 sa Amazon, 32 sa Microsoft, 16 sa Baidu Inc., 15 sa Bank of America Corp., pito sa Bank of China Ltd., apat sa Apple at tatlo sa Goldman, ayon sa ang mga dokumento. Sinabi ni Yoo ng Resecurity na kailangan lang ng mga hacker ng isang valid na email address at password para ma-access ang account ng kumpanya sa customer service portal.
Kabilang sa iba pang mga kumpanya na ang mga detalye sa pag-log in ng mga manggagawa ay nakuha, ayon sa Resecurity at sa mga dokumento, ay: Bharti Airtel Ltd. sa India, Bloomberg LP (ang may-ari ng Bloomberg News), ByteDance Ltd., Ford Motor Co., Globe Telecom Inc. .sa Pilipinas, Mastercard Inc., Morgan Stanley, Paypal Holdings Inc., Porsche AG, SoftBank Corp., Telstra Group Ltd. sa Australia, Tencent Holdings Ltd., Verizon Communications Inc. at Wells Fargo & Co.
Sa isang pahayag, sinabi ni Baidu, "Hindi kami naniniwala na ang anumang data ay nakompromiso. Bigyang-pansin ang Baidu upang matiyak ang seguridad ng data ng aming mga customer. Susubaybayan naming mabuti ang mga bagay na tulad nito at mananatiling alerto sa anumang mga umuusbong na banta sa seguridad ng data sa anumang bahagi ng aming mga operasyon."
Sinabi ng isang kinatawan para sa Porsche, "Sa partikular na kaso na ito, wala kaming indikasyon na mayroong anumang panganib." Sinabi ng isang kinatawan ng SoftBank na ang isang Chinese na subsidiary ay tumigil sa paggamit ng GDS noong nakaraang taon. "Walang pagtagas ng data ng impormasyon ng customer mula sa lokal na kumpanya ng China ang nakumpirma, at walang anumang epekto sa negosyo at serbisyo nito," sabi ng kinatawan.
Sinabi ng isang tagapagsalita para sa Telstra, "Hindi namin alam ang anumang epekto sa negosyo kasunod ng paglabag na ito," habang sinabi ng isang kinatawan ng Mastercard, "Habang patuloy naming sinusubaybayan ang sitwasyong ito, hindi namin alam ang anumang mga panganib sa aming negosyo o epekto sa ang aming network ng transaksyon o mga sistema.”
Sinabi ng isang kinatawan para sa Tencent, “Hindi namin alam ang anumang epekto sa negosyo kasunod ng paglabag na ito. Direktang pinamamahalaan namin ang aming mga server sa loob ng mga data center, na walang access ang mga operator ng pasilidad ng data center sa anumang data na nakaimbak sa mga server ng Tencent. Wala kaming natuklasang anumang hindi awtorisadong pag-access sa aming mga IT system at server pagkatapos ng pagsisiyasat, na nananatiling ligtas at secure.”
Sinabi ng isang tagapagsalita para sa Wells Fargo na ginamit nito ang GDS para sa backup na imprastraktura ng IT hanggang Disyembre 2022. "Walang access ang GDS sa data ng Wells Fargo, mga sistema, o sa network ng Wells Fargo," sabi ng kumpanya. Ang iba pang mga kumpanya ay tumanggi na magkomento o hindi tumugon.
Sinabi ni Yoo ng Resecurity na noong Enero, pinindot ng undercover na operatiba ng kanyang kumpanya ang mga hacker para sa isang demonstrasyon kung mayroon pa silang access sa mga account. Ang mga hacker ay nagbigay ng mga screenshot na nagpapakita sa kanila ng pag-log in sa mga account para sa limang kumpanya at pag-navigate sa iba't ibang mga pahina sa GDS at STT GDC online portal, aniya. Pinahintulutan ng Resecurity ang Bloomberg News na suriin ang mga screenshot na iyon.
Sa GDS, na-access ng mga hacker ang isang account para sa China Foreign Exchange Trade System, isang sangay ng central bank ng China na gumaganap ng mahalagang papel sa ekonomiya ng bansang iyon, na nagpapatakbo sa pangunahing foreign exchange at debt trading platform ng gobyerno, ayon sa mga screenshot at Resecurity. Hindi tumugon ang organisasyon sa mga mensahe.
Sa STT GDC, na-access ng mga hacker ang mga account para sa National Internet Exchange of India, isang organisasyong nag-uugnay sa mga internet provider sa buong bansa, at tatlong iba pa na nakabase sa India: MyLink Services Pvt., Skymax Broadband Services Pvt., at Logix InfoSecurity Pvt., ipinapakita ang mga screenshot.
Naabot ni Bloomberg, sinabi ng National Internet Exchange of India na hindi nito alam ang insidente at tumanggi sa karagdagang komento. Wala sa iba pang mga organisasyon sa India ang tumugon sa mga kahilingan para sa komento.
Nang tanungin tungkol sa pag-aangkin na ang mga hacker ay nag-a-access pa rin ng mga account noong Enero gamit ang mga ninakaw na kredensyal, sinabi ng isang kinatawan ng GDS, “Kamakailan, naka-detect kami ng maraming bagong pag-atake mula sa mga hacker gamit ang lumang impormasyon sa pag-access ng account. Gumamit kami ng iba't ibang teknikal na tool upang harangan ang mga pag-atake na ito. Sa ngayon, wala pa kaming nahanap na bagong matagumpay na break-in mula sa mga hacker na dahil sa kahinaan ng aming system.”
Idinagdag ng kinatawan ng GDS, “Tulad ng alam namin, hindi na-reset ng isang customer ang isa sa kanilang mga password ng account sa application na ito na pagmamay-ari ng isang dating empleyado nila. Iyon ang dahilan kung bakit kamakailan naming pinilit ang pag-reset ng password para sa lahat ng mga user. Naniniwala kami na ito ay isang nakahiwalay na kaganapan. Hindi ito resulta ng paglusob ng mga hacker sa aming sistema ng seguridad.”
Sinabi ng STT GDC na nakatanggap ito ng abiso noong Enero ng mga karagdagang banta sa mga portal ng serbisyo sa customer sa "aming mga rehiyon ng India at Thailand." "Ang aming mga pagsisiyasat hanggang ngayon ay nagpapahiwatig na walang pagkawala ng data o epekto sa alinman sa mga portal ng serbisyo sa customer na ito," sabi ng kumpanya.
Noong huling bahagi ng Enero, pagkatapos baguhin ng GDS at STT GDC ang mga password ng mga customer, nakita ng Resecurity ang mga hacker na nagpo-post ng mga database para sa pagbebenta sa isang dark web forum, sa English at Chinese, ayon kay Yoo.
"Ang mga DB ay naglalaman ng impormasyon ng customer, maaaring magamit para sa phishing, pag-access ng mga cabinet, pagsubaybay sa mga order at kagamitan, mga remote na order ng kamay," nakasaad sa post. "Sino ang maaaring tumulong sa naka-target na phishing?"
Karamihan sa Basahin mula sa Bloomberg Businessweek
© 2023 Bloomberg LP
Pinagmulan: https://finance.yahoo.com/news/hackers-scored-data-center-logins-020028440.html