Hàng chục triệu người bị ảnh hưởng
Tuần trước, AT&T – nhà mạng di động lớn thứ hai và nhà mạng cố định lớn nhất nước Mỹ - vừa tiết lộ sự cố tấn công mạng nghiêm trọng. AT&T cho biết, dữ liệu bị xâm phạm bao gồm số điện thoại của “gần như tất cả” khách hàng di động và khách hàng của các nhà cung cấp không dây sử dụng mạng của họ trong khoảng thời gian từ ngày 1/5/2022 đến ngày 31/10/2022.
Nhật ký bị đánh cắp cũng chứa hồ sơ về mọi số điện thoại mà khách hàng AT&T đã gọi điện hoặc nhắn tin – bất kể nội mạng hay ngoại mạng – số lần họ tương tác, độ dài cuộc gọi. Tuy nhiên, nhà mạng nhấn mạnh dữ liệu này không gồm nội dung cuộc gọi, tin nhắn hay thời điểm liên lạc. “Một số lượng rất nhỏ” khách hàng cũng bị ảnh hưởng vào ngày 2/1/2023.
Ủy ban Truyền thông liên bang Mỹ (FCC) cho biết, đang điều tra sự cố rò rỉ tại AT&T và đang phối hợp với các nhà hành pháp.
Trong báo cáo thường niên năm 2023, AT&T nói có hơn 127 triệu thiết bị đang kết nối với mạng của mình, song không tiết lộ chính xác bao nhiêu thuê bao bị ảnh hưởng trong vụ tấn công mạng. Công ty đã thực hiện các biện pháp bảo mật tăng cường, bao gồm đóng các điểm truy cập bất hợp pháp.
Theo hồ sơ trình lên Ủy ban Chứng khoán và Giao dịch Mỹ (SEC), AT&T phát hiện vụ tấn công vào ngày 19/4 sau khi dữ liệu khách hàng bị tải xuống bất hợp pháp từ một workspace (không gian làm việc) trên nền tảng đám mây Snowflake. Hồi tháng 3, nhà mạng cũng chia sẻ là nạn nhân của một vụ tấn công, làm 73 triệu khách hàng bị lộ thông tin cá nhân như mã số an sinh xã hội. Người phát ngôn khẳng định sự cố tháng 4 không có liên quan gì đến sự cố tháng 3.
AT&T tin rằng ít nhất một người liên quan đã bị bắt giữ. FBI từ chối bình luận.
Theo CNN, AT&T là công ty mới nhất bị đánh cắp dữ liệu thông qua quyền truy cập nền tảng Snowflake. Gần đây, nền tảng bán vé Ticketmaster và ngân hàng Santander Bank cũng tiết lộ là nạn nhân của các vụ rò rỉ nghiêm trọng liên quan đến Snowflake. Mandiant – hãng bảo mật trực thuộc Google – lưu ý ít nhất 165 tổ chức có thể bị ảnh hưởng bởi chiến dịch tấn công mạng này.
370.000 USD trả cho tin tặc
Theo bài báo trên tạp chí Wired, AT&T đã trả khoảng 370.000 USD (hơn 9 tỷ đồng) để tin tặc xóa dữ liệu đánh cắp trong vụ tấn công. Sau đó, tin tặc gửi video dài 7 phút chứng minh đã xóa dữ liệu cho nhà mạng.
AT&T được cho là đã đàm phán thông qua một người trung gian, bí danh Reddington. Ban đầu, tin tặc đòi 1 triệu USD nhưng cuối cùng nhà mạng “hạ giá” thành công. Ngày 17/5, công ty trả số tiền chuộc bằng Bitcoin.
Theo yêu cầu từ hãng tin Bloomberg, hãng phân tích Chainalysis đã kiểm tra ví Bitcoin do hacker cung cấp và phát hiện một giao dịch vào giữa tháng 5, trùng với khoản thanh toán tiền chuộc của AT&T. Sau đó, một phần tiền nhỏ được chuyển đến một ví khác của một tin tặc khét tiếng.
Giao dịch diễn ra vào thời điểm AT&T đang làm việc với các quan chức hành pháp liên bang để tìm cách xử lý sự cố và trì hoãn công bố thông tin do những lo ngại an ninh quốc gia, công cộng. Với sự chấp thuận của Bộ Tư pháp, AT&T hoãn công bố hai lần, vào ngày 9/5 và 5/6.
Với quy mô và chi tiết dữ liệu của vụ tấn công, một số chuyên gia nhận xét số tiền mà AT&T bỏ ra thấp hơn đáng kể so với các sự cố rò rỉ dữ liệu khác. Chẳng hạn, Colonial Pipeline phải trả cho tin tặc 4,4 triệu USD sau cuộc tấn công ransomware năm 2021, buộc phải đóng cửa các đường ống dẫn nhiên liệu ở bờ đông, còn UnitedHealth Group trả 22 triệu USD cho một băng đảng sau khi công ty con Change Healthcare bị xâm nhập.
Jon DiMaggio, chiến lược gia bảo mật trưởng tại hãng phân tích Analyst1, với một công ty lớn như AT&T, 370.000 USD chỉ như “muối bỏ bể”. Ông suy đoán AT&T đàm phán được giá thấp như vậy vì tin tặc không truy cập được hồ sơ tài chính.
Năm nay, các cuộc tấn công mạng tiếp tục nhằm vào những tập đoàn lớn trong mọi ngành công nghiệp. Đôi khi hacker giữ lại dữ liệu để đòi tiền chuộc hoặc tung lên mạng.
(Theo Bloomberg, CNN, The Guardian)