Trang bán hàng theo nhóm LivingSocial bị hack: thông tin cá nhân của 50 triệu người dùng bị đánh cắp

Like Pandora.vn để được cập nhật tin công nghệ chuyên sâu và nóng hổi!

 

Trong một cuộc xâm phạm bảo mật nghiêm trọng, các hacker nhằm vào LivingSocial để đánh cắp thông tin cá nhân của hơn 50 triệu người dùng.

LivingSocial, từng là trang web mô hình mua chung (Groupon) lớn thứ 2, là mục tiêu tấn công mới nhất của các hacker.

LivingSocial bị hack; 50 triệu người bị ảnh hưởng

Theo các thông báo mà trang AllThingsD nắm được, một số người nặc danh đã ăn cắp tên, email, ngày sinh và mật khẩu của phần lớn khách hàng tại trang LivingSocial.

Trang web có nguồn gốc từ thủ đô Washington, được sở hữu một phần bởi Amazon, có khoảng 70 triệu khách hàng trên khắp thế giới. Các chi nhánh của công ty ở Philippines, Hàn Quốc, Indonesia và Thái Lan không bị ảnh hưởng vì chúng được quản lý bởi các máy chủ khác.

Để nhìn nhận cuộc đột kích này, Robert Hansen, giám đốc quản lý sản phẩm và phổ biến công nghệ của công ty bảo mật WhiteHat, cho rằng phạm vi ảnh hưởng ở đây rất quan trọng.

"Nếu có khoảng một tỉ người dùng Internet thì chỉ riêng cuộc tấn công này đã ảnh hưởng gần như 0,5% "dân số mạng" toàn cầu. Điều này có thể là một thảm họa, không chỉ riêng đối với tài khoản và thẻ tín dụng bị đánh cắp trực tiếp mà còn các mật khẩu được sử dụng lại ở nhiều nơi của người dùng. Họ nên đổi các mật khẩu của mình ngay lập tức."

Trong email thông báo của mình, CEO của LivingSocial, Tim O'Shaughnessy viết,

"Chúng tôi đang đối mặt với một cuộc tấn công mạng trên hệ thống máy tính mà hậu quả là các dữ liệu khách hàng đã bị tiếp cận một cách bất hợp pháp từ các máy chủ của công ty."

Ông khuyên các khách hàng nên tạo mật khẩu mới. LivingSocial sau đó đã đặt lại mật khẩu của khách hàng, tuy nhiên chỉ đối với những người bị tấn công hay toàn bộ khách hàng thì không rõ.

Một điều được coi là may mắn trong lần bị hack này là thông tin tài chính, bao gồm số thẻ tín dụng của người bán và người mua dường như chưa bị tiếp cận bởi hacker. "Thông tin thẻ tín dụng được lưu trữ riêng là một điều tốt và tôi mừng là họ đã làm thế", Chris Wysopal, một chuyên gia bảo mật thông tin tại Veracode nói trong cuộc phỏng vấn với CNET.

Còn rất nhiều câu hỏi chưa được trả lời trong email của LivingSocial, bao gồm hai điều chính: phương thức tấn công nào được dùng để tiếp cận cơ sở dữ liệu? Cuộc tấn công đã xảy ra cách đây bao lâu?

Về phương thức mà thông tin bị lấy trộm, Wysopal nói nó có khả năng là cuộc tấn công sử dụng ứng dụng phần mềm chạy trên trình duyệt web để tiếp cận cơ sở dữ liệu SQL của trang. "Nếu đó là một ứng dụng Web thì việc kiểm tra đã tốt hơn", ông nói.

"Có một sự thật trong ngành bảo mật là," Wysopal nói." Nếu chúng ta biết nguồn gốc của những cuộc tấn công này thì việc giúp các công ty cải thiện hệ thống an ninh của họ sẽ dễ dàng hơn."

LivingSocial từ chối bình luận khi được yêu cầu thêm thông tin về cuộc tấn công. "Chúng tôi sẽ không thảo luận thêm về thời gian và chi tiết của cuộc tấn công vì lý do cuộc điều tra đang diễn ra".

LivingSocial chỉ là nạn nhân mới nhất trong một chuỗi các Website nổi tiếng bị tấn công cơ sở dữ liệu khách hàng. Trong vòng 18 tháng trước, Evernote, Zappos và Linkedln đều có dữ liệu khách hàng bị xâm phạm.

Mặc dù thông thường trong các cuộc tấn công như thế này thì không thể làm được gì, nhưng Wysopal đưa ra một số bước cơ bản để khách hàng có thể tự bảo vệ chính mình. Ông nói, vì thời điểm tấn công chưa biết rõ nên "có thể các hacker đã tiếp cận email của bạn, hãy kiểm tra nếu nó được đang nhập từ một nơi khác hay nó đã được chuyển cho một tài khoản khác."

"Nếu bạn đang dùng cùng một mật khẩu cho nhiều trang web khác nhau thì hãy đổi chúng. Hãy chùng các ứng dụng quản lý mật khẩu như OnePass hay RoboForm, LastPass và KeyPass"

Cnet/GenK