![10 vụ vi phạm dữ liệu lớn nhất trong tài chính [Cập nhật tháng 8 năm 2022]](https://24htienao.com/wp-content/uploads/2022/08/e.jpg)
Tội phạm mạng chọn mục tiêu của chúng dựa trên hai điều kiện để tác động tối đa và đạt được lợi nhuận tối đa. Các tổ chức tài chính đã đáp ứng hoàn hảo các điều kiện này vì các điều kiện họ lưu trữ dữ liệu có giá trị cao và nỗ lực chuyển đổi kỹ thuật số của họ đang tạo ra cơ hội lớn cho những kẻ tấn công mạng truy cập vào dữ liệu đó.
Đây chính là lý do mà tại sao lĩnh vực tài chính bị nhắm mục tiêu không cân xứng bởi tội phạm mạng, đứng sau lĩnh vực chăm sóc sức khỏe.
Mục lục bài viết
Related articles
Bên cạnh việc triển khai một giải pháp bảo vệ dữ liệu dành riêng cho các dịch vụ tài chính, một trong những phương pháp tốt nhất để giảm thiểu vi phạm dữ liệu là học hỏi từ những sai lầm của những người khác.
Để hỗ trợ nỗ lực này, chúng tôi đã liệt kê 10 vụ vi phạm dữ liệu lớn nhất trong ngành tài chính, được xếp hạng theo mức độ ảnh hưởng. Danh sách này thường xuyên được làm mới để bao gồm các sự kiện quan trọng vào năm 2022 trên khắp thế giới tại các quốc gia lớn như Hoa Kỳ, Anh, Úc, Trung Quốc và nhiều quốc giá khác.
Vi phạm dữ liệu đầu tiên của American Financial Corp
Nguyên nhân
Hơn 885 triệu hồ sơ tài chính và cá nhân liên quan đến các giao dịch bất động sản đã bị lộ thông qua một lỗi thiết kế trang web phổ biến.
Lỗi này được gọi là “Lỗi Logic Kinh doanh” trên trang web FIrst American Financial Corp. Đây là khi một liên kết trang web dẫn đến thông tin nhạy cảm không được chính sách xác thực bảo vệ để xác minh quyền truy cập của người dùng.
Sự phơi bày này không phải do hacker khởi xướng, lỗ hổng hỗ trợ truy cập dữ liệu nhạy cảm là do lỗi nội bộ – một sự kiện được gọi là rò rỉ dữ liệu.
Rò rỉ dữ liệu và vi phạm dữ liệu là hai sự kiện khác nhau, nhưng cả hai đều có chung một kết quả tiềm ẩn – thông tin khách hàng nhạy cảm rơi vào tay tội phạm mạng.
Những dữ liệu nào bị xâm phạm?
Dưới đây là những dữ liệu đã bị xâm phạm trong vụ vi phạm dữ liệu của First American Corp:
- Tên
- Địa chỉ email
- Số điện thoại của đại lý đóng và người mua
Được trang bị thông tin này, có thể có nhiều loại tội phạm mạng bao gồm:
- Hành vi trộm cắp danh tính
- Các cuộc tấn công ransomware
- Chèn phần mềm độc hại
Bài học từ những vi phạm này
Các bài học sau đây có thể được rút ra từ vụ vi phạm của First American Financial Corp:
- Thực hiện các chính sách xem xét mã – Trước khi đưa bất kỳ mã nào vào hoạt động, mã đó phải được nhân viên kiểm soát chất lượng xem xét.
- Theo dõi rò rỉ dữ liệu – Giải pháp phát hiện rò rỉ dữ liệu sẽ phát hiện và chặn tất cả các rò rỉ dữ liệu nội bộ hoặc bên thứ ba trước khi chúng bị tội phạm mạng phát hiện.
Vi phạm dữ liệu Equifax
Nguyên nhân
Vụ vi phạm dữ liệu Equifax không phải là một thảm họa. Một loạt các hoạt động an ninh mạng khủng khiếp đã khiến cho việc vi phạm an ninh gần như trở nên quá dễ dàng đối với tội phạm mạng.
Có bốn lỗ hổng chính đã tạo điều kiện cho vi phạm bảo mật.
- Công ty đã không thể vá một lỗ hổng nổi tiếng (CVE-2017-5638) cho khung phát triển Nguồn mở của mình – Apache Struts. Tại thời điểm vi phạm, bản vá cho CVE-2017-5638 đã có sẵn trong 6 tháng.
- Equifax đã thất bại trong việc phân đoạn hệ sinh thái của mình, vì vậy những kẻ tấn công có thể truy cập liền mạch vào nhiều máy chủ sau khi có được quyền truy cập thông qua vi phạm cổng web.
- Các tin tặc đã tìm thấy tên người dùng và mật khẩu được sắp xếp dưới dạng văn bản thuần túy, được sử dụng để nâng cao đặc quyền nhằm đạt được quyền truy cập sâu hơn.
- Các tin tặc đã có thể lấy cắp dữ liệu mà không bị phát hiện trong nhiều tháng vì Equifax không thể gia hạn chứng chỉ mã hóa cho một trong các công cụ nội bộ của họ.
Trên hết, hơn một tháng đã trôi qua trước khi Equifax cuối cùng công khai vi phạm. Trong giai đoạn này, các giám đốc điều hành hàng đầu đã bán cổ phiếu của công ty, làm phát sinh các cáo buộc giao dịch nội gián.
Dữ liệu nào đã bị xâm phạm?
Hơn 40% dân số Hoa Kỳ có khả năng bị ảnh hưởng bởi vụ vi phạm dữ liệu Equifax.
Dữ liệu sau đã bị xâm phạm:
- Tên
- Ngày sinh
- Số an sinh xã hội
- Giấy phép lái xe
- Số thẻ tín dụng
Do tính chất nhạy cảm cao của Thông tin nhận dạng cá nhân (PII) và thông tin tài chính bị xâm phạm, Equifax đã bị phạt 700 triệu đô la vì vi phạm.
Bài học kinh nghiệm
Các công ty dịch vụ tài chính và các doanh nghiệp nhỏ có thể học được nhiều bài học quan trọng từ vụ vi phạm này.
- Luôn cập nhật tất cả phần mềm – Cuộc tấn công mạng này có thể được tránh hoàn toàn nếu Equifax vá lỗ hổng phát triển của nó.
- Phân đoạn hệ sinh thái của bạn – Phân đoạn hệ sinh thái của bạn để ngăn chặn quyền truy cập vào tất cả các tài nguyên nhạy cảm.
- Giám sát các bên thứ ba – Nền tảng quản lý rủi ro của nhà cung cấp sẽ tiết lộ bất kỳ dịch vụ nào của bên thứ ba có nguy cơ bị tấn công mạng cao thông qua các lỗ hổng chưa được vá.
- Thực hiện các chính sách thông báo vi phạm dữ liệu kịp thời
Vi phạm dữ liệu của hệ thống thanh toán Heartland
Nguyên nhân
Những kẻ tấn công mạng đã sử dụng một cuộc tấn công SQL injection để truy cập vào mạng công ty của công ty. Họ đã dành gần 6 tháng để cố gắng truy cập tài nguyên xử lý dữ liệu thẻ tín dụng.
Trong một nỗ lực để chấn chỉnh danh tiếng khả năng phục hồi không gian mạng đã giảm sút của mình, Heartland đã nâng cấp đáng kể tính bảo mật mạng của mình và mạnh dạn ban hành lệnh vi phạm dữ liệu sau đây cho tất cả các khách hàng của mình.
Sau thông báo này, tội phạm mạng đã đột nhập vào văn phòng trả lương của công ty và đánh cắp vật lý 11 máy tính, dẫn đến việc xâm phạm Thông tin nhận dạng cá nhân ảnh hưởng đến 2.200 người.
Những dữ liệu bị xâm phạm ở vụ vi phạm này là gì?
Dữ liệu sau đã bị xâm phạm trong vụ vi phạm dữ liệu Heartland:
- Số thẻ tín dụng
- Ngày hết hạn thẻ
- Tên chủ thẻ
Bài học kinh nghiệm
Các bài học sau đây có thể được rút ra từ vi phạm Hệ thống thanh toán Heartland.
- Việc tuân thủ quy định là chưa đủ – Heartland đã tuân thủ PCI DSS vào thời điểm xảy ra sự cố, nhưng nó không đủ để ngăn chặn vi phạm dữ liệu.
- Triển khai các giao thức bảo mật nội bộ – Các biện pháp bảo vệ an ninh cấp bên ngoài là vô ích nếu tác nhân đe dọa có thể bỏ đi với các thiết bị chứa các tài nguyên nhạy cảm.
- Bảo mật tất cả các hệ thống của bên thứ ba – Tất cả các doanh nghiệp hợp tác với Heartland để xử lý các khoản thanh toán của họ đều bị ảnh hưởng bởi vi phạm này.
Vi phạm dữ liệu Capital One
Nguyên nhân
Cựu kỹ sư phần mềm của Amazon Web Services, Paige A. Thompson, đã truy cập bất hợp pháp vào một trong những máy chủ AWS lưu trữ dữ liệu của Capital One và đánh cắp 100 triệu ứng dụng thẻ tín dụng từ năm 2005.
Không mất nhiều thời gian để FBI xác định được kẻ tấn công vì Thompson đã không cố gắng làm xáo trộn mối liên hệ của cô với sự kiện này.
Cô ấy đã sử dụng tên đầy đủ của mình khi đăng dữ liệu bị đánh cắp trên GitHub và thậm chí công khai khoe khoang về vụ vi phạm trên mạng xã hội.
Một người dùng GitHub đã gửi cho Capital One một email để thông báo cho họ về kết xuất dữ liệu bị đánh cắp.
Dữ liệu nào bị xâm phạm?
Những dữ liệu nhạy cảm sau đây đã bị đánh cắp bao gồm:
- Số an sinh xã hội (khoảng 140.000 hồ sơ)
- Bảo hiểm xã hội Canada (khoảng 1 triệu hồ sơ)
- Số tài khoản ngân hàng (80.000)
Mức độ lớn của dữ liệu bị xâm phạm phân loại sự kiện này là một trong những vụ vi phạm dữ liệu nghiêm trọng nhất trong ngành dịch vụ tài chính.
Bài học kinh nghiệm
Những kinh nghiệm được rút ra từ sau vụ vi phạm này là:
- Bảo mật tất cả công nghệ đám mây – Việc vi phạm này có thể không xảy ra nếu Capital One đã đảm bảo việc chuyển đổi sang lưu trữ đám mây bằng giải pháp giám sát bề mặt tấn công.
- Bảo mật tất cả các cấu hình tường lửa – Tường lửa ứng dụng web được định cấu hình sai đã làm cho vi phạm này có thể xảy ra.
JPMorgan Chase vi phạm dữ liệu
Nguyên nhân
Thay vì tận dụng các đặc quyền tài khoản có sẵn để lấy cắp thông tin tài chính, chỉ thông tin liên hệ của khách hàng đã bị đánh cắp. Kết quả rất phi thường này cho thấy mục tiêu của cuộc tấn công là chỉ đánh cắp thông tin chi tiết cụ thể của khách hàng – có thể để sử dụng trong các cuộc tấn công mạng có chủ đích trong tương lai.
Dữ liệu bị xâm phạm
Những dữ liệu bị xâm phạm bao gồm:
- Chi tiết đăng nhập nội bộ cho nhân viên JPMorgan
- Tên khách hàng
- Địa chỉ email
- Số điện thoại
Bài học kinh nghiệm
Sự kiện này chứng tỏ rằng ngay cả những tổ chức tài chính tinh vi nhất cũng dễ mắc phải những sai sót cơ bản trong vấn đề vệ sinh an ninh mạng. Để phát hiện các phơi nhiễm bị bỏ sót thông qua các quy trình thủ công, nỗ lực của con người phải luôn được hỗ trợ với giải pháp giám sát bề mặt tấn công.
Experian
Nguyên nhân
Một kẻ đe dọa tự xưng là đại diện cho một trong những khách hàng của Experian đã thuyết phục một nhân viên của văn phòng Experian Nam Phi từ bỏ dữ liệu nội bộ nhạy cảm.
Experian khẳng định rằng thông tin được cung cấp không có độ nhạy cao, mà là dữ liệu thường được trao đổi trong quá trình kinh doanh bình thường.
Dữ liệu nào đã bị xâm phạm?
Thông tin khách hàng sau đây đã được tiết lộ cho kẻ đe dọa:
- Điện thoại di động
- Số điện thoại nhà riêng
- Chỉ số công việc
- Địa chỉ email
- Địa chỉ cư trú
- Nơi làm việc
- Địa chỉ cơ quan
- Chức danh công việc
- Ngày bắt đầu công việc
Theo Experian, kẻ đe dọa có ý định sử dụng dữ liệu bị đánh cắp để tạo ra các đầu mối tiếp thị cho các dịch vụ liên quan đến bảo hiểm và tín dụng.
Bài học
Những bài học được rút ra sau vụ vi phạm này là:
- Thực hiện đào tạo về mối đe dọa mạng tại nơi làm việc
- Triển khai giải pháp phát hiện rò rỉ dữ liệu
Block
Nguyên nhân
Một nhân viên của Square (hiện được gọi là Block) đã tải xuống các báo cáo chi tiết thông tin khách hàng mà không được phép. Ước tính có khoảng 8,2 triệu khách hàng hiện tại và khách hàng cũ đã được đưa vào báo cáo.
Dữ liệu bị xâm phạm
Bao gồm các dữ liệu sau:
- Tên đầy đủ
- Số tài khoản môi giới
- Giá trị danh mục môi giới
- Môi giới nắm giữ danh mục đầu tư
Hoạt động giao dịch chứng khoán trong một ngày giao dịch
Block nói rằng thông tin nhạy cảm, chẳng hạn như mật khẩu, số an sinh xã hội và thông tin thẻ thanh toán, không bị xâm phạm trong vụ vi phạm.
Bài học được rút ra
Vì không yêu cầu cấp phép, sự cố này sẽ khó phát hiện bằng các chiến lược giám sát mối đe dọa nội gián thông thường.
Việc phát hiện các nỗ lực độc hại tiềm ẩn trong phạm vi xem xét các quy trình được phép của nhân viên đòi hỏi một cách tiếp cận được nhắm mục tiêu cao và tùy chỉnh.
Nhóm Desjardins
Nguyên nhân
Một nhân viên bất mãn của hiệp hội tín dụng lớn nhất Canada, Desjardins, có quyền truy cập trái phép vào dữ liệu của 4,2 triệu thành viên với ý định gây tổn hại cho công ty.Các cuộc điều tra thu hẹp phạm vi tiếp xúc với một nguồn duy nhất, tiết lộ nhân viên chịu trách nhiệm.
>> Xem thêm: Ví Slope bị đổ lỗi cho cuộc tấn công hệ thống Solana
Dữ liệu bị xâm phạm
Những dữ liệu bị xâm phạm bao gồm:
- Số an sinh xã hội
- Tên
- Địa chỉ email
- Hồ sơ giao dịch
Desjardins đảm bảo rằng không có số thẻ tín dụng, thẻ ghi nợ hoặc thẻ thanh toán, mật khẩu hoặc mã PIN nào bị truy cập khi vi phạm.
Bài học rút ra
- Bảo mật tất cả quyền truy cập đặc quyền – Kẻ nội gián độc hại của Desjardins lẽ ra không có quyền truy cập tự do và không bị quản lý vào một nguồn dữ liệu cá nhân lớn như vậy.
- Hợp lý hóa Quản lý Rủi ro Nhà cung cấp – Các phương pháp quản lý rủi ro nhà cung cấp hiệu quả, chẳng hạn như Xếp hạng Nhà cung cấp, bảo vệ các nhóm bảo mật khỏi tình trạng quá tải, tạo đủ băng thông để giám sát các mối đe dọa nội bộ.
- Tìm kiếm các dấu hiệu cho thấy sự không hài lòng của nhân viên – Các máy chủ nội bộ thông thường hoặc máy chủ trực tuyến có thể làm nổi bật sự bất bình của nhân viên trước khi chúng chuyển sang các mối đe dọa nội bộ.
Công ty Cổ phần Ngân hàng Westpac
Nguyên nhân
Vi phạm dữ liệu này xảy ra thông qua PayID – nhà cung cấp bên thứ ba của Westpac để tạo điều kiện chuyển tiền giữa các ngân hàng bằng số điện thoại di động hoặc địa chỉ email.Lỗ hổng này khiến tin tặc có thể thực hiện một cuộc tấn công liệt kê – khi các kỹ thuật brute force được sử dụng để xác nhận hoặc đoán các bản ghi hợp lệ trong cơ sở dữ liệu.
Dữ liệu bị xâm phạm
Cuộc tấn công liệt kê đã làm lộ ra các loại dữ liệu khách hàng sau:
- Tên đầy đủ
- Địa chỉ email
- Số điện thoại
- Thông tin tài khoản
Được trang bị những chi tiết này, tội phạm mạng có thể tiếp tục nhắm mục tiêu lại nạn nhân bằng một loạt các cuộc tấn công lừa đảo.
Bài học kinh nghiệm
Để ngăn chặn sự cố như vậy, các biện pháp kiểm soát an ninh giải quyết các cuộc tấn công vũ phu nên được thực hiện.
Một số ví dụ được liệt kê dưới đây:
- Hạn chế các lần đăng nhập – Hạn chế các lần đăng nhập không chính xác từ một địa chỉ IP.
- Sử dụng cookie của thiết bị – Cookie của thiết bị sẽ chặn các nỗ lực đăng nhập độc hại đến từ các trình duyệt cụ thể.
- Chặn thông tin đăng nhập đáng ngờ – Chặn chức năng đăng nhập sau một số lần thử không chính xác.
- Không tiết lộ thông tin đăng nhập chính xác – Ngăn các trường đăng nhập xác nhận chi tiết cụ thể nào là chính xác.
- Sử dụng CAPTCHAS – Chọn CAPTCHAS ngày càng khó hơn và tốn thời gian hơn với mỗi lần đăng nhập không chính xác.
Flagstar Bank
Nguyên nhân
Một trong những nhà cung cấp tài chính lớn nhất ở Hoa Kỳ, Flagstar Bank, đã bị một vụ vi phạm dữ liệu lớn vào tháng 6 năm 2022, làm rò rỉ số An sinh xã hội của gần 1,5 triệu khách hàng. Vụ vi phạm là vụ tấn công thứ hai như vậy nhằm vào gã khổng lồ ngân hàng trực tuyến có trụ sở tại Michigan trong nhiều năm.
Dữ liệu bị xâm phạm
Các dữ liệu bị xâm phạm bao gồm:
- Số an sinh xã hội (SSN)
- Thông tin ngân hàng
- Thông tin cá nhân (tên, địa chỉ, ngày sinh)
Bài học kinh nghiệm
Các phương pháp hay để bảo mật tốt hơn luôn phải bao gồm, nhưng không giới hạn ở những điều sau:
- Kiểm tra thâm nhập hàng năm
- Kiểm toán bảo mật (ví dụ: Kiểm tra SOC 2)
- Cập nhật kế hoạch ứng phó sự cố
- Cung cấp đào tạo về an ninh mạng
