ShinyHunters tuyên bố vụ xâm nhập hệ thống Odido ảnh hưởng đến hàng triệu cá nhân

Nhóm tin tặc ShinyHunters vừa qua đã nhận trách nhiệm về vụ tấn công mạng vào nhà cung cấp dịch vụ viễn thông Odido của Hà Lan và đánh cắp hàng triệu hồ sơ người dùng từ các hệ thống bị xâm nhập.

Công ty tiết lộ vụ rò rỉ dữ liệu vào ngày 12/2, cho biết tin tặc đã tải xuống dữ liệu cá nhân của nhiều người dùng sau khi xâm nhập vào hệ thống liên hệ khách hàng của họ vào ngày 7/2. Tuy nhiên, Odido cho biết mật khẩu Mijn Odido, chi tiết cuộc gọi, vị trí, dữ liệu, dữ liệu thanh toán hoặc bản quét giấy tờ tùy thân không bị lộ trong sự cố này.

Theo công ty viễn thông, thông tin bị rò rỉ có thể bao gồm họ tên, địa chỉ, thành phố cư trú, số điện thoại di động, mã số khách hàng, địa chỉ email, số tài khoản ngân hàng (IBAN), ngày sinh và một số thông tin nhận dạng (số hộ chiếu hoặc số giấy phép lái xe và thời hạn hiệu lực).

Vào thời điểm đó, công ty thông báo với truyền thông địa phương rằng, sự cố ảnh hưởng đến 6,2 triệu khách hàng và các đối tượng tấn công đã liên hệ để xác nhận chúng đã đánh cắp hàng triệu hồ sơ người dùng. Sau khi phát hiện sự cố, Odido đã báo cáo cho Cơ quan Bảo vệ Dữ liệu Hà Lan, ngăn chặn quyền truy cập của kẻ tấn công vào hệ thống của mình, đồng thời thuê các chuyên gia an ninh mạng bên ngoài để hỗ trợ ứng phó và giảm thiểu thiệt hại do sự cố gây ra.

Người phát ngôn của Odido nhấn mạnh do cuộc điều tra đang diễn ra, nên sẽ không cung cấp thêm thông tin về nhóm tội phạm nào đứng sau vụ tấn công và liệu chúng có đòi tiền chuộc hay không.

Mặc dù Odido vẫn chưa xác nhận thủ phạm vụ tấn công, nhưng băng nhóm mã độc tống tiền ShinyHunters đã thêm công ty này vào trang web rò rỉ dữ liệu của chúng, tuyên bố đánh cắp gần 21 triệu bản ghi chứa dữ liệu mà công ty này đã tiết lộ là bị lộ trong vụ xâm phạm trước đó.

Thông tin về Odido trên trang rò rỉ ShinyHunters

Chia sẻ với trang tin BleepingComputer, ShinyHunters xác nhận rằng dữ liệu bị đánh cắp còn chứa thông tin nội bộ của Odido và mật khẩu dạng văn bản thuần. Tuy nhiên, người phát ngôn của công ty đã phủ nhận những cáo buộc này, khẳng định lại rằng “không có mật khẩu, chi tiết cuộc gọi, số an sinh xã hội hoặc dữ liệu thanh toán nào bị liên quan”.

Trong những tuần gần đây, các tin tặc ShinyHunters đã nhận trách nhiệm về hàng loạt vụ vi phạm an ninh khác, bao gồm Panera Bread, Betterment, SoundCloud, Canada Goose, PornHub và tập đoàn Match Group (sở hữu các nền tảng hẹn hò Tinder, Hinge, Meetic, Match.com và OkCupid).

Một số nạn nhân của chúng bị xâm phạm hệ thống trong các cuộc tấn công lừa đảo qua điện thoại (vishing) nhắm vào các tài khoản đăng nhập một lần (SSO) tại Google, Microsoft và Okta. Trong các cuộc tấn công này, kẻ tấn công gọi điện cho nhân viên, giả danh hỗ trợ công nghệ thông tin, đánh lừa nạn nhân nhập thông tin đăng nhập và mã xác thực đa yếu tố (MFA) trên các trang web lừa đảo mạo danh cổng đăng nhập của công ty họ.

Nhóm ShinyHunters gần đây cũng áp dụng hình thức lừa đảo qua điện thoại bằng mã thiết bị, lợi dụng quy trình ủy quyền thiết bị OAuth 2.0 để lấy mã thông báo xác thực Microsoft Entra.

Sau khi đánh cắp thông tin đăng nhập và mã xác thực của mục tiêu, các tác nhân đe dọa chiếm đoạt tài khoản SSO của nạn nhân để xâm nhập các dịch vụ doanh nghiệp được kết nối như Salesforce, Microsoft 365, Google Workspace, SAP, Slack, Adobe, Atlassian, Zendesk, Dropbox và nhiều dịch vụ khác.