 |
| Trụ sở của Mercedes-Benz USA ở Atlanta. Ảnh Mercedes-Benz. |
Lộ chiến lược pháp lý, biểu phí luật sư và thông tin khách hàng
Theo mô tả trong bài đăng rao bán trên darkweb, dữ liệu bao gồm hàng loạt các gói tài liệu nội bộ liên quan các vụ kiện tụng đang diễn ra và đã kết thúc tại 48 tiểu bang của Mỹ.
Nhóm phân tích của công ty an ninh mạng ThreatMon - đơn vị đầu tiên phát hiện tuyên bố trên darkweb cho biết, vụ tấn công chiếm đoạt dữ liệu này nhắm vào cơ sở hạ tầng pháp lý hỗ trợ MBUSA trong các tranh chấp bảo hành tiêu dùng, đặc biệt trong các vụ kiện theo Luật bảo hành liên bang của Mỹ (Magnuson-Moss Warranty Act) và Luật bảo vệ người tiêu dùng của bang (Californi Song-Beverly Consumer Warranty Act).
Tin tặc khẳng định kho dữ liệu gồm “mọi chiến lược pháp lý, mức phí luật sư bên ngoài và chính sách dàn xếp” mà Mercedes-Benz sử dụng tại Mỹ.
Ngoài tài liệu điều hành nội bộ, tệp rò rỉ được cho là chứa lượng lớn thông tin cá nhân (PII) của khách hàng, có khả năng ảnh hưởng đến những người từng gửi khiếu nại hoặc tham gia tranh chấp bảo hành với MBUSA.
Nghiêm trọng hơn, dữ liệu còn được cho là bao gồm “mẫu biểu và mẫu tài liệu bảo mật của MBUSA”, cùng các biểu mẫu đánh giá nhà cung cấp mới chứa thông tin ngân hàng.
Những dữ liệu nhạy cảm này có thể bị tin tặc lợi dụng để thực hiện các cuộc tấn công BEC (Business Email Compromise) hoặc gian lận tài chính nhằm vào hệ thống các nhà cung cấp của hãng.
Lỗ hổng bảo mật trong chuỗi cung ứng pháp lý
Các chuyên gia an ninh mạng nhận định, sự cố nếu được xác thực sẽ tiếp tục cho thấy sự hiện diện lỗ hổng bảo mật bên thứ ba trong chuỗi cung ứng dữ liệu, khi nhiều doanh nghiệp lớn phụ thuộc vào các nhà thầu pháp lý, dịch vụ lưu trữ hoặc đơn vị xử lý hồ sơ bên ngoài.
Thay vì tấn công trực tiếp vào hệ thống CNTT của Mercedes-Benz, tin tặc chuyển sang khai thác lỗ hổng ở bên thứ ba, nơi xử lý dữ liệu nhạy cảm của các doanh nghiệp.
Mercedes-Benz USA từng gặp sự cố lộ dữ liệu vào năm 2021 khi một lỗi cấu hình lưu trữ đám mây khiến gần 1.000 khách hàng bị ảnh hưởng. Tuy nhiên, sự kiện lần này được cho là nhắm vào chuỗi cung ứng pháp lý, không phải hạ tầng nội bộ của hãng.
Tính tới thời điểm hiện tại, cả Mercedes-Benz USA lẫn hãng luật Burris & MacOmber LLP (đơn vị bị nghi liên quan vụ rò rỉ) chưa đưa ra thông báo chính thức về tính xác thực của dữ liệu bị rao bán.
Các chuyên gia an ninh mạng khuyến nghị khách hàng từng tham gia tranh chấp bảo hành với MBUSA cần theo dõi chặt chẽ báo cáo tín dụng, đồng thời cảnh giác trước các email hoặc tin nhắn nghi ngờ có liên quan đến hồ sơ vụ kiện của mình.
An Lâm (Theo Cyber Security News)
Bình luận