Ảnh minh họa. Cyber Press

Tin tặc xâm nhập hệ thống nhà cung cấp dịch vụ bên thứ ba

Theo thông tin do chính tin tặc công bố, vụ xâm nhập xảy ra sau khi đối tượng tấn công dò mật khẩu hàng loạt (brute-force) thành công một máy chủ phát triển (development server) bị cấu hình sai của NordVPN. Máy chủ này lưu trữ nhiều bộ dữ liệu liên quan đến Salesforce và Jira, hai nền tảng phổ biến trong quản lý bán hàng và phát triển phần mềm doanh nghiệp.

Salesforce là một trong những nền tảng quản lý quan hệ khách hàng (CRM) lớn nhất thế giới, thường được doanh nghiệp sử dụng để vận hành quy trình bán hàng, chăm sóc khách hàng và tự động hóa nghiệp vụ. Jira là bộ công cụ phổ biến trong quản lý dự án và phát triển phần mềm, giúp theo dõi công việc, lỗi kỹ thuật và quy trình nội bộ

NordVPN – nhà cung cấp dịch vụ mạng riêng ảo (VPN) quy mô toàn cầu, có trụ sở tại Panama, phục vụ hàng triệu người dùng nhằm bảo vệ kết nối và quyền riêng tư trực tuyến. Với đặc thù vận hành nhiều hệ thống tích hợp và môi trường phát triển, các nền tảng này thường trở thành mục tiêu khi xảy ra sự cố cấu hình hoặc rò rỉ dữ liệu nội bộ.

NordVPN là cái tên mới nhất trong chuỗi các sự cố an ninh mạng xuất phát từ môi trường phát triển bị phơi lộ do lỗi cấu hình, một nhược điểm mà tin tặc đang tận dụng khai thác.

Để chứng minh cho tuyên bố của mình, hacker “1011” đã đăng tải một số bản dump SQL và ảnh chụp màn hình. Các mẫu dữ liệu này cho thấy sự tồn tại của những bảng như salesforce_api_step_details và api_keys, cho thấy tin tặc có thể đã truy cập vào dữ liệu tích hợp, cấu trúc backend và sơ đồ cơ sở dữ liệu.

Tấn công chiếm đoạt cơ sở dữ liệu mã nguồn và thông tin nhạy cảm

Thông tin được đăng tải còn cho thấy môi trường bị xâm nhập có thể chứa mã nguồn của nhiều cơ sở dữ liệu, các tệp cấu hình và bản ghi xác thực. Tin tặc khẳng định đã đánh cắp hơn 10 tệp mã nguồn cơ sở dữ liệu, cùng với Salesforce API key, Jira token và các thông tin nhạy cảm khác phục vụ cho giao tiếp, tự động hóa hệ thống nội bộ.

Các nhà nghiên cứu an ninh mạng theo dõi hoạt động trên dark web đã xác nhận sự tồn tại của bài đăng, tuy nhiên chưa thể kiểm chứng tính xác thực của toàn bộ dữ liệu bị rò rỉ. Đến thời điểm hiện tại, chưa có bằng chứng cho thấy hạ tầng vận hành chính hoặc dữ liệu khách hàng của NordVPN bị ảnh hưởng.

Các chuyên gia an ninh mạng cảnh báo, sự cố rò rỉ dữ liệu phát triển nội bộ, đặc biệt là thông tin xác thực Salesforce và Jira, có thể tạo điều kiện cho các cuộc xâm nhập sâu hơn hoặc truy cập trái phép vào các hệ thống tích hợp, nhất là khi các khóa API này được tái sử dụng hoặc liên kết với môi trường thực.

Các khóa API và cấu trúc dữ liệu của Salesforce, nếu bị lộ, có thể giúp tin tặc hiểu rõ quy trình làm việc, kịch bản tự động hóa và luồng phân quyền người dùng, khiến sự cố trở nên đặc biệt đáng lo ngại trong môi trường doanh nghiệp.

Máy chủ phát triển cấu hình sai, nhược điểm quen thuộc

Phân tích ban đầu cho thấy máy chủ phát triển bị cấu hình sai chính là điểm xâm nhập. Máy chủ này được cho là cho phép truy cập từ xa và có thể bị khai thác bằng các kỹ thuật brute-force, dẫn đến tình huống lộ tệp cấu hình và bản sao lưu cơ sở dữ liệu.

Theo các chuyên gia, môi trường phát triển từ lâu đã trở thành mục tiêu hấp dẫn của tin tặc, do thường được giám sát lỏng lẻo hơn so với hệ thống sản xuất, nhưng vẫn chứa token, khóa API và thông tin tích hợp quan trọng liên quan trực tiếp đến hạ tầng vận hành.

Động cơ của tác nhân tấn công hiện vẫn chưa rõ ràng. Tuy nhiên, việc công bố các mẫu dữ liệu kỹ thuật cho thấy mục tiêu trước mắt có thể chỉ là chứng minh khả năng xâm nhập, thay vì tìm cách chào bán dữ liệu cho các nhóm tội phạm khác.

Giới an ninh mạng nhấn mạnh rằng, ngay cả khi dữ liệu không bị rao bán, việc công khai khóa API và token tích hợp vẫn có thể tạo tiền đề cho các cuộc tấn công tiếp theo hoặc hỗ trợ các nhóm tin tặc khác lập bản đồ hệ thống nội bộ.

Tính đến thời điểm hiện tại, NordVPN vẫn chưa đưa ra tuyên bố chính thức về cáo buộc rò rỉ dữ liệu này, trong khi các cuộc điều tra nhằm xác minh phạm vi và mức độ ảnh hưởng của vụ việc vẫn đang được tiếp tục.

An Lâm (Theo Cyber Press)