Cơ sở dữ liệu ElasticSearch có thể truy cập công khai mới đây đã tiết lộ một kho thông tin khổng lồ liên quan đến mạng nội bộ toàn cầu của nhà sản xuất ô tô khổng lồ Honda, cho thấy các lỗ hổng bảo mật tiềm ẩn trong cơ sở dữ liệu cũng như hệ thống mã “mỏng manh” của tập đoàn danh tiếng này hoàn toàn có thể bị lạm dụng bởi những kẻ tấn công tiềm năng.
Kho dữ liệu khổng lồ được đăng tải trên ElasticSearch chứa khoảng 134 triệu tệp tài liệu với lượng thông tin tương đương với 40GB, có liên quan đến hơn 300.000 nhân viên của Honda trên toàn thế giới.
Cơ sở dữ liệu bị rò rỉ chứa 134 triệu tệp tài liệu nội bộ của Honda
"Thông tin có sẵn trong cơ sở dữ liệu này trông có vẻ giống như một kho lưu trữ nội bộ, chứa đựng thông tin liên quan đến dây chuyền sản xuất, dữ liệu khách hàng, và đặc biệt là thông tin về nhân viên của Honda trên toàn thế giới. Ngoài ra cũng cần phải kể đến một vài thông tin quan trọng khác như tên máy chủ, địa chỉ MAC, IP nội bộ, phiên bản hệ điều hành, bản vá đã được áp dụng và trạng thái phần mềm bảo mật điểm cuối của toàn bộ các thiết bị đang hoạt động trong hệ thống mạng của nhà sản xuất xe hơi Nhật Bản này”, Justin Paine, nhà nghiên cứu bảo mật đã phát hiện ra kho dữ liệu bất thường cho biết.
Danh sách dữ liệu bị tiết lộ
Những dữ liệu bị tiết lộ
Cơ sở dữ liệu ElasticSearch không được bảo mật đã tiết lộ một lượng lớn thông tin rất cụ thể về hàng trăm nghìn nhân viên của Honda như tên, email, lần đăng nhập cuối cùng của họ, cũng như thông tin về mạng của nhà cung cấp hệ thống bảo mật điểm cuối, hệ điều hành, phiên bản hệ điều hành, tên máy chủ và trạng thái bản vá bảo mật.
Chưa dừng lại ở đó, có khoảng 3.000 điểm dữ liệu đã được lưu trữ trong một bảng thống kê có tên "unrollrollmachine", trong đó chứa đựng một danh sách các máy tính trên mạng nội bộ của Honda không sử dụng phần mềm bảo mật điểm cuối - miếng mồi béo bở cho những tên tội phạm mạng.
"Nếu những kẻ tấn công đang tìm cách xâm nhập vào mạng của Honda tiếp cận được danh sách “unrollrollmachine”, chúng nghiễm nhiên sẽ nắm được thông tin về việc những thiết bị nào trong hệ thống mạng ít có khả năng nhận dạng/chặn các cuộc tấn công của chúng, từ đó đưa ra phương án tấn công vào các máy tính không sử dụng phần mềm bảo mật điểm cuối trong hệ thống. Đây chính là cánh cửa rộng mở giúp tin tặc xâm nhập vào hệ thống nội bộ của Honda. Một thảm họa an ninh mạng sẽ là hệ quả nhãn tiền”, ông Justin Paine nói thêm.
Thông tin quan trọng liên quan đến CEO của Honda cũng đã bị rò rỉ
Nguy hiểm hơn, cơ sở dữ liệu này cũng có chứa dữ liệu trên các hệ thống máy tính được sử dụng bởi những nhân vật cao cấp trong công ty, như các CFO, CSO và CEO, cho đến các trưởng bộ phận, giám đốc công ty con, từ đó có thể cho phép kẻ tấn công dễ dàng tìm và truy cập thông tin bị lộ và sử dụng chúng trong các cuộc tấn công nhắm mục tiêu đến vị những vị trí cấp cao trong doanh nghiệp.
Trong ví dụ phía trên, không ít thông tin quan trọng liên quan đến CEO của Honda đã bị phơi bày, có thể kể đến như họ tên đầy đủ, tên tài khoản, email và ngày đăng nhập cuối cùng của ông này. Cùng với đó là "địa chỉ MAC của máy tính mà vị CEO đang sử dụng, thông tin về Windows KB/bản vá đã được áp dụng, hệ điều hành, phiên bản hệ điều hành, trạng thái bảo mật điểm cuối, IP và loại thiết bị".
Cơ sở dữ liệu bị tiết lộ trong 6 ngày liên tục
Sau khi Justin Paine phân tích hoạt của động cơ sở dữ liệu trong khoảng thời gian 30 ngày, chuyên gia bảo mật này đã phát hiện ra rằng dữ liệu đang được cập nhật mỗi ngày, với khoảng 40.000 mục mới chứa thông tin về nhân viên của Honda đang làm việc tại các nhà máy, văn phòng trên khắp thế giới, cùng với đó là tình trạng mạng, bảo mật và hệ điều hành hiện tại của máy tính mà họ đang sử dụng.
Cơ sở dữ liệu bị lộ của Honda với lượng thông tin tương đương với khoảng 3 tháng hoạt động của công ty (bắt đầu từ ngày 13 tháng 3) đã được Justin Paine tìm thấy vào ngày 1 tháng 7. Và sau vài ngày cố gắng tìm cách liên hệ với những cá nhân có trách nhiệm quản lý thông tin bảo mật của Honda để thông báo về những phát hiện của mình, Justin Paine cuối cùng cũng đã liên lạc hành công với đội ngũ bảo mật hệ thống của hãng xe hơi Nhật Bản vào sáng ngày 6 tháng 7 vừa qua. Như vậy, kho dữ liệu này đã bị bỏ ngỏ trong khoảng 6 ngày liên tục.
Danh sách các công ty con của Honda được tìm thấy trong cơ sử dữ liệu bị rò rỉ
Sau khi tiếp nhận thông tin từ Justin Paine, đội ngũ bảo mật của Honda đã ngay lập tức cho bảo trì hệ thống trong khoảng 10 giờ liên tục, đồng thời gửi thư cảm ơn nhà nghiên cứu bảo mật này vì đã cung cấp cho họ thông tin về cơ sở dữ liệu dễ bị tổn thương, một phần nội dung bức thư như sau:
“Honda xin gửi lời cảm ơn sâu sắc nhất đến ông vì đã tìm ra và cung cấp thông tin về lỗ hổng bảo mật trong hệ thống của chúng tôi. Vấn đề bảo mật mà ông đã chỉ ra có thể có khả năng tạo điều kiện cho các tác nhân độc hại bên ngoài truy cập trái phép vào một số dữ liệu dựa trên đám mây của Honda, bao gồm nhiều thông tin liên quan đến nhân viên của chúng tôi cũng như các thiết bị đang hoạt động trong hệ thống mạng. Chúng tôi đã tiến hành điều tra nhật ký truy cập hệ thống và không tìm thấy bất cứ dấu hiệu tải xuống dữ liệu của một bên thứ ba nào. Tại thời điểm hiện tại, không có bằng chứng nào cho thấy dữ liệu bị rò rỉ, ngoại trừ các ảnh chụp màn hình do ông gửi đến. Trong thời gian tới, chúng tôi sẽ thực hiện các kế hoạch phù hợp theo luật pháp và quy định có liên quan, và sẽ tiếp tục triển khai những biện pháp bảo mật chủ động để ngăn chặn các sự cố tương tự trong tương lai. Một lần nữa xin cảm ơn thông tin đóng góp từ ông!”
Honda đã gửi thư cảm ơn đến Justin Paine và lập tức bắt tay vào khắc phục sự cố
“Tôi cam đoan sẽ không nêu tên nhà cung cấp dịch vụ bảo mật điểm cuối chính, chịu trách nhiệm bảo vệ các máy của Honda, nhưng dữ liệu rò rỉ lại cho thấy rõ thông tin về nhà cung cấp dịch vụ bảo mật cũng như thiết bị nào trong hệ thống đang sở hữu phần mềm bảo mật điểm cuối được bật và cập nhật. Điều làm cho cơ sở dữ liệu này đặc biệt nguy hiểm nếu rơi vào tay tin tặc là nó có thể chỉ ra chính xác vị trí của các điểm yếu trong hệ thống mạng nội bộ Honda”, ông Justin Paine kết luận.