Showing posts with label hack. Show all posts
Showing posts with label hack. Show all posts

Friday, September 23, 2022

Ngân hàng Morgan Stanley bị phạt 35 triệu USD vì bán thanh lý ổ cứng nhưng không xóa dữ liệu

 Án phạt đó đã được ngân hàng đầu tư nổi tiếng nước Mỹ, Morgan Stanley chấp nhận nộp cho Ủy ban Chứng khoán và Giao dịch Hoa Kỳ. Sau cuộc điều tra của SEC, Morgan Stanley bị phát hiện bán thanh lý những ổ cứng không mã hóa dữ liệu sau khi ngừng hoạt động những hệ thống data center cũ, nhưng hoàn toàn không có bước xóa sạch dữ liệu lưu trữ trong những ổ cứng ấy.



Không chỉ một vài, mà Morgan Stanley đã bán hàng nghìn ổ cứng lưu trữ dữ liệu của các khách hàng, rút ra từ những data center đã ngừng sử dụng của ngân hàng đầu tư này. Theo kết quả điều tra của SEC, 15 triệu khách hàng có thể đã bị lộ thông tin cá nhân vì sự bất cẩn trong nhiều năm trời của Morgan Stanley. Hệ quả là, án phạt 35 triệu USD do SEC áp cho ngân hàng này vì lý do “thất bại trong việc bảo mật dữ liệu khách hàng trong vòng 5 năm trời, theo quy định liên bang.”

Rắc rối xảy đến từ năm 2016, khi Morgan Stanley thuê một đơn vị chuyển hàng không có kinh nghiệm cũng như khả năng xử lý dữ liệu cá nhân, nhưng vẫn để họ tháo dỡ hàng nghìn ổ cứng và máy chủ lưu trữ dữ liệu hàng triệu khách hàng. Cụ thể hơn, đơn vị nói trên đã tiến hành dỡ bỏ 53 RAID array với khoảng 1 nghìn ổ cứng, đi kèm với đó là 8.000 cuộn băng từ backup dữ liệu ở các trung tâm dữ liệu phục vụ cho quá trình kinh doanh của Morgan Stanley.

Công ty nói trên sau đó lại ký hợp đồng với một đơn vị chuyên trong ngành IT để hủy hoàn toàn dữ liệu nhạy cảm có trong lượng thiết bị lưu trữ khổng lồ nói trên. Nhưng rồi đơn vị chuyển hàng này bắt đầu tự xử lý ổ cứng và băng từ, bán cho một công ty khác để đấu giá đồ cũ. Có lẽ vì muốn kiếm lời nên Morgan Stanley hoàn toàn không được công ty dỡ hàng nọ cung cấp thông tin về đơn vị bán ổ cứng ở những cuộc đấu giá số lượng lớn.

Sự việc vỡ lở vào năm 2017, khi một chuyên viên IT mua ổ cứng trong một cuộc đấu giá, đem về cắm vào máy tính và phát hiện ra vẫn còn nguyên dữ liệu hệ thống của Morgan Stanley.

Phía SEC còn khẳng định, nhiều thiết bị lưu trữ được bán thanh lý hoàn toàn không được bật chế độ mã hóa dữ liệu. Mãi đến năm 2018 ngân hàng đầu tư của Mỹ mới tiến hành mã hóa dữ liệu khách hàng, còn trước đó mọi dữ liệu cứ mở ra là thấy hết, không cần mật khẩu. 



Đọc thông tin sự việc này, khá chắc Morgan Stanley sẽ bước vào một cuộc kiện tụng với đơn vị chuyên trách việc tháo dỡ data center của họ. Tuyên bố chính thức của ngân hàng này cũng khá chung chung: “Chúng tôi vui mừng vì giải quyết được vấn đề. Chúng tôi đã thông báo với những khách hàng có khả năng bị ảnh hưởng bởi vụ việc đã xảy ra nhiều năm về trước, và chúng tôi không phát hiện ra bất kỳ hành vi đăng nhập trái phép hoặc sử dụng sai mục đích dữ liệu của khách hàng.” Nhiều chuyên gia cho rằng, án phạt là quá nhẹ, và ngay cả khi sự cố đã xảy ra nhiều năm trước, vẫn có những khách hàng đầu tư dài hạn thông qua Morgan Stanley sẽ bị ảnh hưởng nghiêm trọng từ nay về sau.

Theo ArsTechnica

Wednesday, April 14, 2021

5 RỦI RO HÀNG ĐẦU TRONG THANH TOÁN DI ĐỘNG

Chúng tôi đã nói về cách ví di động đang thay đổi bối cảnh thanh toán và theo nghiên cứu mới nhất của CMO.com, 56% người tiêu dùng sẵn sàng sử dụng thiết bị di động của họ để thanh toán cho các sản phẩm mà họ đang mua sắm. Trong mọi lĩnh vực, sự tiến bộ trong công nghệ chắc chắn sẽ nhường chỗ cho các lỗ hổng & rủi ro mới và ví di động cũng không ngoại lệ. Các tin tặc ngoài đó tích cực tìm kiếm sơ hở trong các ứng dụng và cố gắng ăn cắp tiền hoặc chơi xấu với dữ liệu người tiêu dùng, điều này có thể dẫn đến thiệt hại lớn về tiền bạc và danh tiếng cho các doanh nghiệp. Theo khảo sát về ví di động PWC năm 2013, 79% người tiêu dùng lo ngại rằng ai đó có thể lấy cắp thông tin của họ khi thông tin được gửi qua mạng không dây.

1.     Các lỗ hổng trong tiêu chuẩn GSM hoặc CDMA Bạn có biết rằng các nhà cung cấp GSM hoặc CDMA của bạn cũng có nguy cơ bị tấn công không? Tự hỏi làm thế nào? Các nhà cung cấp dịch vụ thanh toán sử dụng các kênh truyền GSM hoặc CDMA để xác thực tài khoản của bạn, thông qua các phương pháp khác nhau, chẳng hạn như tin nhắn. Tuy nhiên, các kênh này không cung cấp mức độ bảo mật mã hóa mong muốn khiến tin tặc có thể dễ dàng chặn các luồng và "đánh hơi" chúng ngay lập tức. Các biện pháp bảo vệ: Để bảo vệ thông tin người dùng, các công ty có thể sử dụng các dịch vụ công nghệ sử dụng mã hóa & điện tử 2048-bit kép đặc biệt cho toàn bộ luồng dữ liệu di chuyển đến và đi từ thiết bị di động của bạn, điều này giúp cho việc gian lận như vậy không thể xảy ra do cần có thời gian giải mã.

2.     Chương trình gián điệp và phần mềm độc hại Trong các thiết bị không được bảo vệ, đôi khi các chương trình gián điệp và phần mềm độc hại được cài đặt trong khi tải xuống các chương trình khác từ web. Các chương trình này có khả năng chặn thông tin do người dùng nhập vào thiết bị như Mã PIN, mật khẩu hoặc bất kỳ dữ liệu nhạy cảm nào khác. Các biện pháp bảo vệ: Để bảo vệ thiết bị của bạn khỏi các chương trình phần mềm độc hại như vậy, hãy thực hiện quy tắc chung là cài đặt phần mềm chống vi-rút bằng cách tải xuống ứng dụng từ các nguồn đáng tin cậy. Phần mềm chống vi-rút tốt như chống phần mềm độc hại của BKAV, Avast, AVG, Kaspersky, v.v. cho phép bạn lên lịch quét để tự động chạy cho bạn và loại bỏ bất kỳ mã độc hại nào mà nó phát hiện được, giữ cho thiết bị luôn khỏe mạnh.

3.     Tấn công man-in-the-middle Như tên cho thấy, tấn công man-in-the-middle xảy ra khi kẻ tấn công bí mật chuyển tiếp và có thể làm thay đổi liên lạc giữa hai bên tin rằng họ đang trực tiếp giao tiếp với nhau. Nó có thể dẫn đến các vụ trộm nghiêm trọng cả về tiền bạc và dữ liệu quan trọng. Các biện pháp bảo vệ: Các doanh nghiệp có thể sử dụng các công cụ bảo mật di động như Appknox để phát hiện những sơ hở như vậy trong thanh toán di động và có được giải pháp tuân thủ để khắc phục sự cố. Tại Appknox, chúng tôi đang tiến hành quét bảo mật miễn phí các ứng dụng dành cho thiết bị di động, không chỉ quét các cuộc tấn công trung gian mà còn kiểm tra tất cả các mối đe dọa hàng đầu mà các doanh nghiệp di động phải đối mặt hiện nay.

4.     Thiếu xác thực mạnh mẽ cho đăng nhập của người dùng Một người bạn gần đây đã gặp trường hợp như vậy khi tài khoản của anh ấy trên một trong các trang web tạp hóa bị người khác sử dụng và chi tiêu được thực hiện dựa trên tài khoản của anh ấy. Trường hợp này đã trở thành cảnh ngộ chung trong lĩnh vực thanh toán di động khi những kẻ lừa đảo truy cập vào tài khoản người dùng để lấy cắp thông tin hoặc đơn giản là mua các mặt hàng, gây ra tổn thất lớn về tiền bạc cho khách hàng và thiệt hại nghiêm trọng về danh tiếng cho doanh nghiệp. Các biện pháp bảo vệ: Các doanh nghiệp nên hết sức cẩn thận trong việc xử lý thông tin đăng nhập của người dùng và nên thực hiện các biện pháp nghiêm ngặt trong khi xác thực tài khoản mỗi khi người dùng mua hàng. Có thể sử dụng các biện pháp bảo mật như xác thực tài khoản bằng OTP qua email hoặc số điện thoại.

5.     Trộm thực tế thiết bị "Tôi không thực hiện chuyển khoản đó - điện thoại của tôi đã bị đánh cắp." Cảnh tượng bình thường, phải không? 1/10 chủ sở hữu điện thoại thông minh là nạn nhân của mối đe dọa từ điện thoại và 12% bị tính phí gian lận trong tài khoản của họ. Nếu bạn không khóa tài khoản m-Payment của mình ngay sau khi mất thiết bị, những kẻ gian lận có thể tìm cách đánh cắp thông tin thẻ của bạn hoặc sử dụng thông tin này để mua hàng hóa / dịch vụ. Các biện pháp bảo vệ: Các doanh nghiệp thỏa hiệp trong việc sử dụng các biện pháp an ninh thay vì sự thuận tiện. Họ thường giữ tùy chọn tự động điền thông tin người dùng trong khi đăng nhập và ngay cả đối với thẻ tín dụng. Điều này làm lộ thông tin người dùng cho tin tặc khai thác trong trường hợp thiết bị bị đánh cắp. Các doanh nghiệp cần vạch ra ranh giới rõ ràng giữa sự tiện lợi và bảo mật và thực hiện các biện pháp để giữ an toàn cho dữ liệu người dùng ngay cả trong trường hợp thiết bị bị đánh cắp thực tế. Một giải pháp tuyệt vời có thể là xác nhận các khoản thanh toán bằng cách gửi mật khẩu dùng một lần trên email hoặc tin nhắn. Ngoài ra, các doanh nghiệp có thể hướng dẫn người dùng giữ an toàn cho các chi tiết thanh toán.