Dell xác nhận để lộ thông tin của 49 triệu khách hàng

Theo trang BleepingComputer, Dell đã bắt đầu gửi thông báo cảnh báo khách hàng dữ liệu cá nhân của họ đã bị đánh cắp do vi phạm dữ liệu.

Vi phạm dữ liệu này chứa dữ liệu đặt hàng của khách hàng, bao gồm thông tin bảo hành, thẻ dịch vụ, tên khách hàng, vị trí đã cài đặt, số khách hàng và số đơn đặt hàng do đối tượng có tên Menelik đã rao bán trên diễn đàn hack Breached vào ngày 28 tháng 4 năm 2024. Những người kiểm duyệt diễn đàn này sẽ sớm gỡ bài đăng xuống.

Dữ liệu khách hàng của Dell đang được bán trên Diễn đàn vi phạm. Ảnh: Daily Dark Web

Về phía Menelik chia sẻ rằng họ có thể đánh cắp dữ liệu sau khi phát hiện ra một cổng thông tin dành cho các đối tác, người bán lại và nhà bán lẻ có thể được sử dụng để tra cứu thông tin đặt hàng.

Vì cổng thông tin được cho là không bao gồm bất kỳ giới hạn tốc độ nào, nên kẻ đe dọa tuyên bố rằng chúng có thể thu thập thông tin của 49 triệu hồ sơ khách hàng bằng cách tạo ra 5.000 yêu cầu mỗi phút trong ba tuần mà Dell không chặn các nỗ lực này.

Menelik cho biết hồ sơ khách hàng bị đánh cắp bao gồm sự cố phần cứng sau: Màn hình: 22.406.133; Máy tính xách tay Alienware: 447.315; Chromebook: 198.713; Máy tính xách tay Inspiron: 11.257.567; Máy tính để bàn Inspiron: 1.731.767; Laptop Latitude: 4.130.510; Optiplex: 5.177.626; Poweredge: 783.575; Máy tính để bàn chính xác: 798.018; Máy tính xách tay chính xác: 486.244; Máy tính xách tay Vostro: 148.087; Máy tính để bàn Vostro: 37.427; Máy tính xách tay Xps: 1.045.302; Máy tính để bàn XPS/Alienware: 399.695.

Được biết Menelik đã gửi email cho Dell vào ngày 12 và 14 tháng 4 để báo cáo lỗi cho nhóm bảo mật của họ, đồng thời chia sẻ email với BleepingComputer. Tuy nhiên, kẻ đe dọa thừa nhận đã thu thập 49 triệu hồ sơ trước khi liên hệ với công ty.

Email được gửi tới Dell về lỗi hổng thông tin đối tác. Ảnh: Menelik

Về phía Dell xác nhận, đã nhận được email của Menelik nhưng từ chối trả lời bất kỳ câu hỏi nào khác vì vụ việc cần có sự tham gia của pháp luật. 

“Hãy nhớ rằng kẻ đe dọa này là tội phạm và chúng tôi đã thông báo cho cơ quan thực thi pháp luật... Chúng tôi không tiết lộ bất kỳ thông tin nào có thể ảnh hưởng đến tính toàn vẹn của cuộc điều tra đang diễn ra của chúng tôi hoặc bất kỳ cuộc điều tra nào của cơ quan thực thi pháp luật.”, Đại diện công ty Dell chia sẻ.

Theo chia sẻ với BleepingComputer, trước khi nhận được email của kẻ đe dọa, Dell đã biết và điều tra vụ việc, thực hiện các quy trình ứng phó và ngăn chặn. Công ty cũng đã thuê một công ty bên thứ ba để điều tra.

Không chỉ có Dell mà nhiều công ty công nghệ lớn khác đã bị tin tặc đe dọa. Vào năm 2021, tin tặc đã lợi dụng lỗi API (Application Programming Interface) của Facebook để liên kết số điện thoại với hơn 500 triệu tài khoản. Dữ liệu này gần như bị rò rỉ miễn phí trên một diễn đàn, chỉ cần có tài khoản và trả 2 USD để tải xuống.

Cuối năm đó, vào tháng 12, các kẻ tấn công đã khai thác lỗi API Twitter để liên kết hàng triệu số điện thoại và địa chỉ email với tài khoản Twitter, sau đó chúng được bán trên các diễn đàn.

Gần đây hơn, một lỗ hổng API Trello đã bị khai thác vào năm ngoái để liên kết một địa chỉ email với 15 triệu tài khoản, một lần nữa lại được rao bán trên một diễn đàn. Dữ liệu sau đó được chia sẻ với Have I Been Pwned để đưa ra thông báo cho những người bị lộ trong vụ vi phạm.

Mặc dù tất cả những sự cố này đều liên quan đến việc thu thập dữ liệu nhưng chúng vẫn được phép do dễ truy cập vào API và không có giới hạn tốc độ thích hợp cho số lượng yêu cầu có thể được thực hiện mỗi giây từ cùng một máy chủ.

Duy Trinh