Phát hiện kho lưu trữ chứa dữ liệu của hàng ngàn tài khoản Zoom trên diễn đàn dark web

Mới đây, nhóm các chuyên gia an ninh mạng quốc tế đến từ tổ chức bảo mật IntSights đã bất ngờ phát hiện ra một cơ sở dữ liệu đang được chia sẻ công khai trên một diễn đàn dark web có chứa hơn thông tin của hơn 2.300 tài khoản ứng dụng hội nghị trực tuyến Zoom bị xâm phạm trái phép.

Qua phân tích của các chuyên gia, cơ sở dữ liệu này có chứa thông tin đăng nhập tài khoản Zoom của người dùng đang làm việc tại các công ty thuộc nhiều lĩnh vực khác nhau như ngân hàng, tư vấn tài chính, cơ sở giáo dục, cung cấp dịch vụ chăm sóc sức khỏe và nhà cung cấp phần mềm. Đặc biệt trong số đó, có khá nhiều email, mật khẩu, ID cuộc họp, tên và host key.

                    

Phần mềm học và họp trực tuyến Zoom

Theo nhận định ban đầu, kho dữ liệu này được sử dụng làm “nguyên liệu” cho các cuộc tấn công nhồi thông tin danh tính (credential stuffing). Đây là một hình thức tấn công mạng chủ yếu sử dụng thông tin tài khoản bị đánh cắp thường bao gồm danh sách tên người dùng, địa chỉ email và mật khẩu tương ứng (thường có được do vi phạm dữ liệu) để truy cập trái phép vào tài khoản người dùng thông qua các yêu cầu đăng nhập. Tính khả dụng của các tài khoản Zoom có thể cho phép kẻ tấn công thu thập dữ liệu bổ sung liên quan đến tài khoản, bằng cách sử dụng cấu hình OpenBullet dành riêng cho Zoom. OpenBullet là bộ công cụ web testing có thể được sử dụng để bóc tách và phân tích dữ liệu, để tiến hành pen test và hơn thế nữa.

Ngoài ra, những thông tin lưu trữ trong kho dữ liệu này còn có thể được sử dụng để khởi động các cuộc tấn công từ chối dịch vụ, hoặc đơn giản là quấy rối các phòng họp trực tuyến với hành vi “Zoombombing”.

Ở thời điểm hiện tại, các chuyên gia vẫn chưa thể xác định chính xác nguồn gốc của kho dữ liệu này, tuy nhiên khả năng nó được đánh cắp từ máy chủ của Zoom là không cao.

Nguồn tham khảo: quantrimang.com