Một vụ rò rỉ dữ liệu quy mô lớn vừa được các nhà nghiên cứu bảo mật phát hiện liên quan đến Công ty Công nghệ Huali (Wahlap), một trong những nhà sản xuất máy game arcade lớn nhất thế giới. Theo nhóm nghiên cứu của Cybernews, khoảng 18,9 triệu bản ghi người dùng đã bị phơi bày trên Internet, làm dấy lên lo ngại về nguy cơ lừa đảo và tấn công kỹ nghệ xã hội nhắm vào người dùng.
Thông tin được công bố cho biết các dữ liệu bị lộ được lưu trữ trên ba máy chủ Elasticsearch có thể truy cập từ Internet. Sau khi nhận được cảnh báo từ Cybernews, các máy chủ này đã không còn khả năng truy cập công khai chỉ vài ngày sau đó.
Thông tin được công bố cho biết các dữ liệu bị lộ được lưu trữ trên ba máy chủ Elasticsearch có thể truy cập từ Internet. Sau khi nhận được cảnh báo từ Cybernews, các máy chủ này đã không còn khả năng truy cập công khai chỉ vài ngày sau đó.
Dữ liệu bị lộ được cho là liên quan đến người dùng WeChat Mini Program
Theo phân tích của Cybernews, các dữ liệu bị phơi bày nhiều khả năng xuất phát từ hệ sinh thái mini program trên WeChat do Huali triển khai nhằm phục vụ việc thanh toán và sử dụng các dịch vụ trò chơi.
Huali có trụ sở tại Quảng Châu và là doanh nghiệp niêm yết trên sàn chứng khoán từ năm 2021. Công ty được biết đến là một trong những nhà sản xuất máy arcade lớn nhất thế giới, hợp tác với nhiều thương hiệu nổi tiếng trong ngành trò chơi như Sega, Timezone và nhiều đối tác quốc tế khác.
Các nhà nghiên cứu cho biết tổng cộng 18,9 triệu bản ghi đã bị lộ, bao gồm dữ liệu thành viên, hành vi chơi game, dữ liệu tài sản người dùng, dữ liệu tổng hợp khách hàng và nhật ký ứng dụng.
Huali có trụ sở tại Quảng Châu và là doanh nghiệp niêm yết trên sàn chứng khoán từ năm 2021. Công ty được biết đến là một trong những nhà sản xuất máy arcade lớn nhất thế giới, hợp tác với nhiều thương hiệu nổi tiếng trong ngành trò chơi như Sega, Timezone và nhiều đối tác quốc tế khác.
Các nhà nghiên cứu cho biết tổng cộng 18,9 triệu bản ghi đã bị lộ, bao gồm dữ liệu thành viên, hành vi chơi game, dữ liệu tài sản người dùng, dữ liệu tổng hợp khách hàng và nhật ký ứng dụng.
Hơn 1,7 triệu số điện thoại và hàng triệu định danh WeChat bị phơi bày
Trong số các dữ liệu bị lộ, cơ sở dữ liệu thành viên là phần lớn nhất với hơn 10 GB dữ liệu. Các nhà nghiên cứu ghi nhận gần 7,9 triệu bản ghi người dùng chứa:
- 6,6 triệu mã Union ID duy nhất
- 1,7 triệu số điện thoại
- Khoảng 24.000 bản ghi chứa họ tên đầy đủ và ngày sinh
Union ID là mã định danh do WeChat cung cấp, cho phép nhận diện cùng một người dùng trên nhiều ứng dụng, tài khoản công khai hoặc mini program khác nhau trong cùng hệ sinh thái.
Ảnh Internet
Theo Cybernews, dữ liệu còn tiết lộ các mã định danh nội bộ, ngày đăng ký của người dùng trên các mini program khác nhau cũng như thông tin liên quan đến từng trò chơi cụ thể.
Đáng chú ý, nhóm nghiên cứu phát hiện khoảng 3.800 bản ghi chứa thông tin nhận dạng cá nhân của người dùng chưa thành niên.
Dữ liệu vị trí và hành vi chơi game cũng bị lộ
Ngoài thông tin thành viên, cơ sở dữ liệu còn chứa khoảng 1,3 triệu bản ghi liên quan đến hành vi chơi game của người dùng.
Mẫu dữ liệu bị rò rỉ
Các dữ liệu này bao gồm địa điểm yêu thích, vị trí gần nhất của các máy game arcade mà người dùng từng truy cập, tần suất chơi game cũng như mức độ hoạt động của tài khoản.
Một kho dữ liệu khác với dung lượng hơn 1,4 GB chứa gần 2 triệu bản ghi liên quan đến tài sản người dùng, bao gồm thông tin coupon, ngày hết hạn và số lượng coupon được cấp.
Bên cạnh đó, các cơ sở dữ liệu khác còn chứa thêm khoảng 7,7 triệu Union ID cùng nhiều nhật ký hoạt động của ứng dụng.
Chưa ghi nhận việc khai thác nhưng nguy cơ lừa đảo là hiện hữu
Hiện chưa có bằng chứng cho thấy các dữ liệu nói trên đã bị tội phạm mạng khai thác. Tuy nhiên, Cybernews cảnh báo việc dữ liệu từng xuất hiện công khai trên Internet đồng nghĩa với khả năng các đối tượng xấu cũng đã tiếp cận được nguồn thông tin này.
Các chuyên gia nhận định những dữ liệu bị lộ có thể giúp kẻ tấn công xây dựng hồ sơ người dùng rất chi tiết, từ đó thực hiện các chiến dịch lừa đảo có chủ đích hoặc tấn công kỹ nghệ xã hội với tỷ lệ thành công cao hơn.
Đặc biệt, khi kết hợp số điện thoại, định danh WeChat, lịch sử hoạt động, vị trí và các thông tin cá nhân khác, tội phạm mạng có thể tạo ra các kịch bản lừa đảo mang tính cá nhân hóa cao, khiến nạn nhân khó nhận biết hơn so với các hình thức lừa đảo thông thường.
Các nhà nghiên cứu cũng lưu ý rằng các hệ thống tự động của tội phạm mạng liên tục quét Internet để tìm kiếm các cơ sở dữ liệu bị cấu hình sai. Vì vậy, ngay cả khi dữ liệu đã được gỡ khỏi Internet, nguy cơ bị sao chép trước đó vẫn không thể loại trừ.
Các chuyên gia nhận định những dữ liệu bị lộ có thể giúp kẻ tấn công xây dựng hồ sơ người dùng rất chi tiết, từ đó thực hiện các chiến dịch lừa đảo có chủ đích hoặc tấn công kỹ nghệ xã hội với tỷ lệ thành công cao hơn.
Đặc biệt, khi kết hợp số điện thoại, định danh WeChat, lịch sử hoạt động, vị trí và các thông tin cá nhân khác, tội phạm mạng có thể tạo ra các kịch bản lừa đảo mang tính cá nhân hóa cao, khiến nạn nhân khó nhận biết hơn so với các hình thức lừa đảo thông thường.
Các nhà nghiên cứu cũng lưu ý rằng các hệ thống tự động của tội phạm mạng liên tục quét Internet để tìm kiếm các cơ sở dữ liệu bị cấu hình sai. Vì vậy, ngay cả khi dữ liệu đã được gỡ khỏi Internet, nguy cơ bị sao chép trước đó vẫn không thể loại trừ.
Tổng hợp, nguồn ảnh: Cybernews
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
