Hacker Nga 17 tuổi khiến công ty Mỹ mất hàng triệu thẻ tín dụng

Theo tuyên bố mới được đưa ra vào ngày thứ sáu vừa qua bởi công ty thông tin số IntelCrawler, một hacker 17 tuổi người Nga có bí danh "ree4" có thể là kẻ đã viết ra loại mã độc BlackPOS khiến các hệ thống bán lẻ Target, Neiman Marcus và 6 chuỗi bán lẻ lớn khác của của Mỹ mất hàng chục triệu tài khoản thẻ tín dụng trong vòng 5 ngày qua.

Theo IntelCrawler, Ree4 đã bán mã độc BlackPOS của mình cho khoảng trên 60 tội phạm số tại Đông Âu và một số vùng khác. Hacker trẻ tuổi này được cho là đang sống tại St. Petersburg (Nga) và khá nổi tiếng trên các diễn đàn cũng như các cộng đồng hacker khác. IntelCrawler cũng cho rằng Ree4 cũng là tác giả của nhiều công cụ mã độc được hacker sử dụng, "ví dụ như công cụ hack mail Ree4, các công cụ hack tài khoản mạng xã hội và các bài hướng dẫn thực hiện DDoS (tấn công từ chối dịch vụ)". Chủ tịch của IntelCrawler, ông Dan Clements tuyên bố với PCWorld rằng công ty này chắc chắn "tới 90%" về kết luận về mối liên hệ giữa vụ Target bị hack và tay hacker Ree4.

Tuy vậy, rất có thể là Ree4 không trực tiếp tham gia vào vụ hack Target và Neiman Marcus, ngoại trừ việc viết và bán mã độc. Khi được liên hệ bởi Washington Post, phía Target đã từ chối bình luận về thông tin của IntelCrawler. Một đại diện của Neiman Marcus cũng chỉ đưa ra một số ý kiến nhỏ về tuyên bố của IntelCrawler. Theo IntelCrawler, hacker đã có thể đã gài mã độc BlackPOS lên hệ thống do các máy đọc thẻ tín dụng tại các cửa hàng của họ chỉ sử dụng một mật khẩu mặc định dễ đoán. Trái ngược lại, đại diện của Neiman Marcus cho biết họ không hề thu được một thông tin nào về mật khẩu yếu từ các nguồn tin trực tiếp của Neiman Marcus.

Lúc đầu, các nguồn tin cho rằng vụ hack Target và Neiman Marcus được tiến hành vào cùng một thời điểm bởi cùng một nhóm tội phạm, song giờ không ai có thể khẳng định liệu giữa các đối tượng thực hiện các vụ hack nói trên có mối liên hệ nào ngoài BlackPOS hay không. Hiện tại, Business Insider đưa ra nhận định rằng rất có thể các vụ hack này là hoàn toàn độc lập.

CEO của IntelCrawler, ông Andrew Komarov, khẳng định rằng các vụ hack thông qua BlackPOS nhắm vào các công ty khác, đặc biệt là các cửa hàng bán lẻ, sẽ sớm được tiếp tục tiết lộ trong tương lai. Tuyên bố này trùng khớp với thông tin của Reuters;đưa ra vào ngày 12/1, theo đó các nguồn tin nội bộ của Reuters khẳng định sẽ có ít nhất là 3 vụ hack khác sẽ được tiết lộ trong thời gian tới.

Trong khi các thông tin này đã đủ để khiến giới bảo mật phải đau đầu, tờ New York Times vào hôm Thứ Năm vừa qua cho biết Neiman Marcus đã bị tấn công từ hồi  tháng 7 năm ngoái, song phải đến tận tháng 12 vừa rồi mới phát hiện ra và phải đến tuần trước (02/2014) mới kiểm soát được vụ tấn công này. Neiman Marcus khẳng định các thông tin cá nhân (số an sinh xã hội, ngày sinh…) không bị đánh cắp. Công ty này cũng không lưu trữ mã PIN của khách hàng.

Việc Neiman Marcus quyết định giữ kín về vụ tấn công này cũng đã gây tranh cãi gay gắt. Có vẻ như là Neiman Marcus chỉ quyết định thừa nhận vụ hack nói trên sau khi blogger Brian Krebs phát hiện và công bố sự việc trên blog của mình. Đây không phải là lần đầu tiên một công ty lớn quyết định giấu kín các vụ tấn công, và bây giờ là thời điểm để các công ty buộc phải bàn thảo lại trách nhiệm công bố mỗi khi bị tấn công số.

Luật pháp tại 46 bang trên nước Mỹ qui định rằng các công ty buộc phải tuyên bố về tình trạng của mình mỗi khi bị hacker đánh cắp thông tin của khách hàng. Tuy vậy, các bang khác nhau lại có qui định khác nhau về việc thời gian chậm trễ mà các công ty có quyền chờ trước khi tuyên bố, cũng như lượng thông tin mà các công ty này phải tiết lộ.

Joseph DeMarco, trưởng bộ phận tội phạm số tại Văn phòng Công tố Manhattan, tuyên bố với Newsday rằng: "Đây là một lựa chọn chủ quan. Mỗi lần điều tra về các vụ hack có thể diễn ra trong hàng tuần lễ hoặc hàng tháng trời trước khi bạn có đủ thông tin để phải thông báo về vụ hack, dựa theo trách nhiệm pháp lý". Song các cơ quan bảo vệ quyền lợi người tiêu dùng đang yêu cầu xem xét lại các điều luật và phải có sự can thiệp của chính quyền liên bang. Nói tóm lại, vụ hack vào Target và Neiman Marcus cho thấy tình trạng bảo vệ thông tin tại các nhà bán lẻ của Mỹ đang hết sức rối loạn.

Gia Cường

Theo Business Insider