Tin tức trong nước

Google triển khai ví điện tử tại Việt Nam

Google Wallet được triển khai tại Việt Nam từ 15/11. Visa là đơn vị đầu tiên kích hoạt tính năng thanh toán qua ví điện tử Google tại Việt Nam, hỗ trợ người dùng của một số ngân hàng như ACB, Sacombank, Shinhan Bank, TP Bank, Techcombank (thẻ tín dụng), Vietcombank và VPBank. Google cho biết thẻ Mastercard sẽ được tích hợp trong vài tuần tới. Trong khi đó, thẻ lên máy bay hiện chỉ áp dụng với hãng AirAsia.

Để sử dụng, người dùng tải ứng dụng Google Wallet trên Play Store, nhập đầy đủ thông tin như số thẻ, mã bảo mật, địa chỉ, số điện thoại... và nhập mã OTP xác minh từ ngân hàng. Thử nghiệm cho thấy việc thêm thẻ có thể hoàn thành trong 2-3 phút.

Sau đó, người dùng có thể dùng ví Google thay cho thẻ vật lý tại những điểm có máy POS hỗ trợ thanh toán một chạm. Công cụ tương thích smartphone chạy Android 7 trở lên có NFC, hoặc đồng hồ thông minh chạy WearOS. Ví Google hoạt động cả khi không có kết nối Internet. Đây là điểm khác biệt của ví này so với việc thanh toán bằng mã QR hay qua ví điện tử, ứng dụng ngân hàng hiện nay.

"Google Wallet có thể sử dụng mà không cần chuyển tiền vào ứng dụng. Ứng dụng hoạt động như một bộ lưu trữ phiên bản điện tử của các sản phẩm có trong ví của bạn", Chen Way Siew, Trưởng nhóm Phát triển Đối tác của Google Wallet - Google Châu Á Thái Bình Dương cho biết.

Trong trường hợp điện thoại bị mất, người dùng có thể sử dụng chức năng "Tìm thiết bị của tôi" để khóa thiết bị từ xa, đồng thời xóa thông tin cá nhân và chi tiết thẻ thanh toán bên trong.

Theo báo cáo e-Conomy SEA 2022 của Google, thanh toán kỹ thuật số đang trở nên phổ biến và dự kiến đạt 143 tỷ USD tổng giá trị giao dịch tại Việt Nam vào năm 2025. Thống kê của Visa cũng cho thấy, phương thức thanh toán không tiếp xúc ngày càng được sử dụng nhiều trên khắp thế giới. Ở Việt Nam, giao dịch không tiếp xúc chiếm khoảng 37% tổng lượng giao dịch, trong khi Singapore là 97,2%, Malaysia là 72%.

Báo động tình trạng dữ liệu, thông tin của người dùng Việt bị rao bán

Trong những ngày qua, có hơn 16.000 dữ liệu người dùng Việt đang bị hacker rao bán trên mạng. Từ đầu năm 2022 đến nay, các vụ lộ lọt, rao bán thông tin người dùng diễn ra khá phổ biế

Khoảng 2 tuần nay, một diễn đàn của giới hacker liên tục đăng bài rao bán thông tin dữ liệu cá nhân của người Việt Nam. Theo đó, có khoảng 16.100 dữ liệu được cho là người dùng của một doanh nghiệp chuyên xây dựng nền tảng công nghệ nhằm hỗ trợ việc bán lẻ và thương mại điện tử bị rao bán. Các thông tin của người dùng rao bán gồm: tên, email, địa chỉ, số điện thoại...

Bên cạnh đó, 119.000 dữ liệu được cho là của một công ty bảo hiểm tư nhân tại Việt Nam cũng xuất hiện trên diễn đàn này. Các thông tin bị rao bán bao gồm email, số điện thoại và mật khẩu của người sử dụng. Hacker thường chia sẻ 1 phần dữ liệu để “dụ dỗ” người mua.

Liên tiếp từ đầu năm 2022 đến nay đã xuất hiện nhiều vụ việc rao bán thông tin người dùng với số lượng lớn. Ngày 08/7/2022, trên một diễn đàn trực tuyến có thông tin rao bán dữ liệu của 30 triệu hồ sơ người dùng, được thu thập từ website về giáo dục với giá 3.500 USD. Kèm theo mẫu dữ liệu là thông tin của một số giáo viên và học sinh ở Việt Nam. Người rao bán cho biết, dữ liệu này thu thập được từ một website trường học phổ biến ở Việt Nam.

Trước đó, một diễn đàn chuyên mua bán dữ liệu khác của hacker cũng rao bán thông tin CMND/CCCD của gần 10.000 người dân Việt Nam. Tài khoản có tên Ox1337xO cho biết đang sở hữu gói dữ liệu KYC (Know Your Customer) - dữ liệu để xác minh thông tin người dùng, bao gồm các thông tin xác định danh tính người dùng như họ tên, ngày sinh, địa chỉ, email, điện thoại, số chứng minh... kèm theo ảnh chân dung, ảnh chụp mặt trước và sau CMND/CCCD…

Lộ lọt thông tin, rao bán dữ liệu người dùng đang là vấn đề nhức nhối. Kẻ xấu có thể lợi dụng các thông tin có được để thực hiện các hành vi lừa đảo, chiếm đoạt tài sản hoặc phạm pháp khác.

Tin nước ngoài

Phát hiện hàng trăm cơ sở dữ liệu Amazon RDS làm rò rỉ dữ liệu cá nhân của người dùng

Những phát hiện mới từ công ty ứng cứu sự cố cloud Mitiga cho thấy hàng trăm cơ sở dữ liệu trên Amazon Relational Database Service (Amazon RDS) đang tiết lộ thông tin định danh cá nhân (PII) của người dùng.

Các nhà nghiên cứu Ariel Szarf, Doron Karmi và Lionel Saposnik cho biết: “Vấn đề rò rỉ PII cung cấp một kho dữ liệu giá trị cho các tác nhân đe dọa trong giai đoạn do thám của chuỗi tấn công trên mạng hoặc các chiến dịch phần mềm độc hại như ransomware”. Các thông tin bị lộ bao gồm tên, địa chỉ email, số điện thoại, ngày sinh, tình trạng hôn nhân, thông tin thuê xe và thậm chí cả thông tin đăng nhập của công ty.

Amazon RDS là một dịch vụ web cho phép thiết lập cơ sở dữ liệu quan hệ trong Amazon Web Services (AWS) cloud. Nó hỗ trợ cho các công cụ cơ sở dữ liệu khác nhau như MariaDB, MySQL, Oracle, PostgreSQL và SQL Server.

Nguyên nhân sâu xa của vụ rò rỉ bắt nguồn từ tính năng RDS snapshots công khai, tính năng cho phép tạo bản sao lưu của toàn bộ môi trường cơ sở dữ liệu chạy trên cloud và có thể được truy cập bởi tất cả các tài khoản AWS.

Trong tài liệu của mình, Amazon lưu ý người dùng "khi chia sẻ các snapshot ở chế độ công khai cần đảm bảo rằng không có thông tin cá nhân nào của bạn ở trong đó". "Khi một snapshot được chia sẻ công khai, nó sẽ cấp cho tất cả các tài khoản AWS quyền sao chép cũng như tạo các phiên bản CSDL từ nó".

Công ty Israel đã thực hiện nghiên cứu từ ngày 21/9 đến ngày 20/10 năm 2022, cho biết họ đã phát hiện 810 snapshot được chia sẻ công khai trong các khoảng thời gian khác nhau, bắt đầu từ vài giờ đến vài tuần, khiến chúng có thể bị những kẻ xấu lợi dụng

Trong số 810 snapshot, hơn 250 bản sao lưu đã bị lộ trong 30 ngày, điều này cho thấy chúng có thể đã bị lãng quên. Dựa trên bản chất của thông tin bị lộ, tác nhân độc hại có thể đánh cắp dữ liệu để thu lợi tài chính hoặc tận dụng dữ liệu đó để hiểu rõ hơn về môi trường CNTT của một công ty, từ đó làm bước đệm cho các khai thác thu thập thông tin tình báo bí mật sau này.

Tốt nhất, không nên để các RDS snapshot có thể được truy cập công khai để ngăn khả năng rò rỉ hoặc lạm dụng dữ liệu nhạy cảm hay bất kỳ loại mối đe dọa bảo mật nào khác và nên mã hóa snapshot nếu có.

Tin kỹ thuật chung

Tiết lộ chi tiết về các lỗ hổng kiểm soát truy cập và SQLi nghiêm trọng trong Dịch vụ phân tích Zendesk

Các nhà nghiên cứu bảo mật đã tiết lộ chi tiết về các lỗ hổng hiện đã được vá trong Zendesk Explore, có thể cho phép kẻ tấn công khai thác để truy cập trái phép vào thông tin nhạy cảm của người dùng.

Varonis cho biết “lỗ hổng cho phép các tác nhân đe dọa truy cập vào các cuộc hội thoại, địa chỉ email, vé (ticket), nhận xét và các thông tin khác từ các tài khoản Zendesk có bật tính năng khám phá (Explore).

Hiện chưa có bằng chứng nào cho thấy các lỗ hổng đã bị khai thác trong các cuộc tấn công trong thực tế. Zendesk Explore là một giải pháp báo cáo và phân tích cho phép các tổ chức "xem và phân tích thông tin chính về khách hàng cũng như tài nguyên hỗ trợ của họ".

Theo công ty phần mềm bảo mật, việc khai thác lỗ hổng trước tiên yêu cầu kẻ tấn công phải đăng ký dịch vụ tickets cho tài khoản Zendesk của nạn nhân với tư cách là người dùng bên ngoài mới, một tính năng có thể được bật theo mặc định để cho phép người dùng gửi yêu cầu hỗ trợ.

Lỗ hổng liên quan đến lỗi SQL injection (SQLi) trong API GraphQL, có thể bị lạm dụng để trích xuất tất cả thông tin được lưu trữ trong cơ sở dữ liệu với tư cách là người dùng quản trị, bao gồm các địa chỉ email, vé và cuộc trò chuyện.

Lỗ hổng thứ hai là một lỗi kiểm soát truy cập liên quan đến API thực thi truy vấn, được cấu hình để chạy câu lệnh truy vấn mà không cần kiểm tra xem "người dùng" gọi câu lệnh có đủ quyền để thực hiện hay không.

"Điều này có nghĩa là người dùng mới được tạo cũng có thể gọi API này, thay đổi truy vấn và lấy cắp dữ liệu từ bất kỳ bảng dữ liệu nào trong RDS của tài khoản Zendesk mục tiêu mà không cần SQLi".

Varonis cho biết các lỗ hổng đã được tiết lộ cho Zendesk vào ngày 30 tháng 8, sau đó đã được công ty khắc phục vào ngày 8 tháng 9 năm 2022. Người dùng không cần thực hiện thêm bất kỳ hành động nào.

Phát hiện ứng dụng độc hại trên Cửa hàng Google Play đang phát tán Banking Trojan Xenomorph

Google đã xóa hai ứng dụng độc hại mới được phát hiện trên Play Store dành cho Android, một trong số đó giả dạng ứng dụng phong cách sống (lifestyle app) đã bị phát hiện phát tán mã độc Xenomorph. Các nhà nghiên cứu Himanshu Sharma và Viral Gandhi của Zscaler ThreatLabz cho biết: “Xenomorph là một trojan đánh cắp thông tin đăng nhập từ các ứng dụng ngân hàng trên thiết bị của người dùng”.

"Nó cũng có khả năng chặn tin nhắn SMS và thông báo của người dùng, cho phép đánh cắp mật khẩu một lần (OTP) và các yêu cầu (request) xác thực đa yếu tố". Công ty bảo mật cho biết họ cũng phát hiện một ứng dụng theo dõi chi phí (expense tracker app) có hành vi tương tự, nhưng nó không thể trích xuất URL được sử dụng để tải phần mềm độc hại.

Hai ứng dụng độc hại được phát hiện bao gồm:

Todo: Day manager (com.todo.daymanager)

経費キーパー (com. (payload), trong trường hợp của Todo, mã độc được lưu trữ trên GitHub.

Xenomorph, được ThreatFnai phát hiện lần đầu tiên vào đầu tháng 2 này, được biết là đã lạm dụng quyền truy cập của Android để thực hiện các cuộc tấn công ‘lớp phủ’ (overlay attack), trong đó màn hình đăng nhập giả mạo được hiển thị trên các ứng dụng ngân hàng (banking app) hợp pháp để lấy cắp thông tin đăng nhập của nạn nhân.

Ngoài ra, phần mềm độc hại này còn lạm dụng mô tả của một kênh Telegram để giải mã và xây dựng tên miền điều khiển của kẻ tấn công (command-and-control domain).

Trước đó không lâu, bốn ứng dụng giả mạo trên Google Play đã bị phát hiện chuyển hướng nạn nhân đến các trang web độc hại như một phần của chiến dịch đánh cắp thông tin và phát tán phần mềm quảng cáo. Google cho biết đã cấm nhà phát triển đã phát hành các ứng dụng này.

F5 vá lỗ hổng RCE nghiêm trọng trong BIG-IP và BIG-IQ

Các nhà nghiên cứu an ninh mạng đã phát hiện một số lỗ hổng và các vấn đề bảo mật tiềm ẩn khác ảnh hưởng đến sản phẩm của F5 là BIG-IP và BIG-IQ.

Rapid7 đã báo cáo lỗ hổng cho nhà cung cấp vào giữa tháng 8 và công bố chi tiết ngay sau khi F5 đưa ra khuyến cáo để thông báo cho khách hàng về bản vá. Hai trong số các vấn đề mà các nhà nghiên cứu phát hiện được mô tả là các lỗ hổng thực thi mã từ xa (RCE) nghiêm trọng cao và đã được gán mã CVE, còn lại là các phương pháp bỏ qua bảo mật nhưng F5 không công nhận đó là lỗ hổng.

Nghiêm trọng nhất là CVE-2022-41622 (điểm CVSS 8,8), lỗ hổng cross-site request forgery (CSRF). Khai thác thành công có thể cho phép kẻ tấn công từ xa, không được xác thực có quyền truy cập root vào giao diện quản lý của thiết bị, ngay cả khi giao diện đó không để lộ ra Internet.

Tuy nhiên, việc khai thác yêu cầu kẻ tấn công phải có một số kiến thức về mạng của nạn nhân và chúng cần "dụ" quản trị viên đã đăng nhập truy cập trang web độc hại được thiết lập sẵn để khai thác thành công CVE-2022-41622. F5 cho biết: “Nếu bị khai thác, lỗ hổng có thể làm ảnh hưởng đến toàn bộ hệ thống". Lỗ hổng thứ hai là CVE-2022-41800 cho phép kẻ tấn công có đặc quyền quản trị viên thực thi các lệnh shell tùy ý thông qua các tập tin RPM.

Ngoài ra một số vấn đề khác cũng được báo cáo bao gồm leo thang đặc quyền cục bộ thông qua các quyền của Unix socket không hợp lệ và hai phương pháp bypass SELinux. Các nhà nghiên cứu tin rằng việc khai thác rộng rãi các lỗ hổng này là không thể. Tuy nhiên, khách hàng F5 nên cập nhật bản vá và không nên chủ quan vì các thiết bị BIG-IP luôn là mục tiêu ưa thích của tin tặc.

Thông tin nguồn tham khảo:

[1] Google triển khai ví điện tử tại Việt Nam

[2] Báo động tình trạng dữ liệu, thông tin của người dùng Việt bị rao bán

[3] Researchers Discover Hundreds of Amazon RDS Instances Leaking Users' Personal Data

[4] Researchers Reported Critical SQLi and Access Flaws in Zendesk Analytics Service

[5] Malicious Google Play Store App Spotted Distributing Xenomorph Banking Trojan

[6] Remote Code Execution Vulnerabilities Found in F5 Products