(Bloomberg) — I en episode som understreker sårbarheten til globale datanettverk, fikk hackere tak i påloggingsinformasjon for datasentre i Asia som brukes av noen av verdens største virksomheter, en potensiell bonanza for spionasje eller sabotasje, ifølge et cybersikkerhetsforskningsfirma .
Mest lest fra Bloomberg
De tidligere urapporterte databuffrene involverer e-poster og passord for kundestøttenettsteder for to av de største datasenteroperatørene i Asia: Shanghai-baserte GDS Holdings Ltd. og Singapore-baserte ST Telemedia Global Data Centres, ifølge Resecurity Inc., som tilbyr cybersikkerhetstjenester og etterforsker hackere. Rundt 2,000 kunder av GDS og STT GDC ble berørt. Hackere har logget inn på kontoene til minst fem av dem, inkludert Kinas viktigste valuta- og gjeldshandelsplattform og fire andre fra India, ifølge Resecurity, som sa at de infiltrerte hackergruppen.
Det er ikke klart hva - om noe - hackerne gjorde med de andre påloggingene. Informasjonen inkluderte legitimasjon i varierende antall for noen av verdens største selskaper, inkludert Alibaba Group Holding Ltd., Amazon.com Inc., Apple Inc., BMW AG, Goldman Sachs Group Inc., Huawei Technologies Co., Microsoft Corp. , og Walmart Inc., ifølge sikkerhetsfirmaet og hundrevis av sider med dokumenter som Bloomberg har gjennomgått.
Som svar på spørsmål om Resecuritys funn, sa GDS i en uttalelse at et kundestøttenettsted ble brutt i 2021. Det er ikke klart hvordan hackerne fikk tak i STT GDC-dataene. Det selskapet sa at det ikke fant bevis for at kundeserviceportalen ble kompromittert det året. Begge selskapene sa at den falske legitimasjonen ikke utgjør noen risiko for kundenes IT-systemer eller data.
Resecurity og ledere ved fire store USA-baserte selskaper som ble berørt sa imidlertid at de stjålne legitimasjonene representerte en uvanlig og alvorlig fare, først og fremst fordi kundestøttenettstedene kontrollerer hvem som får fysisk tilgang til IT-utstyret som er plassert i datasentrene. Disse lederne, som fikk vite om hendelsene fra Bloomberg News og bekreftet informasjonen med sikkerhetsteamene deres, som ba om å ikke bli identifisert fordi de ikke var autorisert til å snakke offentlig om saken.
Registrer deg for vårt ukentlige nyhetsbrev om cybersikkerhet, Cyber Bulletin, her.
Størrelsen på datatapet rapportert av Resecurity fremhever den økende risikoen selskaper står overfor på grunn av deres avhengighet av tredjeparter for å huse data og IT-utstyr og hjelpe nettverkene deres med å nå globale markeder. Sikkerhetseksperter sier at problemet er spesielt akutt i Kina, som krever at selskaper samarbeider med lokale datatjenesteleverandører.
"Dette er et mareritt som venter på å skje," sa Michael Henry, tidligere informasjonssjef for Digital Realty Trust Inc., en av de største amerikanske datasenteroperatørene, da Bloomberg fortalte om hendelsene. (Digital Realty Trust ble ikke berørt av hendelsene). Det verste scenarioet for enhver datasenteroperatør er at angripere på en eller annen måte får fysisk tilgang til klientenes servere og installerer ondsinnet kode eller tilleggsutstyr, sa Henry. "Hvis de kan oppnå det, kan de potensielt forstyrre kommunikasjon og handel i massiv skala."
GDS og STT GDC sa at de ikke hadde noen indikasjoner på at noe slikt skjedde, og at kjernetjenestene deres ikke ble påvirket.
Hackerne hadde tilgang til påloggingsinformasjonen i mer enn et år før de la den ut for salg på det mørke nettet forrige måned, for 175,000 XNUMX dollar, og sa at de var overveldet av volumet, ifølge Resecurity og et skjermbilde av innlegget gjennomgått av Bloomberg .
"Jeg brukte noen mål," sa hackerne i innlegget. "Men ikke i stand til å håndtere siden det totale antallet selskaper er over 2,000."
E-postadressene og passordene kunne ha gjort det mulig for hackere å maskere seg som autoriserte brukere på kundeservicenettstedene, ifølge Resecurity. Sikkerhetsfirmaet oppdaget databufferen i september 2021 og sa at det også fant bevis for at hackerne brukte dem for å få tilgang til kontoer til GDS- og STT GDC-kunder så sent som i januar, da begge datasenteroperatørene tvang tilbakestilling av kundepassord, ifølge Resecurity.
Selv uten gyldige passord, vil dataene fortsatt være verdifulle – slik at hackere kan lage målrettede phishing-e-poster mot personer med høynivåtilgang til bedriftenes nettverk, ifølge Resecurity.
De fleste av de berørte selskapene som Bloomberg News kontaktet, inkludert Alibaba, Amazon, Huawei og Walmart, nektet å kommentere. Apple svarte ikke på meldinger som søkte kommentarer.
I en uttalelse sa Microsoft: "Vi overvåker regelmessig for trusler som kan påvirke Microsoft, og når potensielle trusler identifiseres, iverksetter vi passende tiltak for å beskytte Microsoft og kundene våre." En talsperson for Goldman Sachs sa: "Vi har på plass ytterligere kontroller for å beskytte mot denne typen brudd, og vi er fornøyd med at dataene våre ikke var i fare."
Bilprodusenten BMW sa at de var klar over problemet. Men en talsperson for selskapet sa: "Etter vurdering har problemet en svært begrenset innvirkning på BMW-bedrifter og har ikke forårsaket skade på BMW-kunder og produktrelatert informasjon." Talsmannen la til, "BMW har oppfordret GDS til å forbedre informasjonssikkerhetsnivået."
GDS og STT GDC er to av Asias største leverandører av «colocation»-tjenester. De fungerer som utleiere og leier ut plass i datasentrene sine til kunder som installerer og administrerer sitt eget IT-utstyr der, vanligvis for å være nærmere kunder og forretningsdrift i Asia. GDS er blant de tre beste samlokaliseringsleverandørene i Kina, det nest største markedet for tjenesten i verden etter USA, ifølge Synergy Research Group Inc. Singapore rangerer på sjetteplass.
Selskapene er også sammenvevd: en bedriftsarkivering viser at i 2014 kjøpte Singapore Technologies Telemedia Pte, mor til STT GDC, en eierandel på 40 % i GDS.
Resecurity-sjef Gene Yoo sa at firmaet hans avdekket hendelsene i 2021 etter at en av dets operatører gikk undercover for å infiltrere en hackergruppe i Kina som hadde angrepet regjeringsmål i Taiwan.
Like etter varslet den GDS og STT GDC og et lite antall Resecurity-klienter som ble berørt, ifølge Yoo og dokumentene.
Resecurity varslet GDS og STT GDC igjen i januar etter å ha oppdaget hackerne som hadde tilgang til kontoer, og sikkerhetsfirmaet varslet også myndighetene i Kina og Singapore på det tidspunktet, ifølge Yoo og dokumentene.
Begge datasenteroperatørene sa at de reagerte raskt da de ble varslet om sikkerhetsproblemene og startet interne undersøkelser.
Cheryl Lee, en talsperson for Cyber Security Agency i Singapore, sa at byrået "er klar over hendelsen og bistår ST Telemedia i denne saken." National Computer Network Emergency Response Technical Team/Coordination Center of China, en ikke-statlig organisasjon som håndterer cyberberedskap, svarte ikke på meldinger som søkte kommentarer.
GDS erkjente at et kundestøttenettsted ble brutt og sa at det undersøkte og fikset en sårbarhet på nettstedet i 2021.
"Applikasjonen som ble målrettet av hackere er begrenset i omfang og informasjon til ikke-kritiske tjenestefunksjoner, som å lage billettforespørsler, planlegge fysisk levering av utstyr og gjennomgå vedlikeholdsrapporter," ifølge en uttalelse fra selskapet. "Forespørsler som gjøres gjennom applikasjonen krever vanligvis offline oppfølging og bekreftelse. Gitt den grunnleggende karakteren til applikasjonen, resulterte ikke bruddet i noen trussel mot våre kunders IT-drift.»
STT GDC sa at de hentet inn eksterne cybersikkerhetseksperter da de fikk vite om hendelsen i 2021. "Det aktuelle IT-systemet er et billettverktøy for kundeservice" og "har ingen forbindelse til andre bedriftssystemer eller noen kritisk datainfrastruktur," sa selskapet .
Selskapet sa at kundeserviceportalen ikke ble brutt i 2021, og at legitimasjonen innhentet av Resecurity er "en delvis og utdatert liste over brukerlegitimasjon for våre kundebillettapplikasjoner. Alle slike data er nå ugyldige og utgjør ingen sikkerhetsrisiko fremover.»
"Ingen uautorisert tilgang eller tap av data ble observert," ifølge STT GDCs uttalelse.
Uavhengig av hvordan hackerne kan ha brukt informasjonen, sa cybersikkerhetseksperter at tyveriene viser at angripere utforsker nye måter å infiltrere harde mål.
Den fysiske sikkerheten til IT-utstyr i tredjeparts datasentre og systemene for å kontrollere tilgangen til det representerer sårbarheter som ofte blir oversett av bedriftens sikkerhetsavdelinger, sa Malcolm Harkins, tidligere sjefssikkerhets- og personverntilbud i Intel Corp. Enhver tukling av datasenteret utstyr "kan få ødeleggende konsekvenser," sa Harkins.
Hackerne skaffet e-postadresser og passord for mer enn 3,000 personer hos GDS - inkludert sine egne ansatte og de til kundene - og mer enn 1,000 fra STT GDC, ifølge dokumentene gjennomgått av Bloomberg News.
Hackerne stjal også legitimasjon for GDS sitt nettverk av mer enn 30,000 12345 overvåkingskameraer, hvorav de fleste var avhengige av enkle passord som «admin» eller «adminXNUMX», viser dokumentene. GDS tok ikke opp et spørsmål om påstått tyveri av legitimasjon til kameranettverket, eller om passordene.
Antallet påloggingsinformasjon for kundestøttenettstedene varierte for ulike kunder. For eksempel var det 201 kontoer hos Alibaba, 99 hos Amazon, 32 hos Microsoft, 16 hos Baidu Inc., 15 hos Bank of America Corp., syv hos Bank of China Ltd., fire hos Apple og tre hos Goldman, ifølge dokumentene. Resecuritys Yoo sa at hackerne bare trenger én gyldig e-postadresse og passord for å få tilgang til et selskaps konto på kundeserviceportalen.
Blant de andre selskapene hvis ansattes påloggingsdetaljer ble innhentet, ifølge Resecurity og dokumentene, var: Bharti Airtel Ltd. i India, Bloomberg LP (eieren av Bloomberg News), ByteDance Ltd., Ford Motor Co., Globe Telecom Inc. . på Filippinene, Mastercard Inc., Morgan Stanley, Paypal Holdings Inc., Porsche AG, SoftBank Corp., Telstra Group Ltd. i Australia, Tencent Holdings Ltd., Verizon Communications Inc. og Wells Fargo & Co.
I en uttalelse sa Baidu: "Vi tror ikke at noen data ble kompromittert. Baidu legger stor vekt på å sikre datasikkerheten til kundene våre. Vi vil følge nøye med på saker som dette og være på vakt mot eventuelle nye trusler mot datasikkerheten i alle deler av vår virksomhet.»
En representant for Porsche sa: "I dette spesifikke tilfellet har vi ingen indikasjoner på at det var noen risiko." En SoftBank-representant sa at et kinesisk datterselskap sluttet å bruke GDS i fjor. "Ingen lekkasje av kundeinformasjonsdata fra det lokale kinesiske selskapet har blitt bekreftet, og det har heller ikke vært noen innvirkning på dets virksomhet og tjenester," sa representanten.
En talsperson for Telstra sa: "Vi er ikke klar over noen innvirkning på virksomheten etter dette bruddet," mens en Mastercard-representant sa: "Mens vi fortsetter å overvåke denne situasjonen, er vi ikke klar over noen risiko for vår virksomhet eller innvirkning på transaksjonsnettverket eller -systemene våre."
En representant for Tencent sa: "Vi er ikke klar over noen innvirkning på virksomheten etter dette bruddet. Vi administrerer serverne våre i datasentre direkte, med datasenteroperatører som ikke har tilgang til data som er lagret på Tencent-servere. Vi har ikke oppdaget noen uautorisert tilgang til våre IT-systemer og servere etter undersøkelser, som forblir trygge.»
En talsperson for Wells Fargo sa at de brukte GDS for backup av IT-infrastruktur frem til desember 2022. «GDS hadde ikke tilgang til Wells Fargo-data, systemer eller Wells Fargo-nettverket,» sa selskapet. De andre selskapene nektet alle å kommentere eller svarte ikke.
Resecuritys Yoo sa at i januar presset firmaets undercover-agent hackerne for en demonstrasjon av om de fortsatt hadde tilgang til kontoer. Hackerne ga skjermbilder som viser dem logge inn på kontoer for fem selskaper og navigere til forskjellige sider i GDS og STT GDCs nettportaler, sa han. Ressikkerhet tillot Bloomberg News å se gjennom disse skjermbildene.
Hos GDS fikk hackerne tilgang til en konto for China Foreign Exchange Trade System, en arm av Kinas sentralbank som spiller en nøkkelrolle i landets økonomi, som driver regjeringens viktigste valuta- og gjeldshandelsplattform, ifølge skjermbildene og Resecurity. Organisasjonen svarte ikke på meldinger.
Hos STT GDC fikk hackerne tilgang til kontoer for National Internet Exchange of India, en organisasjon som kobler sammen internettleverandører over hele landet, og tre andre basert i India: MyLink Services Pvt., Skymax Broadband Services Pvt., og Logix InfoSecurity Pvt., skjermbildene viser.
Nådd av Bloomberg sa National Internet Exchange of India at de ikke var klar over hendelsen og avviste ytterligere kommentarer. Ingen av de andre organisasjonene i India svarte på forespørsler om kommentarer.
På spørsmål om påstanden om at hackere fortsatt hadde tilgang til kontoer i januar ved å bruke den stjålne legitimasjonen, sa en GDS-representant: "Nylig oppdaget vi flere nye angrep fra hackere som brukte den gamle kontotilgangsinformasjonen. Vi har brukt ulike tekniske verktøy for å blokkere disse angrepene. Så langt har vi ikke funnet noe nytt vellykket innbrudd fra hackere som skyldes systemets sårbarhet.»
GDS-representanten la til: «Som vi er klar over, tilbakestilte ikke én enkelt kunde et av kontopassordene sine til denne applikasjonen som tilhørte en tidligere ansatt hos dem. Det er grunnen til at vi nylig tvang en tilbakestilling av passord for alle brukerne. Vi tror dette er en isolert hendelse. Det er ikke et resultat av at hackere bryter gjennom sikkerhetssystemet vårt.»
STT GDC sa at de mottok varsel i januar om ytterligere trusler mot kundeserviceportaler i «våre India og Thailand-regioner». "Undersøkelsene våre til dags dato indikerer at det ikke har vært tap av data eller innvirkning på noen av disse kundeserviceportalene," sa selskapet.
I slutten av januar, etter at GDS og STT GDC endret kundenes passord, oppdaget Resecurity hackerne som la ut databasene for salg på et mørkt nettforum, på engelsk og kinesisk, ifølge Yoo.
"DB-er inneholder kundeinformasjon, kan brukes til phishing, tilgang til skap, overvåking av bestillinger og utstyr, fjernbestillinger," heter det i innlegget. "Hvem kan hjelpe med målrettet nettfisking?"
Mest lest fra Bloomberg Businessweek
© 2023 Bloomberg LP
Kilde: https://finance.yahoo.com/news/hackers-scored-data-center-logins-020028440.html