Đang tải... (xem toàn văn)
Sau khi đăng nhập thành cơng, các hacker đã thu thập thông tin cánhân của các tài khoản này và phát tán trên internet.THE LAZY MAN - dddLịch SửĐảng 100% 13 Trang 9 Sau khi phát hiện sự
ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH TRƯỜNG ĐẠI HỌC KINH TẾ - LUẬT ***** BÁO CÁO ĐỒ ÁN NHÓM - PHÂN TÍCH VỤ VIỆC AN TOÀN BẢO MẬT TRƯỜNG HỢP RÒ RỈ 163 TRIỆU ZING ID CỦA VNG NĂM 2018 Môn học: An toàn bảo mật Thương mại điện tử Giảng viên: Th.S Nguyễn Quang Hưng Nhóm thực hiện: Nhóm 8 STT Sinh viên MSSV 1 Từ Thanh Hằng K214110797 K214110808 2 Châu Tuệ Minh K214110826 3 Phạm Thị Thanh Trúc 4 Nguyễn Bảo Duyên K214111318 5 Nguyễn Thị Cẩm Ly K214111945 K214111949 6 Đinh Thị Bé Nhân K214111950 K214110809 7 Huỳnh Thu Phương K214110804 8 Cao Hương Giang 9 Nguyễn Phúc Dương Luân Thành phố Hồ Chí Minh, ngày 29 tháng 07 năm 2023 MỤC LỤC DANH MỤC HÌNH ẢNH .i LỜI MỞ ĐẦU 1 CHƯƠNG 1: GIỚI THIỆU VỀ VNG VÀ BỨC TRANH TỔNG QUAN SỰ CỐ LỘ THÔNG TIN 163 TRIỆU TÀI KHOẢN ZING ID .2 1.1 Giới thiệu về VNG 2 1.2 Tổng quan về Zing ID 3 1.3 Bức tranh tổng quan sự lộ thông tin 163 triệu tài khoản Zing ID 4 CHƯƠNG 2: PHÂN TÍCH CHI TIẾT SỰ CỐ LỘ THÔNG TIN 163 TRIỆU TÀI KHOẢN ZING ID 6 2.1 Thời gian, không gian diễn ra sự cố .6 2.2 Các đối tượng tham gia và chịu ảnh hưởng 7 2.3 Diễn biến chi tiết 8 2.4 Nguyên nhân 10 2.5 Hậu quả 12 CHƯƠNG 3: ĐỀ XUẤT GIẢI PHÁP 15 3.1 Tăng cường bảo vệ mật khẩu .15 3.2 Đào tạo cho nhân viên và người dùng về kiến thức bảo mật thông tin .16 3.3 Kiểm soát chặt chẽ hệ thống 17 3.4 Xây dựng kế hoạch phòng ngừa và khắc phục sự cố 19 3.5 Áp dụng các tiêu chuẩn bảo mật quốc tế và sử dụng các công nghệ bảo mật mới nhất 21 CHƯƠNG 4: KẾT LUẬN 23 TÀI LIỆU THAM KHẢO 25 DANH MỤC HÌNH ẢNH Hình 1: Công ty Cổ phần VNG .2 Hình 2: : Thông tin Zing ID của VNG được diễn đàn chuyên chia sẻ, mua bán dữ liệu rò rỉ Raidforums đăng tải .7 Hình 3: Thống kê chi tiết về các nạn nhân trong vụ rò rỉ 163 triệu Zing ID của VNG (Nguồn: Blog VNHacker) 13 LỜI MỞ ĐẦU Trong thời đại số hóa ngày nay, sự an toàn và bảo mật thông tin cá nhân trên internet là một trong những vấn đề quan trọng và cấp bách nhất Tuy nhiên, không phải lúc nào người dùng cũng được bảo vệ an toàn và đầy đủ trên mạng, và điều này đã được minh chứng bởi sự cố lộ thông tin 163 triệu tài khoản Zing ID vào năm 2018 Sự việc này đã gây ra những hậu quả nghiêm trọng và đáng tiếc, khiến người dùng phải đối mặt với những rủi ro về bảo mật thông tin cá nhân của mình Sự cố là minh chứng rõ ràng nhất rằng bảo mật thông tin cá nhân trên internet là một vấn đề còn rất nhiều thách thức Các hacker và tin tặc có thể sử dụng nhiều kỹ thuật tấn công để đánh cắp thông tin cá nhân của người dùng, từ các cuộc tấn công "phishing" thông qua email hay tin nhắn giả mạo, đến các cuộc tấn công "brute force" để đoán mật khẩu Trong bối cảnh đó, việc tìm hiểu và áp dụng các biện pháp bảo vệ thông tin cá nhân là vô cùng quan trọng, nhằm giảm thiểu các nguy cơ và đảm bảo sự an toàn cho người dùng internet 1 CHƯƠNG 1: GIỚI THIỆU VỀ VNG VÀ BỨC TRANH TỔNG QUAN SỰ CỐ LỘ THÔNG TIN 163 TRIỆU TÀI KHOẢN ZING ID 1.1 Giới thiệu về VNG VNG là tên viết tắt của chữ Vinagame, tên đầy đủ là Công ty Cổ phần VNG, một Công ty chuyên về lĩnh vực công nghệ tại Việt Nam Được thành lập từ năm 2004, Công ty Cổ phần VNG hiện tại là công ty công nghệ hàng đầu Việt Nam Với những sản phẩm công nghệ tiên phong và chất lượng, VNG đang phục vụ hàng triệu người dùng cá nhân và tổ chức ở hơn 100 quốc gia cùng sứ mệnh “Kiến tạo công nghệ và Phát triển con người Từ Việt Nam vươn tầm thế giới” VNG được chính thức thành lập với 4 mảng sản phẩm chính: Trò chơi trực tuyến, Nền tảng kết nối, Thanh toán điện tử, Dịch vụ điện toán đám mây Sau hơn 15 năm hoạt động trên thị trường, VNG được đánh giá là doanh nghiệp khởi nghiệp kỳ lân duy nhất tại Việt Nam khi được định giá trên 1 tỷ USD.[1] Hình 1: Công ty Cổ phần VNG Quá trình hình thành và phát triển của VNG Giai đoạn năm 2004 - 2005: Đây là giai đoạn mở đường cho kỷ nguyên game nhập vai tại thị trường Việt Nam với thành công ở Võ Lâm Truyền Kỳ 2 Giai đoạn năm 2006 - 2008: Doanh thu của VNG đạt mức 17 triệu USD Cũng trong giai đoạn này, VNG tiến hành khánh thành trung tâm dữ liệu hiện đại nhất Việt Nam nhằm làm chủ việc lưu trữ thông tin toàn bộ sản phẩm mà công ty đang cung cấp Giai đoạn năm 2009 - 2012: VNG chính thức ra mắt mạng xã hội đầu tiên của Việt Nam mang tên Zing Me đồng thời sản xuất thành công game thuần Việt MMO đầu tiên của khu vực Đông Nam Á mang tên Thuận Thiên Kiếm Bên cạnh đó, trong giai đoạn này, VNG cũng là doanh nghiệp đầu tiên phát hành game ra thị trường Nhật Bản mang tên Ủn Ỉn VNG cũng chính thức giới thiệu bộ nhận diện thương hiệu mới với tên gọi là VNG - Vinagame và bắt đầu vào việc đầu tư cho công cụ thanh toán các dịch vụ kinh doanh trực tuyến ngoài của VNG Giai đoạn năm 2013 - 2016: Đây là giai đoạn bùng nổ của VNG khi được World Startup Report định giá công ty 1 tỷ USD và trở thành startup kỳ lân duy nhất của Việt Nam Giai đoạn năm 2017 - Nay: Nền tảng của VNG cung cấp đã có hơn 80 triệu người dùng tại 193 quốc gia cùng 15 ngôn ngữ Giai đoạn này, VNG cũng tiến hành ký kết bản ghi nhớ về việc niêm yết trên sàn Nasdaq - Mỹ Bên cạnh đó, Công ty còn khai trương văn phòng tại Thái Lan và Myanmar và trở thành nhà phát hành hàng đầu tại khu vực Đông Nam Á Những sản phẩm mà VNG cung cấp ra thị trường Trò chơi trực tuyến: VNG chú trọng phát triển và sản xuất các trò chơi trực tuyến để phát hành ra thị trường quốc tế như Khu vườn trên mây, Dead Target, Bên cạnh đó, Công ty còn tiến hành nhập khẩu và phát hành các trò chơi nổi tiếng trên toàn thế giới như Võ Lâm truyền kỳ, Rules of Survival, Crossfire Legend… Nền tảng kết nối: Nền tảng này được phát triển đa dạng, đa dịch vụ nhằm phục vụ toàn diện nhu cầu kết nối , giải trí và tìm kiếm của các cá nhân, tổ chức như Zalo, Zing (Zing TV, Zing Mp3, ), 123Go, 123Phim, Laban.vn, 3 Document continues below Discover more farnomto:àn bảo mật Trường Đại học… 7 documents Go to course đề - an toàn bảo mật 24 100% (1) đề-đe-dọa.docx - đề an toàn bảo mật… 9 None CLC 19DMA03 Marketing Services… 50 Marketing 100% (45) Plan B01031 Chapter 5 Trade Finance 8 Thanh toán 100% (1) quốc tế Problems for commercial bank 16 Ngân hàng 100% (1) thương… THE LAZY MAN - ddd 3 Lịch Sử 100% (13) Đảng Dịch vụ đám mây: VNG cung cấp các giải pháp về dịch vụ điện toán đám mây đạt tiêu chuẩn quốc tế từ đó có thể đồng hành cùng doanh nghiệp trong quá trình chuyển đổi số như: vServer, vCDN, vStorage, vCloud cam, v CloudStack, vMeeting, Cloud Drive, vDB, Digital Workspace, 1.2 Tổng quan về Zing ID Zing ID là một tài khoản đăng nhập chung trên các dịch vụ của Zing, được ra mắt vào năm 2012 bởi Zing Corporation Zing ID được cung cấp miễn phí cho tất cả người dùng và cho phép truy cập vào các dịch vụ của VNG một cách dễ dàng và tiện lợi Người dùng có thể đăng ký tài khoản Zing ID bằng cách sử dụng địa chỉ email, số điện thoại hoặc tài khoản Facebook Chức năng của tài khoản Zing ID Với Zing ID, người dùng có thể truy cập vào các dịch vụ của VNG như Zing MP3, Zing TV, Zingnews, Zing Play, và nhiều hơn nữa chỉ bằng một tài khoản duy nhất Zing ID cũng cho phép người dùng lưu trữ thông tin cá nhân và dữ liệu trên đám mây của VNG, giúp bảo vệ thông tin và dễ dàng truy cập từ bất kỳ thiết bị nào có kết nối internet Ngoài ra Zing ID cũng được sử dụng để đăng nhập vào các dịch vụ của nhiều đối tác của VNG, bao gồm các ứng dụng di động và trang web khác 1.3 Bức tranh tổng quan sự lộ thông tin 163 triệu tài khoản Zing ID Vào tháng 4 năm 2018, thông tin cá nhân của khoảng 163 triệu tài khoản Zing ID đã bị lộ thông tin trên internet Cụ thể, theo thông tin từ trang diễn đàn Raidforums, hơn 163 triệu tài khoản của Zing ID đã bị lộ thông tin Tài khoản testwahaha đã đăng tải đường link của những dữ liệu này, bao gồm: mật khẩu, tên đăng nhập, mã game, email, số điện thoại, họ tên đầy đủ, ngày sinh, địa chỉ, iP… Tuy nhiên, sau đó không lâu thì đường link này đã không còn tồn tại VNG cho biết Zing ID là hệ thống quản lý tài khoản cho các sản phẩm game của VNG Theo thông tin từ Zing, nguyên nhân của việc lộ thông tin này là do một số tài khoản đã bị tấn công bởi các hacker sử dụng phương pháp tấn công "brute force" để đoán mật khẩu Sau khi đăng nhập thành công, các hacker đã thu thập thông tin cá nhân của các tài khoản này và phát tán trên internet 4 Sau khi phát hiện sự cố, Zing đã ngay lập tức thông báo cho người dùng và yêu cầu thay đổi mật khẩu ngay lập tức Ngoài ra, Zing cũng đã tiến hành cải thiện hệ thống bảo mật để ngăn chặn các tấn công tương tự trong tương lai Tuy nhiên, sự cố lộ thông tin của Zing ID đã gây ra nhiều lo ngại và bức xúc của người dùng, đặc biệt là về mức độ bảo vệ thông tin cá nhân của họ trên internet Điều này cho thấy tầm quan trọng của việc bảo vệ thông tin cá nhân của người dùng, và sự cần thiết của việc áp dụng các biện pháp bảo mật hiệu quả để ngăn chặn các sự cố tương tự 5 CHƯƠNG 2: PHÂN TÍCH CHI TIẾT SỰ CỐ LỘ THÔNG TIN 163 TRIỆU TÀI KHOẢN ZING ID 2.1 Thời gian, không gian diễn ra sự cố Tóm tắt thời gian diễn ra sự cố: Thời gian Sự kiện 2015 VNG ghi nhận khả năng bị lộ 163 triệu tài khoản Zing ID 24/04/2018 Tập thông tin rò rỉ có dung lượng tới 7,55 Gigabyte được đăng tải trên diễn đàn Raidforums 26/04/2018 Một số người Việt bất ngờ phát hiện có hơn 163.666.400 tài khoản Zing ID bị rao bán 27/04/2018 File dữ liệu đã bị xóa khỏi Raidforums và chủ đề này bị chuyển vào mục Removed Content 28/04/2018 Người đăng tải tập tin này lên đã cập nhật lại địa chỉ và tuyên bố cho phép mọi người tải về miễn phí Mô tả chi tiết thời gian diễn ra sự cố Zing ID là hệ thống quản lý tài khoản cho các sản phẩm game của VNG và công ty đã ghi nhận khả năng bị lộ 163 triệu tài khoản Zing ID từ năm 2015 thông qua một bộ phận tệp khách hàng chơi game của công ty, sau đó công ty đã thực hiện các biện pháp kỹ thuật để ngăn chặn sự rò rỉ này cho tới khi được rao bán công khai trên mạng vào năm 2018 6 Một nguyên nhân khác có thể kể đến đó chính là cách đặt mật khẩu của người dùng Việt Nam quá dễ đoán và theo một quy luật nào đó Nguyên nhân của việc lộ thông tin này là do một số tài khoản đã bị tấn công bởi các hacker sử dụng phương pháp tấn công "brute force" để đoán mật khẩu, mật khẩu quá dễ đoán khiến cho hacker dễ thực hiện hành vi hơn Trong số 163 triệu tài khoản VNG bị lộ có gần 34 triệu tài khoản là của những người có thể xác định được chính xác ngoài đời Gắn với 34 triệu tài khoản này là hơn 12 triệu mật khẩu (vì ý tưởng lớn gặp nhau, người ta hay chọn mật khẩu giống nhau) Các mật khẩu này được mã hóa với một thuật toán rất dễ bị bẻ gãy (dành cho dân trong nghề: thuật toán MD5, một round duy nhất, không salt gì cả) [7] 2.5 Hậu quả Đối với khách hàng Hình 3: Thống kê chi tiết về các nạn nhân trong vụ rò rỉ 163 triệu Zing ID của VNG (Nguồn: Blog VNHacker) 13 Hàng loạt các thông tin cá nhân của khách hàng đã bị công khai Dữ liệu khá chi tiết, bao gồm tên tài khoản, mật khẩu, email, số điện thoại, ngày sinh, địa chỉ, số CMND - hộ chiếu của các thành viên Nhiều người dùng cùng một mật khẩu cho nhiều tài khoản khác nhau dẫn đến nguy cơ mất tất cả các tài khoản đó Chưa kể người dùng phải thường xuyên cảnh giác các tin nhắn hay email nhận được vì rất có thể những kẻ xấu sẽ lợi dụng gói thông tin này để phát tán virus, lừa đảo, spam email, và không loại trừ khả năng là hack hàng loạt Sự cố xảy ra khiến cho khách hàng mất đi lòng tin vào VNG Tuy đã được chứng minh rằng hệ thống bảo mật bên Zing ID khác với Zalo, dù do cùng VNG phát hành, nhưng vẫn có một số người lo sợ tài khoản Zalo của họ cũng sẽ bị lộ trong tương lại Đặc biệt, sau sự cố rò rỉ hơn 163 triệu tài khoản Zing ID, tháng 9 cùng năm, VNG lại tiếp tục gặp sự cố VNG sập server diện rộng, cả hệ thống game Zing và Zalo "bay màu" Cụ thể vào khoảng 11g00 ngày 23/9/2018, nhiều người dùng Facebook cho biết họ không thể truy cập bất cứ trang web, dịch vụ hay ứng dụng nào của VNG Corp Theo tin hành lang, sự cố này xảy ra đơn giản chỉ vì Trung tâm dữ liệu chính (cụm server) của VNG hiện tại đang bị mất điện bất ngờ mà không có nguồn điện dự phòng, dẫn đến việc sập tất cả các server game từ VNG 14 CHƯƠNG 3: ĐỀ XUẤT GIẢI PHÁP VNG là một trong những tập đoàn công nghệ lớn tại Việt Nam với nhiều dịch vụ trực tuyến đa dạng Tuy nhiên, vào năm 2018, VNG đã bị lộ thông tin hơn 163 triệu tài khoản của người dùng trên một trang web bán hàng trực tuyến Sự cố này đã gây ra không ít bất tiện và lo ngại cho người dùng, đặc biệt là về mặt an ninh thông tin Vì vậy, để đảm bảo an toàn cho thông tin của người dùng, chúng tôi đề xuất một số giải pháp để VNG nâng cao mức độ bảo mật của hệ thống và giảm thiểu nguy cơ xảy ra các vấn đề an ninh thông tin trong tương lai như sau 3.1 Tăng cường bảo vệ mật khẩu Để thay đổi cách đặt mật khẩu và bảo vệ mật khẩu mạnh hơn, người người dùng VNG có thể thực hiện các biện pháp sau: Yêu cầu đặt mật khẩu mạnh hơn: VNG cần yêu cầu người dùng đặt mật khẩu mạnh hơn và không được đặt theo các quy luật dễ đoán như tên, ngày sinh, địa chỉ, số điện thoại, VNG cũng cần thông báo cho người dùng về các yêu cầu để đặt mật khẩu mạnh hơn, chẳng hạn như độ dài tối thiểu, yêu cầu sử dụng các kí tự đặc biệt, số và chữ in hoa Ngoài ra, hướng dẫn có thể khuyến khích người dùng sử dụng các cụm từ mật khẩu bằng cách kết hợp các từ ngẫu nhiên như “Máy tính có hình một con mèo” thành mật khẩu “Mtch1cm” Tăng cường quản lý mật khẩu: bằng cách yêu cầu đổi mật khẩu định kỳ, không sử dụng lại mật khẩu cũ và cung cấp cho người dùng các công cụ quản lý mật khẩu như trình quản lý mật khẩu Sử dụng đa tầng bảo mật: Là một giải pháp quan trọng để đảm bảo an toàn cho mật khẩu của người dùng Các tầng bảo mật này cung cấp các cấp độ bảo vệ khác nhau để đảm bảo rằng chỉ những người được ủy quyền mới có thể truy cập vào các tài nguyên và thông tin quan trọng Ví dụ, VNG có thể sử dụng một kiến trúc đa tầng bảo mật để bảo vệ mật khẩu của người dùng, các cấp độ xác thực này có thể bao gồm: 15 - Cấp độ xác thực 1 lớp: Yêu cầu người dùng cung cấp tên đăng nhập và mật khẩu để đăng nhập vào hệ thống Điều này đảm bảo rằng chỉ có người dùng đã đăng ký mới có thể truy cập vào tài khoản của mình - Cấp độ xác thực 2 lớp: Yêu cầu người dùng sử dụng mã xác thực hai yếu tố để đăng nhập vào hệ thống Mã xác thực hai yếu tố bao gồm hai yếu tố xác thực khác nhau, chẳng hạn như mật khẩu và mã OTP (One-Time Password) được gửi đến điện thoại di động của người dùng Điều này đảm bảo rằng chỉ có người dùng đã xác thực mới có thể truy cập vào tài khoản của mình Sử dụng công nghệ mã hóa mật khẩu mạnh hơn: Để đảm bảo an ninh thông tin, VNG cần sử dụng công nghệ mã hóa mật khẩu mạnh hơn để bảo vệ các mật khẩu của người dùng Các công nghệ mã hóa mật khẩu hiện đại như SHA-256 hoặc bcrypt được coi là rất bảo mật và được sử dụng rộng rãi trong các ứng dụng web hiện nay - Thuật toán SHA-256 là một trong những thuật toán băm (hash function) phổ biến nhất được sử dụng hiện nay Nó là một trong số các thuật toán băm của dòng SHA-2 (Secure Hash Algorithm 2), được thiết kế bởi Cơ quan An ninh Quốc gia Hoa Kỳ, có khả năng chuyển đổi một chuỗi ký tự (message) có độ dài tùy ý thành một chuỗi băm có độ dài cố định là 256 bit (32 byte) - BCrypt là một thuật toán mã hóa mật khẩu được thiết kế bởi Niels Provos and David Mazières BCrypt được đánh giá là bảo mật và an toàn hơn so với MD5 và SHA bởi mỗi lần thực hiện băm nó lại cho một giá trị khác nhau, việc này khiến cho việc dò tìm mật khẩu trở nên khó hơn Khi người dùng đăng ký tài khoản hoặc thay đổi mật khẩu, VNG cần sử dụng các công nghệ mã hóa mật khẩu mạnh hơn như SHA-256 hoặc bcrypt để mã hóa mật khẩu của người dùng trước khi lưu trữ trong cơ sở dữ liệu Điều này đảm bảo rằng mật khẩu của người dùng được mã hóa một cách an toàn và không thể bị giải mã để tìm ra mật khẩu ban đầu Khi người dùng đăng nhập, VNG cũng cần sử dụng các công nghệ mã hóa mật khẩu để so sánh mật khẩu đã mã hóa với mật khẩu đăng nhập được cung cấp Bằng cách sử dụng các công nghệ mã hóa mật khẩu mạnh hơn, VNG có thể tăng cường bảo mật hệ thống và đảm bảo an toàn cho thông tin người dùng 16