DANH MUC HINH ANH Hình 2.1: FBI công bố hình ảnh của các nghi phạm liên quan tới vụ tắn công mạng vào Hinh 22 Qua trình Equifax bị tan công dữ liệu EFX.0occcccceceeeceeceserveesereverse
Trang 1
DAI HOC QUOC GIA THÀNH PHÓ HỎ CHÍ MINH
TRƯỜNG ĐẠI HỌC KINH TẾ - LUẬT
TIỂU LUẬN GIỮA KỲ
CUOC TAN CONG VAO HANG DANH GIA TIN DUNG EQUIFAX (2017)
Lép hoc phan: 232KD2602
GVHD: ThS Nguyén Quang Hung
Nhóm sinh viên thực hiện:
STT Họ và tên MSSV
1 V6 Thai Binh Nhi K224020244
3 Lê Hoài Bảo K224020221
Tp Hồ Chí Minh, tháng 5 năm 2024
Trang 2
MUC LUC LỜI CẢM ƠN 22 2221 121121 10.21101222 2H re i
DANH MỤC HÌNH ẢNH - 5 5c 21 T1 12 TỰ HH nh ng gay 1i Chương 1 GIỚI THIỆU 2- S2 S2EE22E121122 121211112 1E 1
2 Cuộc tấn công vào hãng đánh giá tín dụng Equifax (2017) 2
Chương 2 PHÂN TÍCH VỤ VIỆC 52 2s HH rên 4
1 _ Đối tượng tham gia vào vụ viỆc ch Hee 4
2 Vụ việc xảy ra khi Hào, ở ẪH? HH nh HH HH re 4
3 Diễn biến cúa vụ viỆc ccScccn TnH TH TH HH rrrgrrye 5
3.2 hquifax phát hiện khi NGO? ooo cec cece ce cece cece te eee eeee ct at see caeeaesesesenaeeas 6 3.3 Vụ việc có sự can thiệp của pháp luật khÔHg” oi, 6 3.4 Equifax đã xử lý như thỂ nào? se SE 7
HH ::(.Xdda 7 Ư ïl n1 9
6 Giải pháp đề xuất cho Equifax để vụ việc không xảy ra 9
6.1 Cai thién hé thong BGO MGE cccccccccccccsscesscesssesssessesssesssesssesssesssesisessessseeees 9
6.2 Quản lý rủi ro hÌỆH QHỎ à Q Lọ ST HH HH HH HH HH Hà này 10
6.4 Phản ứng nhanh chóng và mình bạch khi phát hiện sự cố 10 6.5 Ste dung cng nghé mG h6a tien tien cccccccccccccsccsscsssssessessesssessesssesseen il 6.6 Kiểm soát quyền truy cập dữ liệu 55c tre II
Chương3 KET LUAN VA BAI HOC KINH NGHIEM CHO DOANH
NGHIIỆP Ốc 2n nh nh nà nh he se sec, T2
1 KẾtluận ìì Hee 12
2 Bài học kinh nghiệm cho các doanh nghiệp khác 13
2.2 Sứ dụng các biện pháp bảo mật tiên tiỂn ssccccccseeerrerrea 13 2.3 Xáy dựng chương trình phản ứng vì phạm dữ lIỆM 14
TAT LIEU THAM KHẢO -2- 222222 22112211211211222.21.1.1 eeereree 15
Trang 3LOI CAM ON
Dau tién, nhom chúng em xin gửi lời cảm ơn đến Trường Đại học Kinh tế- Luật đã
đưa bộ môn Đe dọa từ không gian mạng và toàn cầu hóa vào chương trình giảng dạy để chúng em có cơ hội tiếp thu kiến thức quý giá về an ninh mạng Đặc biệt, nhóm chúng em xin gửi lời cảm ơn chân thành nhất đến Th§ Nguyễn Quang Hưng đã truyền đạt cho chúng em kiến thức bằng tất cả tâm huyết Thời gian học bộ môn của thầy là khoảng thời gian tuyệt vời vì chúng em không chỉ được học lý thuyết mà còn nam bắt được những kinh nghiệm thực tế hữu ích Đây sẽ là hành trang để em có thê vững bước trên con
đường đã lựa chọn ban đầu
Bộ môn Đe dọa từ không gian mạng và toàn cầu hóa không chỉ bổ ích mà còn có tính thực tế cao Tuy nhiên, do vốn kiến thức còn nhiều hạn chế và khả năng tiếp thu thực
tế còn nhiều bỡ ngỡ Nhóm chúng em đã có găng hết sức nhưng chắc chăn bài tiêu luận
khó có thê tránh khỏi những thiếu sót và nhiều chỗ còn chưa chính xác, kính mong thầy
xem xét và góp y dé bai tiểu luận của nhóm chúng em được hoản thiện hơn
Nhóm chúng em xIn chân thành cảm ơn!
Trang 4DANH MUC HINH ANH
Hình 2.1: FBI công bố hình ảnh của các nghi phạm liên quan tới vụ tắn công mạng vào
Hinh 22 Qua trình Equifax bị tan công dữ liệu
(EFX).0occcccceceeeceeceserveesereverseee8
Hình 2.4: Mô tả phân tích chỉ tiết về Apache Struts 2 (CVE-2017-5638)
dụng
nam
Inc
Trang 5Chuong 1 GIOI THIEU
1 Téng quan vé Equifax
Equifax Inc la co quan bao cao tin dung tiéu ding da quéc gia cha Mỹ Có trụ
sé chinh tai Atlanta, Georgia; Equifax cing voi Experian! va TransUnion? dugc biét
đến như "Ba ông lớn" trong ngành, tạo nên bức tranh toàn diện về thị trường báo cáo tín dụng tiêu dùng
Equifx chuyên thu thập thông tin cá nhân như số bảo hiểm xã hội, thông tin hoạt động ứng dụng và tông hợp thông tin về hơn 800 triệu người tiêu dùng cá nhân và hơn
88 triệu doanh nghiệp trên toàn thế giới Với cơ sở dữ liệu phong phú và chỉ tiết này, Equifax có thể cung cấp dịch vụ cho cá cá nhân và doanh nghiệp, giúp họ đưa ra các
quyết định đầu tư và chiến lược kinh doanh hiệu quả nhất dựa trên nền tảng dữ liệu vững
chắc
Ngoài dữ liệu tín dụng và nhân khẩu học cũng như các dịch vụ dành cho doanh
nghiệp, Equifax là một người bạn đồng hành trong việc bảo vệ khách hàng khỏi rủi ro gian lận và mất mát tài chính Với các dịch vụ giám sát tín dụng và ngăn chặn gian lận trực tiếp, Equifax đóng vai trò quan trọng trong việc bảo vệ sự an toàn tài chính của người tiêu dùng và doanh nghiệp
Với mạng lưới hoạt động hoặc đầu tư trải dài qua 24 quốc gia ở Bắc Mỹ, Trung và Nam Mỹ, Châu Âu và khu vực Châu Á Thái Bình Dương, Equifax không chỉ là một người tiên phong mà còn là một người đồng hành trong việc thúc đây sự phát triển kinh tế toàn
câu Với hơn 14.000 nhân viên trên toàn thế giới, Equifax có doanh thu hàng năm gần 5 tỷ
USD và được giao dịch trên Sở Giao dịch Chứng khoán New York với ký hiệu EEX
! Experian là công ty phân tích dữ liệu và báo cáo tín dụng tiêu dùng đa quốc gia
? TransUnion là cơ quan báo cáo tín dụng tiêu dùng của Mỹ
3 Sở Giao dịch Chứng khoán New York (NYSE, biệt danh "The Big Board") là một sở giao dịch chứng khoán của Mỹ tại Khu tài chính Lower Manhattan ở Thành phố New York
1
Trang 6Equifax - cái tên gắn liền với lĩnh vực đánh giá tín dụng uy tín tại Hoa Kỳ, là chia khóa mở ra cánh cửa tới những quyết định sáng suốt trong kinh doanh và đời sống cá nhân Với sử mệnh quan trọng là cung cấp thông tin chính xác và đáng tin cậy, Equifax không chỉ đánh giá khả năng chi trả cho cá nhân mà còn đóng vai trò quan trọng trong
việc hỗ trợ doanh nghiệp đưa ra quyết định đầu tư đúng đắn và hiệu quả
Equifax không chỉ là một công cụ hữu ích mà còn là một đối tác đáng tin cậy, góp phần thúc đây sự phát triển bền vững của nền kinh tế Equifax luôn đồng hành cùng khách hàng, nâng cao hiệu suất, thúc đây sự phát triển của nền kinh tế và mở ra cánh cửa cho những cơ hội mới và tiềm năng trong thị trường kinh doanh ngày nay
2 Cuộc tấn công vào hãng đánh giá tín dụng Equifax (2017)
Vào năm 2017, thế giới chứng kiến một trong những vụ tấn công mạng lớn và đáng lo ngại nhất khi Equifax, một trong những công ty đánh giá tín dụng hàng đầu toàn
cầu, bị một cuộc tấn công mạng tàn bạo Sự việc này không chỉ gây ra roi loan mạng lưới
toàn cầu mà còn ảnh hưởng nghiêm trọng đến hàng triệu người dùng ở Mỹ và các quốc gia khác
Vụ tấn công mạng này đã làm lộ ra một lỗ hỗng bảo mật không lồ trong hệ thông của Equifax, dẫn đến việc thông tin cá nhân cua 147 triệu khách hàng bị tiết lộ ra ngoài Tên, số CMND, địa chỉ, ngày sinh và thậm chí cả số Security Number (SSN)- là thông tin cực kỳ nhạy cảm về tài chính của mỗi cá nhân đã rơi vào tay kẻ xâm nhập Hậu quả của sự việc này không chỉ dừng lại ở sự mất mát về dữ liệu mà còn gây ra một làn sóng phẫn nộ và lo ngại về tình trạng bảo mật dữ liệu và quản lý rủi ro của các công ty đánh giá
tín dụng
Equifax đã phải đối mặt với sự chỉ trích gay gắt từ dư luận về cách họ xử lý vụ việc này Việc không đảm bảo an ninh dữ liệu cá nhân của khách hàng một cách mạnh mẽ
và không thông báo cho khách hàng về việc xâm nhập này một cách kịp thời và hiệu quả
đã khiến cho nhiều người mất niềm tin vào khả năng của họ trong việc bảo vệ thông tin cá nhân của khách hàng Nhiều người đã chỉ trích việc Equifax không thực hiện các biện
2
Trang 7pháp an ninh thông tin cần thiết và điều này đã gây ra một làn sóng phẫn nộ từ cộng đồng mạng và cũng đã đặt nền móng cho một cuộc tranh luận sâu sắc về quản lý rủi ro và quy định an ninh thông tin trong các tô chức lớn và quốc tế
Trang 8Chuong 2 PHAN TICH VU VIEC
1 Đối trợng tham gia vào vụ việc
Hồ sơ cá nhân của 147,9 triệu người Mỹ cùng với 15,2 triệu công nhân Anh và khoảng 19.000 công dân Canada đã bị xâm phạm, tạo nên một vụ vi phạm quy mô lớn và đáng lo ngại đối với an ninh thông tin toàn cầu
Trong một cuộc điều tra, chính phủ Hoa Kỳ đưa ra cáo buộc rằng các thành viên của Quân đội Giải phóng Nhân dân Trung Quốc đã thực hiện cuộc tấn công vào hệ thống Equifax Tuy nhiên, việc này đã gây ra sự phán đối và bác bỏ từ phía chính quyền Trung
Quốc, tạo ra một cuộc tranh luận phức tạp về trách nhiệm và hậu quả của các bên liên
quan
CHINESE PLA MEMBERS,
54TH RESEARCH INSTITUTE
Computer Fraud; Economic Espionage; Wire Fraud; Conspiracy to Commit Computer Fraud; Conspiracy to Commit Economic Espionage; Conspiracy to Commit Wire Fraud
vai Ride
Wang Qian Xu Ke Liu Lei Wu Zhiyong
Hình 2.1: FBI công bố hình ảnh của các nghỉ phạm liên quan tới vụ tấn công mạng vào công ty tín dụng Equifax
(Nguồn: Fox Business)
2 Vu việc xứy ra khi nào, ở đâu?
Vào ngày 10/3/2017, tại Equifax, công web lần đầu tiên bị xâm nhập thông qua lỗ hồng Struts, mở ra một khe nứt trong hệ thống bảo mật của Equifax Mặc dù sự xâm nhập
Trang 9này đã diễn ra, nhưng những kẻ tấn công dường như chưa làm được gì nhiều ngay lập tức
khiến cho Equifax chưa thể nhận biết nguy cơ thực sự mà họ đang đối mặt
Trải qua một thời gian từ tháng 5 đến tháng 7 năm 2017, những kẻ tấn công đã truy cập vào nhiều cơ sở dữ liệu Equifax Trong thời gian này, dữ liệu quan trọng của hàng
triệu khách hàng đã bị tiếp cận và tiềm ấn nguy cơ bị lộ thông tin cá nhân
Tuy nhiên, đến ngày 8/9/2017, Equifax mới công khai vi phạm sau hơn một tháng
điều tra nội bộ Khoảng thời gian này kéo dài hơn một tháng, thê hiện sự đáng lo ngại về việc Equifax đã mất thời gian đáng kể dé phát hiện và xử lý vấn đề Điều này càng làm
tăng thêm tính phức tạp và nghiêm trọng của tình hình, đặc biệt là khi số lượng lớn thông tin cá nhân của khách hàng bị đe dọa bởi sự v1 phạm nay
3 Diễn biến của vụ việc
Ban đầu, công ty đã chịu một cuộc tắn công thông qua một công web khiếu nại của người tiêu dùng, trong đó những kẻ tấn công sử dụng một lỗ hồng được biết đến rộng rãi mà lẽ ra phải được vá nhưng do lỗi trong quy trình nội bộ của Equifax nên
đã không thực hiện được
Những kẻ tấn công có thê di chuyên từ công web sang các máy chủ khác vì các
hệ thống không được phân chia đầy đủ và rõ ràng với nhau Chúng có khả năng tiếp cận thông tin tên người dùng và mật khẩu được lưu trữ dưới dạng văn bản thuần túy
Điều này tạo điêu kiện thuận lợi cho việc xâm nhập vào các hệ thông khác của công ty Đặc biệt đáng lo ngại, dữ liệu đã bị rút ra khỏi mạng ở dạng mã hóa nhưng
điều này không bị phát hiện trong nhiều tháng Lý do là Equifax đã không thực hiện được việc gia hạn chứng chỉ mã hóa trên một trong những công cụ bảo mật nội bộ của họ Điều này đã tạo ra một khoảng trống an ninh lớn, cho phép kẻ tấn công truy cập đữ liệu quan trọng mà không gặp sự can thiệp hoặc phát hiện từ phía công ty
Trang 105 Month Opportunity to Take Corrective Action
Hình 2.2: Quá trình Equifax bị tấn công dữ liệu năm 2017
(Nguon: “We are all Equifax,” bai ndi chuyén vé RSA cua Derek Weeks vao nam 2018)
3.2 Equifax phat hién khi nao?
Equifax phát hiện vi phạm đữ liệu vào ngày 29/7/2017, nhưng không thông báo cho khách hàng cho đến ngày 8/9/2017 Equifax đã không công khai hành vi vi phạm cho
đến hơn một tháng sau khi họ phát hiện ra nó
Trong diễn biến liên quan, ba lãnh đạo cấp cao của Equifñax đã bán một lượng cô phiếu công ty có giá trị tổng cộng l,8 triệu USD trong 4 ngày sau khi biết tin về vụ rò ri
dữ liệu và trước khi thông tin đó chính thức được công khai Việc bán cô phiếu Của các
giám đốc điều hành hàng đầu vào khoảng thời gian này day lên cáo buộc về giao dịch nội
gián
Tuy nhiên, người phát ngôn của Equifax, Ines Gutzmer, cho biết các vị lãnh đạo
này "đã không biết về vụ tấn công mạng tại thời điểm họ bán cổ phiếu của mình”
Vào ngày 22/7/2019, Equifax đã đồng ý giải quyết với Ủy ban Thương mại Liên
bang, Cục Bảo vệ Tài chính Người tiêu dùng, 48 tiêu bang của Hoa Kỳ, Washington, D.C
4 Theo hang tin Bloomberg
Trang 11va Puerto Rico dé giảm bớt thiệt hại cho các cá nhân bi ảnh hưởng va thực hiện các thay
đôi về tô chức nhằm tránh những vi phạm tương tự trong tương lai
Tổng chỉ phí dàn xếp bao gồm 300 triệu USD dành cho quỹ bồi thường nạn nhân,
175 triệu USD dành cho các tiêu bang và vùng lãnh thổ trong thỏa thuận và 100 triệu
USD dành cho Cục Bảo vệ Tài chính Người tiêu dùng tiền phạt
Tại Vương quốc Anh, Cơ quan Quản lý Tài chính đã áp dụng hình phạt tài chính trị giá 11.164.400 bảng Anh vì không bảo vệ thông tin của người tiêu dùng Vương quốc Anh
Sau khi kết thúc vụ kiện, Equifax được yêu câu chỉ ít nhất 1,38 tỷ USD để giải
quyết khiêu nại của người tiêu dùng
3.4 Equifax da xe ly nhue thé nao?
Equifax cung cấp dịch vụ giám sát tín dụng miễn phí cho những người bị ảnh
hưởng bởi vĩ phạm dữ liệu Tuy nhiên, dịch vụ này đã bị phản nàn là khó sử dụng và
không hiệu quả Nhiều khách hàng gặp khó khăn trong việc đăng ký dịch vụ hoặc nhận
thông báo về các hoạt động gian lận trên tài khoản tín dụng của họ
Equifax đã thực hiện một số thay đổi để cải thiện bảo mật dữ liệu Những thay đôi
này bao gom việc mã hóa đữ liệu nhạy cảm, cải thiện kiểm soát truy cập và thực hiện các
biện pháp báo mật mạng mạnh mẽ hơn Tuy nhiên, vẫn còn nhiều lo ngại về khá năng bảo
vệ thông tin cá nhân của khách hang boi Equifax
4 Hậu quả
Vụ tấn công đã làm lộ thông tin của 143 triệu người tiêu dùng Mỹ (chiếm khoảng 44% dân số nước nảy ở thời điểm đó), bao gồm tên, số an sinh xã hội, ngày sinh, địa chỉ
và một số trường hợp còn có cả giấy phép lái xe Chúng cho phép hacker tiếp cận thông tin khách hàng ở các ngân hàng, công ty bảo hiểm và các doanh nghiệp khác Số thẻ tín dụng của khoảng 209.000 người tiêu dùng tại Mỹ và tài liệu tranh chấp của 182.000