1. Trang chủ
  2. » Luận Văn - Báo Cáo

tiểu luận giữa kỳ đề tài cuộc tấn công vào hãng đánh giá tín dụng equifax 2017

19 0 0
Tài liệu được quét OCR, nội dung có thể không chính xác
Tài liệu đã được kiểm tra trùng lặp

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Tiêu đề Cuộc tấn công vào hãng đánh giá tín dụng Equifax (2017)
Tác giả Võ Thái Bình Nhi, Lộ Thị Hồng, Lộ Hoài Bảo, Trần Gia Khang, Trần Thanh Phương, Quách Thị Hải Yến, Trần Thị Ngọc Anh, Lò Hồng Anh Huyền
Người hướng dẫn ThS. Nguyễn Quang Hưng
Trường học Đại học Quốc gia Thành phố Hồ Chí Minh
Chuyên ngành An ninh mạng
Thể loại Tiểu luận giữa kỳ
Năm xuất bản 2024
Thành phố Thành phố Hồ Chí Minh
Định dạng
Số trang 19
Dung lượng 2,82 MB

Nội dung

Ngoài dữ liệu tín dụng và nhân khẩu học cũng như các dịch vụ dành cho doanh nghiệp, Equifax là một người bạn đồng hành trong việc bảo vệ khách hàng khỏi rủi ro gian lận và mất mát tài ch

Trang 1

DAI HOC QUOC GIA THANH PHO HO CHI MINH

TRUONG DAI HOC KINH TE - LUAT

TIỂU LUẬN GIỮA KỲ

Đề tài

CUỘC TẤN CÔNG VÀO HÃNG

ĐÁNH GIÁ TÍN DỤNG EQUIFAX (2017)

Lớp học phần: 232KD2602

GVHD: ThS Nguyễn Quang Hưng

Nhóm sinh viên thực hiện:

Tp Hồ Chí Minh, tháng 5 năm 2024

Trang 2

MỤC LỤC

DANE MUC HINT ANED oo ooccccccccccccccccccscscssesscseesessessesvesesecsresveensevsnsstsevsesseenes 1i Chương 1 GIỚI THIỆU 2-52 SE EE12E12EEE1E112111E11 21121 1.1 Eterre 1

1 Tong quan vé Equifax ccccccccccccccccccccccccscescsssssescesesessessesvssesssssesesesvseesveveees 1

2 _ Cuộc tấn công vào hãng đánh giả tín dụng Equifax (2017) 2

Chương 2 PHÂN TÍCH VỤ VIỆC - 2s ST E1 H cHgH HH Heo 3

1 Đối tượng tham gia vào vụ viỆc ác ch ng euằ 3

2 Vụ việc xảy ra khi Hào, ở đẪH? TS SH HH He 3

3 Diễn biến của vụ viỆc c TT re 4

3.1 Vụ việc xảy ra như 1 TPRRREEERRRR.a 4

3.2 kquifax phái hiện khi HÀO” à ST ST HH HH sgk ke 5 3.3 Vụ việc có sự can thiệp của pháp luật khÔHg? à cành 5

(Lan H 6 T1 na 8

6 Giải pháp đề xuất cho Equifax để vụ việc không xảy ra 8

6.1 Cải thiện hệ thống bảo mátt ch na §

6.2 Quản Ïÿ rủi ro hẲiỆU QUẢ Q G Q nn TH KH TH HH HH 9

6.3 Nâng cao nhận thức về an ninh HH LH nh nà HH yêu 9

6.4 Phản ứng nhanh chóng và mình bạch khi phát hiện sự cố 9 6.5 Sử dụng công nghệ mã hóa tiên tIỄ ằcccccnrehenreryn 10 6.6 Kiểm soát quyên truy cập đữ liệu chan rrrrug 10 6.7 Luôn đề cao cảnh giác c1 12t 111221 rA 10

Chương3 KẾT LUẬN VÀ BÀI HỌC KINH NGHIỆM CHO DOANH NGHIỆP 22T]

1 KẾtluẬH ì.ì Hee 11

2 Bài học kimh nghiệm cho các doanh nghiệp khúc 12 2.1 Bảo mật dữ liệu là tru tiên hang đhM S5 S1 112212 Hy 12 2.2 Sứ dụng các biện pháp bảo mật tiên tIỆN Sài 12 2.3 Xây dựng chương trình phản ứng vì phạm dit LIỆU cc cS 13

TAT LIEU THAM KHẢO 52 S 212E12115212112112111121 11c rrye 14

Trang 3

LỜI CẢM ƠN

Đầu tiên, nhóm chúng em xin gửi lời cảm ơn đến Trường Đại học Kinh tế- Luật đã

đưa bộ môn Đe dọa từ không gian mạng và toàn cầu hóa vào chương trình giảng dạy để chúng em có cơ hội tiếp thu kiến thức quý giá về an ninh mạng Đặc biệt, nhóm chúng em xin gửi lời cảm ơn chân thành nhất đến Th§ Nguyễn Quang Hưng đã truyền đạt cho chúng em kiến thức bằng tất cả tâm huyết Thời gian học bộ môn của thầy là khoảng thời gian tuyệt vời vì chúng em không chỉ được học lý thuyết mà còn nắm bắt được những kinh nghiệm thực tế hữu ích Đây sẽ là hành trang để em có thể vững bước trên con

đường đã lựa chọn ban đầu

Bộ môn Đe dọa từ không gian mạng và toàn cầu hóa không chỉ bỗ ích mà còn có tính thực tế cao Tuy nhiên, do vốn kiến thức còn nhiều hạn chế và khả năng tiếp thu thực

tế còn nhiều bỡ ngỡ Nhóm chúng em đã cô gắng hết sức nhưng chắc chắn bài tiêu luận

khó có thê tránh khỏi những thiểu sót và nhiều chỗ còn chưa chính xác, kính mong thầy

xem xét và góp ý đề bài tiêu luận của nhóm chúng em được hoàn thiện hơn

Nhom chung em xin chan thành cảm ơn!

Trang 4

DANH MỤC HÌNH ẢNH

Hình 2.1: FBI công bố hình ảnh của các nghi phạm liên quan tới vụ tấn công mạng vào công ty tín dụng EQquIfax 22 c2 2n 221 ce nàn nh nh nh se

5

9

Hình 24: Mô tả phân tích chỉ tiết vé Apache Struts 2 (CVE-2017-5638)

10

1

Trang 5

Chương 1 GIỚI THIỆU

1 Tổng quan vé Equifax

Equifax Inc la co quan bao cao tin dung tiéu ding đa quốc gia của Mỹ Có trụ

sé chinh tai Atlanta, Georgia; Equifax ctmg voi Experian! va TransUnion? duoc biét

đến như "Ba ông lớn" trong ngành, tạo nên bức tranh toàn diện về thị trường bao cao tín dụng tiêu dùng

Equifax chuyén thu thap thông tin cá nhân như số bảo hiểm xã hội, thông tin hoạt động ứng dụng và tổng hợp thông tin về hơn 800 triệu người tiêu dùng cá nhân và hơn

88 triệu doanh nghiệp trên toàn thê giới Với cơ sở dữ liệu phong phú và chỉ tiết nay, Equifax có thể cung cấp dịch vụ cho cả cá nhân và doanh nghiệp, giúp họ đưa ra các

quyết định đầu tư và chiến lược kinh doanh hiệu quả nhất dựa trên nền tảng đữ liệu vững

chac

Ngoài dữ liệu tín dụng và nhân khẩu học cũng như các dịch vụ dành cho doanh

nghiệp, Equifax là một người bạn đồng hành trong việc bảo vệ khách hàng khỏi rủi ro gian lận và mất mát tài chính Với các dịch vụ giám sát tín dụng và ngăn chặn gian lận trực tiếp, Equifax đóng vai trò quan trọng trong việc bảo vệ sự an toàn tải chính của người tiêu dùng và doanh nghiệp

Với mạng lưới hoạt động hoặc đầu tư trải dài qua 24 quốc gia ở Bắc Mỹ, Trung và Nam Mỹ, Châu Âu và khu vực Châu Á Thái Bình Dương, Equifax không chỉ là một người tiên phong mà còn là một người đồng hành trong việc thúc đây sự phát triển kinh tế toàn

cầu Với hơn 14.000 nhân viên trên toàn thế giới, Equifax có doanh thu hàng năm gần 5 tỷ

USD va được giao dịch trên Sở Giao dịch Chứng khoán New York với ký hiệu EEX

! Experian là công ty phân tích đữ liệu và báo cáo tín dụng tiêu dùng đa quốc gia

? 'TransUmion là cơ quan báo cáo tín dụng tiêu dùng của Mỹ

Sở Giao dịch Chứng khoán New York (NYSE, biệt danh "The Big Board”) là một sở giao dịch chứng khoán của Mỹ tại Khu tải chính Lower Manhattan ở Thành phố New York

1

Trang 6

Equifax - cái tên gắn liền với lĩnh vực đánh giá tín dụng uy tín tại Hoa Kỳ, là chìa khóa mở ra cánh cửa tới những quyết định sáng suốt trong kinh doanh và đời sống cá nhân Với sứ mệnh quan trọng là cung cấp thông tin chính xác và đáng tin cậy, Equifax không chỉ đánh giá khả năng chỉ trả cho cá nhân mà còn đóng vai trò quan trong trong việc hỗ trợ doanh nghiệp đưa ra quyết định đầu tư đúng đắn và hiệu quả

Equifax không chỉ là một công cụ hữu ích mà còn là một đối tác đáng tin cậy, góp phân thúc đây sự phát triển bền vững của nền kinh tế Equifax luôn đồng hành cùng khách

hàng, nâng cao hiệu suất, thúc đây sự phát triển của nền kinh tế và mở ra cánh cửa cho

những cơ hội mới và tiềm năng trong thị trường kinh doanh ngày nay

2 Cuộc tấn công vào hãng đánh giả tín dụng Equifax (2017)

Vào năm 2017, thế giới chứng kiến một trong những vụ tấn công mạng lớn và đáng lo ngại nhất khi Equifax, một trong những công ty đánh giá tín dụng hàng đầu toàn cau, bị một cuộc tấn công mạng tàn bạo Sự việc này không chỉ gây ra rối loạn mạng lưới toàn cầu mà còn ảnh hưởng nghiêm trọng đến hàng triệu người dùng ở Mỹ và các quốc gia khác

Vụ tấn công mạng này đã làm lộ ra một lỗ hồng bảo mật không lồ trong hệ thống của Equifax, dẫn đến việc thông tm cá nhân của 147 triệu khách hàng bị tiết lộ ra ngoài Tên, số CMND, địa chí, ngày sinh và thậm chí cả sô Security Number (SSN)- là thông tin cực kỳ nhạy cảm về tài chính của mỗi cá nhân đã rơi vào tay kẻ xâm nhập Hậu quả của sự việc này không chỉ dừng lại ở sự mất mát về dữ liệu mà còn gây ra một làn sóng phẫn nộ và lo ngại về tình trạng bảo mật dữ liệu và quản lý rủi ro của các công ty đánh giá tín dụng

Equifax đã phải đối mặt với sự chỉ trích gay gắt từ dư luận về cách họ xử lý vụ việc này Việc không đảm bảo an ninh dữ liệu cá nhân của khách hàng một cách mạnh mẽ và không thông báo cho khách hàng về việc xâm nhập này một cách kịp thời và hiệu quả đã khiến cho nhiều người mất niềm tin vào khả năng của họ trong việc bảo vệ thông tin ca nhân của khách hàng Nhiều người đã chỉ trích việc Equifax không thực hiện các biện

2

Trang 7

pháp an ninh thông tin cần thiết và điều này đã gây ra một làn sóng phẫn nộ từ cộng đồng mạng và cũng đã đặt nền móng cho một cuộc tranh luận sâu sắc về quản lý rủi ro và quy định an ninh thông tin trong các tô chức lớn và quốc tế

Trang 8

Chương 2 PHẦN TÍCH VỤ VIỆC

1 Đối tượng tham gia vào vụ việc

Hồ sơ cá nhân của 147,9 triệu người Mỹ cùng với 5,2 triệu công nhân Anh và khoảng 19.000 công dân Canada đã bị xâm phạm, tạo nên một vụ vĩ phạm quy mô lớn và đáng lo ngại đối với an ninh thông tin toàn cầu

Trong một cuộc điều tra, chính phủ Hoa Kỳ đưa ra cáo buộc rằng các thành viên của Quân đội Giải phóng Nhân dân Trung Quốc đã thực hiện cuộc tấn công vào hệ thông Equifax Tuy nhiên, việc này đã gây ra sự phản đối và bác bỏ từ phía chính quyền Trung

Quốc, tạo ra một cuộc tranh luận phức tạp về trách nhiệm và hậu quả của các bên liên

quan

CHINESE PLA MEMBERS,

54TH RESEARCH INSTITUTE

Computer Fraud; Economic Espionage; Wire Fraud; Conspiracy to Commit Computer

Fraud; Conspiracy to Commit Economic Espionage; Conspiracy to Commit Wire Fraud Agi he Wang Qian Xu Ke Liu Lei Wu Zhiyong

Hình 2.1: FBI công bố hình ảnh của các nghỉ phạm liên quan tới vụ tấn công mạng vào công ty tín dụng Equifax

(Nguôn: Fox Business)

2 Vu việc xảy ra khi nào, ở đâu?

Vào ngày 10/3/2017, tại Equifax, công web lần đầu tiên bị xâm nhập thông qua lỗ hồng Struts, mở ra một khe nứt trong hệ thống bảo mật của Equifax Mặc dù sự xâm nhập

4

Trang 9

này đã diễn ra, nhưng những kẻ tấn công dường như chưa làm được gì nhiều ngay lập tức

khiến cho Equifax chua thể nhận biết nguy cơ thực sự mà họ đang đối mặt

Trải qua một thời gian từ tháng 5 đến tháng 7 năm 2017, những kẻ tắn công đã truy

cập vào nhiều cơ sở dữ liệu Equifax Trong thời gian này, dữ liệu quan trọng của hàng

triệu khách hàng đã bị tiếp cận và tiềm ân nguy cơ bị lộ thông tin cá nhân

Tuy nhiên, đến ngày 8/9/2017, Equifax mới công khai vi phạm sau hơn một tháng điều tra nội bộ Khoảng thời gian này kéo dải hơn một tháng, thể hiện sự đáng lo ngại về

việc Equifax đã mắt thời gian đáng kể để phát hiện và xử lý vấn đề Điều này càng làm

tăng thêm tính phức tạp và nghiêm trọng của tình hình, đặc biệt là khi số lượng lớn thông tin cá nhân của khách hàng bị de dọa bởi sự vĩ phạm này

3 Diễn biến của vụ việc

3.7 Vụ việc xảy ra như thế nào?

Ban đầu, công ty đã chịu một cuộc tấn công thông qua một công web khiếu nại của người tiêu dùng, trong đó những kẻ tấn công sử dụng một lỗ hồng được biết đến rộng rãi mà lẽ ra phải được vá nhưng do lỗi trong quy trình nội bộ của Equifax nên

đã không thực hiện được

Những kẻ tấn công có thể di chuyển từ công web sang các máy chủ khác vì các

hệ thống không được phân chia đầy đủ và rõ ràng với nhau Chúng có khả năng tiếp cận thông tin tên người dùng và mật khâu được lưu trữ dưới dạng văn bản thuần túy

Điều này tạo điêu kiện thuận lợi cho việc xâm nhập vào các hệ thông khác của công ty Đặc biệt đáng lo ngại, dữ liệu đã bị rút ra khỏi mạng ở dạng mã hóa nhưng

điều này không bị phát hiện trong nhiều tháng Lý do là Equifax đã không thực hiện

được việc gia hạn chứng chỉ mã hóa trên một trong những công cụ bảo mật nội bộ

của họ Điều này đã tạo ra một khoảng trống an ninh lớn, cho phép kẻ tấn công truy cập dữ liệu quan trọng mà không gặp sự can thiệp hoặc phát hiện từ phía công ty

Trang 10

200) Opportunity to Take Corrective Action a ẫ Crisis Management

Con

s

Hình 2.2: Quá trình Equifax bị tắn công dữ liệu năm 2017

(Nguon: “We are all Equifax,” bai noi chuyén vé RSA cua Derek Weeks vao nam 2018)

3.2 Equifax phat hién khi nao?

Equifax phat hién vi pham di ligu vào ngày 29/7/2017, nhưng không thông báo cho khách hàng cho đến ngày 8/9/2017 Equifax đã không công khai hành vi vi phạm cho

đến hơn một tháng sau khi họ phát hiện ra nó

Trong diễn biến liên quan, ba lãnh đạo cấp cao của Equifax đã bán một lượng cỗ phiếu công ty có giá trị tông cộng 1.8 triệu USD trong 4 ngày sau khi biết tin về vụ rò ri

đữ liệu và trước khi thông tin đó chính thức được công khai” Việc bán cô phiếu của các

giám đốc điều hành hàng đầu vào khoảng thời gian này dấy lên cáo buộc về giao dịch nội

gián

Tuy nhiên, người phát ngôn của Equifax, Ines Gutzmer, cho biết các vị lãnh đạo

này "đã không biết về vụ tân công mạng tại thời điệm họ bán cô phiêu của mình” 3.3 Vụ việc có sự can thiệp của pháp luật không?

Vào ngày 22/7/2019, Equifax đã đồng ý giải quyết với Ủy ban Thương mại Liên

bang, Cục Bảo vệ Tài chính Người tiêu dùng, 48 tiểu bang của Hoa Kỳ, Washington, D.C

* Theo hãng tin Bloomberg

Trang 11

va Puerto Rico dé giảm bớt thiệt hại cho các cá nhân bị ảnh hưởng và thực hiện các thay

đổi về tô chức nhằm tránh những vi phạm tương tự trong tương lai

Tổng chi phí dàn xếp bao gồm 300 triệu USD dành cho quỹ bồi thường nạn nhân,

175 triệu USD dành cho các tiểu bang và vùng lãnh thổ trong thỏa thuận và 100 triệu

USD dành cho Cục Bảo vệ Tài chính Người tiêu dùng tiền phạt

Tại Vương quốc Anh, Cơ quan Quản lý Tài chính đã áp dụng hình phạt tài chính trị giá 11.164.400 bảng Anh vì không báo vệ thông tin của người tiêu dùng Vương quốc Anh

Sau khi kết thúc vụ kiện, Equifax được yêu cầu chỉ ít nhất 1,38 ty USD để giải

quyết khiếu nại của người tiêu dùng

3.4 Equifax đã xử lý như thế nào?

Equifax cung cấp dịch vụ giám sát tín dụng miễn phí cho những người bị ảnh

hưởng bởi vị phạm dữ liệu Tuy nhiên, dịch vụ này đã bị phản nàn là khó sử dụng và

không hiệu quả Nhiều khách hàng gặp khó khăn trong việc đăng ký dịch vụ hoặc nhận

thông báo về các hoạt động gian lận trên tài khoản tín dụng của họ

Equifax đã thực hiện một số thay đối dé cai thiện bảo mật dữ liệu Những thay đổi

này bao gồm việc mã hóa dữ liệu nhạy cảm, cải thiện kiểm soát truy cập và thực hiện các

biện pháp bảo mật mạng mạnh mẽ hơn Tuy nhiên, vẫn còn nhiều lo ngại về khả năng bảo

vé thong tin ca nhan cua khach hang boi Equifax

4 Hậu quả

Vụ tấn công đã làm lộ thông tin của 143 triệu người tiêu dùng Mỹ (chiếm khoảng 44% dân số nước này ở thời điểm đó), bao gồm tên, số an sinh xã hội, ngày sinh, địa chỉ

và một số trường hợp còn có cả giấy phép lái xe Chúng cho phép hacker tiếp cận thông tin khách hàng ở các ngân hàng, công ty bảo hiểm và các doanh nghiệp khác Số thẻ tín dụng của khoảng 209.000 người tiêu dùng tại Mỹ và tài liệu tranh chấp của 182.000

Ngày đăng: 26/07/2024, 19:09

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN