DAI HOC QUOC GIA THANH PHO HO CHI MINH TRUONG DAI HOC KINH TE - LUAT
Tp Hồ Chí Minh, tháng 5 năm 2024
Trang 2Chương 2 PHÂN TÍCH VỤ VIỆC - 2s ST E1 H cHgH HH Heo 3
1 Đối tượng tham gia vào vụ viỆc ác ch ng euằ 3 2 Vụ việc xảy ra khi Hào, ở đẪH? TS SH HH He 3 3 Diễn biến của vụ viỆc c TT re 4
3.1 Vụ việc xảy ra như 1 TPRRREEERRRR.a 4
3.2 kquifax phái hiện khi HÀO” à ST ST HH HH sgk ke 5 3.3 Vụ việc có sự can thiệp của pháp luật khÔHg? à cành 5
(Lan H 6 T1 na 8 6 Giải pháp đề xuất cho Equifax để vụ việc không xảy ra 8
6.1 Cải thiện hệ thống bảo mátt ch na §
6.2 Quản Ïÿ rủi ro hẲiỆU QUẢ Q G Q nn TH KH TH HH HH 9
6.3 Nâng cao nhận thức về an ninh HH LH nh nà HH yêu 9
6.4 Phản ứng nhanh chóng và mình bạch khi phát hiện sự cố 9 6.5 Sử dụng công nghệ mã hóa tiên tIỄ ằcccccnrehenreryn 10 6.6 Kiểm soát quyên truy cập đữ liệu chan rrrrug 10 6.7 Luôn đề cao cảnh giác c1 12t 111221 rA 10
Chương3 KẾT LUẬN VÀ BÀI HỌC KINH NGHIỆM CHO DOANH NGHIỆP 22T]
1 KẾtluẬH ì.ì Hee 11
2 Bài học kimh nghiệm cho các doanh nghiệp khúc 12 2.1 Bảo mật dữ liệu là tru tiên hang đhM S5 S1 112212 Hy 12 2.2 Sứ dụng các biện pháp bảo mật tiên tIỆN Sài 12 2.3 Xây dựng chương trình phản ứng vì phạm dit LIỆU cc cS 13
TAT LIEU THAM KHẢO 52 S 212E12115212112112111121 11c rrye 14
Trang 3LỜI CẢM ƠN
Đầu tiên, nhóm chúng em xin gửi lời cảm ơn đến Trường Đại học Kinh tế- Luật đã
đưa bộ môn Đe dọa từ không gian mạng và toàn cầu hóa vào chương trình giảng dạy để chúng em có cơ hội tiếp thu kiến thức quý giá về an ninh mạng Đặc biệt, nhóm chúng em xin gửi lời cảm ơn chân thành nhất đến Th§ Nguyễn Quang Hưng đã truyền đạt cho chúng em kiến thức bằng tất cả tâm huyết Thời gian học bộ môn của thầy là khoảng thời gian tuyệt vời vì chúng em không chỉ được học lý thuyết mà còn nắm bắt được những kinh nghiệm thực tế hữu ích Đây sẽ là hành trang để em có thể vững bước trên con
đường đã lựa chọn ban đầu
Bộ môn Đe dọa từ không gian mạng và toàn cầu hóa không chỉ bỗ ích mà còn có tính thực tế cao Tuy nhiên, do vốn kiến thức còn nhiều hạn chế và khả năng tiếp thu thực tế còn nhiều bỡ ngỡ Nhóm chúng em đã cô gắng hết sức nhưng chắc chắn bài tiêu luận
khó có thê tránh khỏi những thiểu sót và nhiều chỗ còn chưa chính xác, kính mong thầy
xem xét và góp ý đề bài tiêu luận của nhóm chúng em được hoàn thiện hơn Nhom chung em xin chan thành cảm ơn!
Trang 4DANH MỤC HÌNH ẢNH
Hình 2.1: FBI công bố hình ảnh của các nghi phạm liên quan tới vụ tấn công mạng vào công ty tín dụng EQquIfax 22 c2 2n 221 ce nàn nh nh nh se
5
9
Hình 24: Mô tả phân tích chỉ tiết vé Apache Struts 2 (CVE-2017-5638) 10
1
Trang 5Chương 1 GIỚI THIỆU
1 Tổng quan vé Equifax
Equifax Inc la co quan bao cao tin dung tiéu ding đa quốc gia của Mỹ Có trụ
sé chinh tai Atlanta, Georgia; Equifax ctmg voi Experian! va TransUnion? duoc biét
đến như "Ba ông lớn" trong ngành, tạo nên bức tranh toàn diện về thị trường bao cao tín dụng tiêu dùng
Equifax chuyén thu thap thông tin cá nhân như số bảo hiểm xã hội, thông tin hoạt động ứng dụng và tổng hợp thông tin về hơn 800 triệu người tiêu dùng cá nhân và hơn 88 triệu doanh nghiệp trên toàn thê giới Với cơ sở dữ liệu phong phú và chỉ tiết nay, Equifax có thể cung cấp dịch vụ cho cả cá nhân và doanh nghiệp, giúp họ đưa ra các
quyết định đầu tư và chiến lược kinh doanh hiệu quả nhất dựa trên nền tảng đữ liệu vững
chac
Ngoài dữ liệu tín dụng và nhân khẩu học cũng như các dịch vụ dành cho doanh
nghiệp, Equifax là một người bạn đồng hành trong việc bảo vệ khách hàng khỏi rủi ro gian lận và mất mát tài chính Với các dịch vụ giám sát tín dụng và ngăn chặn gian lận trực tiếp, Equifax đóng vai trò quan trọng trong việc bảo vệ sự an toàn tải chính của người tiêu dùng và doanh nghiệp
Với mạng lưới hoạt động hoặc đầu tư trải dài qua 24 quốc gia ở Bắc Mỹ, Trung và Nam Mỹ, Châu Âu và khu vực Châu Á Thái Bình Dương, Equifax không chỉ là một người tiên phong mà còn là một người đồng hành trong việc thúc đây sự phát triển kinh tế toàn
cầu Với hơn 14.000 nhân viên trên toàn thế giới, Equifax có doanh thu hàng năm gần 5 tỷ
USD va được giao dịch trên Sở Giao dịch Chứng khoán New York với ký hiệu EEX
! Experian là công ty phân tích đữ liệu và báo cáo tín dụng tiêu dùng đa quốc gia
? 'TransUmion là cơ quan báo cáo tín dụng tiêu dùng của Mỹ
Sở Giao dịch Chứng khoán New York (NYSE, biệt danh "The Big Board”) là một sở giao dịch chứng khoán của Mỹ tại Khu tải chính Lower Manhattan ở Thành phố New York
1
Trang 6Equifax - cái tên gắn liền với lĩnh vực đánh giá tín dụng uy tín tại Hoa Kỳ, là chìa khóa mở ra cánh cửa tới những quyết định sáng suốt trong kinh doanh và đời sống cá nhân Với sứ mệnh quan trọng là cung cấp thông tin chính xác và đáng tin cậy, Equifax không chỉ đánh giá khả năng chỉ trả cho cá nhân mà còn đóng vai trò quan trong trong việc hỗ trợ doanh nghiệp đưa ra quyết định đầu tư đúng đắn và hiệu quả
Equifax không chỉ là một công cụ hữu ích mà còn là một đối tác đáng tin cậy, góp phân thúc đây sự phát triển bền vững của nền kinh tế Equifax luôn đồng hành cùng khách
hàng, nâng cao hiệu suất, thúc đây sự phát triển của nền kinh tế và mở ra cánh cửa cho
những cơ hội mới và tiềm năng trong thị trường kinh doanh ngày nay 2 Cuộc tấn công vào hãng đánh giả tín dụng Equifax (2017)
Vào năm 2017, thế giới chứng kiến một trong những vụ tấn công mạng lớn và đáng lo ngại nhất khi Equifax, một trong những công ty đánh giá tín dụng hàng đầu toàn cau, bị một cuộc tấn công mạng tàn bạo Sự việc này không chỉ gây ra rối loạn mạng lưới toàn cầu mà còn ảnh hưởng nghiêm trọng đến hàng triệu người dùng ở Mỹ và các quốc gia khác
Vụ tấn công mạng này đã làm lộ ra một lỗ hồng bảo mật không lồ trong hệ thống của Equifax, dẫn đến việc thông tm cá nhân của 147 triệu khách hàng bị tiết lộ ra ngoài Tên, số CMND, địa chí, ngày sinh và thậm chí cả sô Security Number (SSN)- là thông tin cực kỳ nhạy cảm về tài chính của mỗi cá nhân đã rơi vào tay kẻ xâm nhập Hậu quả của sự việc này không chỉ dừng lại ở sự mất mát về dữ liệu mà còn gây ra một làn sóng phẫn nộ và lo ngại về tình trạng bảo mật dữ liệu và quản lý rủi ro của các công ty đánh giá tín dụng
Equifax đã phải đối mặt với sự chỉ trích gay gắt từ dư luận về cách họ xử lý vụ việc này Việc không đảm bảo an ninh dữ liệu cá nhân của khách hàng một cách mạnh mẽ và không thông báo cho khách hàng về việc xâm nhập này một cách kịp thời và hiệu quả đã khiến cho nhiều người mất niềm tin vào khả năng của họ trong việc bảo vệ thông tin ca nhân của khách hàng Nhiều người đã chỉ trích việc Equifax không thực hiện các biện
2
Trang 7pháp an ninh thông tin cần thiết và điều này đã gây ra một làn sóng phẫn nộ từ cộng đồng mạng và cũng đã đặt nền móng cho một cuộc tranh luận sâu sắc về quản lý rủi ro và quy định an ninh thông tin trong các tô chức lớn và quốc tế.
Trang 8Chương 2 PHẦN TÍCH VỤ VIỆC
1 Đối tượng tham gia vào vụ việc
Hồ sơ cá nhân của 147,9 triệu người Mỹ cùng với 5,2 triệu công nhân Anh và khoảng 19.000 công dân Canada đã bị xâm phạm, tạo nên một vụ vĩ phạm quy mô lớn và đáng lo ngại đối với an ninh thông tin toàn cầu
Trong một cuộc điều tra, chính phủ Hoa Kỳ đưa ra cáo buộc rằng các thành viên của Quân đội Giải phóng Nhân dân Trung Quốc đã thực hiện cuộc tấn công vào hệ thông Equifax Tuy nhiên, việc này đã gây ra sự phản đối và bác bỏ từ phía chính quyền Trung
Quốc, tạo ra một cuộc tranh luận phức tạp về trách nhiệm và hậu quả của các bên liên
quan
CHINESE PLA MEMBERS, 54TH RESEARCH INSTITUTE
Computer Fraud; Economic Espionage; Wire Fraud; Conspiracy to Commit Computer
Fraud; Conspiracy to Commit Economic Espionage; Conspiracy to Commit Wire Fraud Agi he Wang Qian Xu Ke Liu Lei Wu Zhiyong
Hình 2.1: FBI công bố hình ảnh của các nghỉ phạm liên quan tới vụ tấn công mạng vào công ty tín dụng Equifax
(Nguôn: Fox Business)
2 Vu việc xảy ra khi nào, ở đâu?
Vào ngày 10/3/2017, tại Equifax, công web lần đầu tiên bị xâm nhập thông qua lỗ hồng Struts, mở ra một khe nứt trong hệ thống bảo mật của Equifax Mặc dù sự xâm nhập
4
Trang 9này đã diễn ra, nhưng những kẻ tấn công dường như chưa làm được gì nhiều ngay lập tức
khiến cho Equifax chua thể nhận biết nguy cơ thực sự mà họ đang đối mặt
Trải qua một thời gian từ tháng 5 đến tháng 7 năm 2017, những kẻ tắn công đã truy
cập vào nhiều cơ sở dữ liệu Equifax Trong thời gian này, dữ liệu quan trọng của hàng
triệu khách hàng đã bị tiếp cận và tiềm ân nguy cơ bị lộ thông tin cá nhân
Tuy nhiên, đến ngày 8/9/2017, Equifax mới công khai vi phạm sau hơn một tháng điều tra nội bộ Khoảng thời gian này kéo dải hơn một tháng, thể hiện sự đáng lo ngại về
việc Equifax đã mắt thời gian đáng kể để phát hiện và xử lý vấn đề Điều này càng làm
tăng thêm tính phức tạp và nghiêm trọng của tình hình, đặc biệt là khi số lượng lớn thông tin cá nhân của khách hàng bị de dọa bởi sự vĩ phạm này
3 Diễn biến của vụ việc
3.7 Vụ việc xảy ra như thế nào?
Ban đầu, công ty đã chịu một cuộc tấn công thông qua một công web khiếu nại của người tiêu dùng, trong đó những kẻ tấn công sử dụng một lỗ hồng được biết đến rộng rãi mà lẽ ra phải được vá nhưng do lỗi trong quy trình nội bộ của Equifax nên
đã không thực hiện được
Những kẻ tấn công có thể di chuyển từ công web sang các máy chủ khác vì các hệ thống không được phân chia đầy đủ và rõ ràng với nhau Chúng có khả năng tiếp cận thông tin tên người dùng và mật khâu được lưu trữ dưới dạng văn bản thuần túy
Điều này tạo điêu kiện thuận lợi cho việc xâm nhập vào các hệ thông khác của công ty Đặc biệt đáng lo ngại, dữ liệu đã bị rút ra khỏi mạng ở dạng mã hóa nhưng
điều này không bị phát hiện trong nhiều tháng Lý do là Equifax đã không thực hiện
được việc gia hạn chứng chỉ mã hóa trên một trong những công cụ bảo mật nội bộ
của họ Điều này đã tạo ra một khoảng trống an ninh lớn, cho phép kẻ tấn công truy cập dữ liệu quan trọng mà không gặp sự can thiệp hoặc phát hiện từ phía công ty.
Trang 10200) Opportunity to Take Corrective Action a ẫ Crisis Management
Con
s
Hình 2.2: Quá trình Equifax bị tắn công dữ liệu năm 2017
(Nguon: “We are all Equifax,” bai noi chuyén vé RSA cua Derek Weeks vao nam 2018)
3.2 Equifax phat hién khi nao?
Equifax phat hién vi pham di ligu vào ngày 29/7/2017, nhưng không thông báo cho khách hàng cho đến ngày 8/9/2017 Equifax đã không công khai hành vi vi phạm cho
đến hơn một tháng sau khi họ phát hiện ra nó
Trong diễn biến liên quan, ba lãnh đạo cấp cao của Equifax đã bán một lượng cỗ phiếu công ty có giá trị tông cộng 1.8 triệu USD trong 4 ngày sau khi biết tin về vụ rò ri
đữ liệu và trước khi thông tin đó chính thức được công khai” Việc bán cô phiếu của các
giám đốc điều hành hàng đầu vào khoảng thời gian này dấy lên cáo buộc về giao dịch nội
gián
Tuy nhiên, người phát ngôn của Equifax, Ines Gutzmer, cho biết các vị lãnh đạo
này "đã không biết về vụ tân công mạng tại thời điệm họ bán cô phiêu của mình” 3.3 Vụ việc có sự can thiệp của pháp luật không?
Vào ngày 22/7/2019, Equifax đã đồng ý giải quyết với Ủy ban Thương mại Liên
bang, Cục Bảo vệ Tài chính Người tiêu dùng, 48 tiểu bang của Hoa Kỳ, Washington, D.C
* Theo hãng tin Bloomberg.
Trang 11va Puerto Rico dé giảm bớt thiệt hại cho các cá nhân bị ảnh hưởng và thực hiện các thay
đổi về tô chức nhằm tránh những vi phạm tương tự trong tương lai
Tổng chi phí dàn xếp bao gồm 300 triệu USD dành cho quỹ bồi thường nạn nhân,
175 triệu USD dành cho các tiểu bang và vùng lãnh thổ trong thỏa thuận và 100 triệu
USD dành cho Cục Bảo vệ Tài chính Người tiêu dùng tiền phạt
Tại Vương quốc Anh, Cơ quan Quản lý Tài chính đã áp dụng hình phạt tài chính trị giá 11.164.400 bảng Anh vì không báo vệ thông tin của người tiêu dùng Vương quốc Anh
Sau khi kết thúc vụ kiện, Equifax được yêu cầu chỉ ít nhất 1,38 ty USD để giải
quyết khiếu nại của người tiêu dùng 3.4 Equifax đã xử lý như thế nào?
Equifax cung cấp dịch vụ giám sát tín dụng miễn phí cho những người bị ảnh
hưởng bởi vị phạm dữ liệu Tuy nhiên, dịch vụ này đã bị phản nàn là khó sử dụng và
không hiệu quả Nhiều khách hàng gặp khó khăn trong việc đăng ký dịch vụ hoặc nhận
thông báo về các hoạt động gian lận trên tài khoản tín dụng của họ
Equifax đã thực hiện một số thay đối dé cai thiện bảo mật dữ liệu Những thay đổi
này bao gồm việc mã hóa dữ liệu nhạy cảm, cải thiện kiểm soát truy cập và thực hiện các
biện pháp bảo mật mạng mạnh mẽ hơn Tuy nhiên, vẫn còn nhiều lo ngại về khả năng bảo vé thong tin ca nhan cua khach hang boi Equifax
4 Hậu quả
Vụ tấn công đã làm lộ thông tin của 143 triệu người tiêu dùng Mỹ (chiếm khoảng 44% dân số nước này ở thời điểm đó), bao gồm tên, số an sinh xã hội, ngày sinh, địa chỉ và một số trường hợp còn có cả giấy phép lái xe Chúng cho phép hacker tiếp cận thông tin khách hàng ở các ngân hàng, công ty bảo hiểm và các doanh nghiệp khác Số thẻ tín dụng của khoảng 209.000 người tiêu dùng tại Mỹ và tài liệu tranh chấp của 182.000