Ngoài dữ liệu tín dụng và nhân khẩu học cũng như các dịch vụ dành cho doanh nghiệp, Equifax là một người bạn đồng hành trong việc bảo vệ khách hàng khỏi rủi ro gian lận và mất mát tài ch
Trang 1
DAI HOC QUOC GIA THANH PHO HO CHi MINH
TRUONG DAI HOC KINH TE - LUAT
TIỂU LUẬN GIỮA KỲ
CUỘC TẤN CÔNG VÀO HÃNG ĐÁNH GIÁ TÍN DỤNG EQUIFAX (2017)
Lớp học phần: 232KD2602
GVHD: ThS Nguyễn Quang Hưng
Nhóm sinh viên thực hiện:
1 V6 Thai Binh Nhi K224020244
3 Lé Hoai Bao K224020221
Tp Hồ Chí Minh, tháng 5 năm 2024
Trang 2
MUC LUC
LỜI CẢM ƠN 22c 22 HH2 021011210 22 2e i DANH MỤC HÌNH ẢNH 5c S2 1 E122 2121 22H11 rey ii Churong 1 GIỚI THIỆU - SE E251271E1121121121111121E11 E212 1
1 _ Tổng quan VỀ EqH[fix ST HH Hee 1
2 Cuộc tấn công vào hãng đánh giá tín dụng Equifax (2017) 2
Chương 2 PHÂN TÍCH VỤ VIỆC 5s 2s 2tr uờn 4
1 _ Đối tượng tham gia vào vụ viỆc à sách Hee 4
2 Vụ việc xảy ra khi Hào, ở đẪH? SH HH HH HH re 4
3 Diễn biến của vụ viỆc cc ng re 5
3.2 Equifax phat Hien khi HÀO” à c tSc HH KH TH HH HH HH tàu 6 3.3 Vụ việc có sự can thiệp của pháp luật khÔHg” à co sec cecreeieeo 6 3.4 Equjfax đã xứ lý như thỂ nào? -c c2 rrrree 7
4 HẬU QHẢ Q Q.Q nh HH HH He 7
6 Giải pháp đề xuất cho Equifax để vụ việc không xảy ra 9
6.1 Cải thiện hệ thống bảo miật ch ereea 9
JZA6Ô, l0ì0 0.5.) 1, all 10
6.4 Phản ứng nhanh chóng và mình bạch khi phát hiện sự cố 10 6.5 Ste dung cng nghé mG hda tien tit ccccccccecceeccsssesseeseessesssessesesesssen il 6.6 Kiểm soát quyền truy CGp dit LiQU ccceccceccceccesscessssssesseessessssessesssessveesse: il 6.7 Luôn đề cao cảnh giáC s21 re II
Chương3 KẾT LUẬN VÀ BÀI HỌC KINH NGHIỆM CHO DOANH NGHIỆP severest tevevetvetietevtevteveeveserevevveeeres 12
Do BRO MUGI ec eecccceeescse sees seessessvsssosesessssnnvsnineseesssssniseessssssnsuteessssnnnneees 12
2 Bài học kinh nghiệm cho các doanh nghiệp khác 13 2.1 Bảo mật dữ liệu là tru tiên hang đêh, S2 n2 2n Ha 13 2.2 Sứ dụng các biện pháp bảo mật tiên tiẾn s- cccsceerrereeeerrre 13 2.3 Xáy dựng chương trình phản ứng vì phạm dữ LIỆM sec 14
TAT LIEU THAM KHẢO -2 2 2222112221221221E2 221.112 erreee 15
Trang 3LOI CAM ON
Dau tién, nhom ching em xin gui 101 cảm ơn dén Truong Dai hoc Kinh tế- Luật đã
đưa bộ môn Đe dọa từ không gian mạng và toàn cầu hóa vào chương trình giảng dạy để chúng em có cơ hội tiếp thu kiến thức quý giá về an ninh mạng Đặc biệt, nhóm chúng em xin gửi lời cảm ơn chân thành nhất đến Th§ Nguyễn Quang Hưng đã truyền đạt cho chúng em kiến thức bằng tất cả tâm huyết Thời gian học bộ môn của thầy là khoảng thời gian tuyệt vời vì chúng em không chỉ được học lý thuyết mà còn nam bắt được những kinh nghiệm thực tế hữu ích Đây sẽ là hành trang để em có thể vững bước trên con
đường đã lựa chọn ban đầu
Bộ môn Đe dọa từ không gian mạng và toàn cầu hóa không chỉ bố ích mà còn có tính thực tế cao Tuy nhiên, do vốn kiến thức còn nhiều hạn chế và khả năng tiếp thu thực
tế còn nhiều bỡ ngỡ Nhóm chúng em đã cô gắng hết sức nhưng chắc chắn bài tiêu luận
khó có thể tránh khỏi những thiếu sót và nhiều chỗ còn chưa chính xác, kính mong thầy
xem xét và góp ý đê bài tiêu luận của nhóm chủng em được hoản thiện hơn
Nhóm chúng em xin chan thành cảm ơn!
Trang 4DANH MỤC HÌNH ẢNH
Hình 2.1: FBI công bố hình ảnh của các nghi phạm liên quan tới vụ tấn công mạng vào
| 901111) ãỒiIỒIỒđađđáđáađẳắẳầẳaaắáẳẳỖẮ
Hinh 22: Quá trình Equifax bị tấn công dữ liệu
Hình 2.3: Biểu đồ Truyền Trực tuyến Equifax
(EEX) 00 ccccccecececescseservveveeeverseee8
Hình 2.4: Mô tả phân tích chi tiết về Apache Struts 2 (CVE-2017-5638)
1
dụng
nam
Inc
Trang 5Chuong1 GIỚI THIỆU
1 Tổng quan về Equifax
Equifax Inc là cơ quan báo cáo tín dụng tiêu dùng ổa quốc gia của Mỹ Có trụ
sở chính tại Atlanta, Georgia; Equifax cùng với Experian! và TransUnion? được biết đến như "Ba ông lớn" trong ngành, tạo nên bức tranh toàn diện về thị trường báo cáo tín dụng tiêu dùng
Equifx chuyên thu thập thông tin cá nhân như số bảo hiểm xã hội, thông tin hoạt động ứng dụng và tông hợp thông tin về hơn 800 triệu người tiêu dùng cá nhân và hơn
88 triệu doanh nghiệp trên toàn thế giới Với cơ sở dữ liệu phong phú và chỉ tiết này, Equifax có thể cung cấp dịch vụ cho cả cá nhân và doanh nghiệp, giúp họ đưa ra các
quyết định đầu tư và chiến lược kinh doanh hiệu quả nhất dựa trên nền tảng dữ liệu vững
chắc
Ngoài dữ liệu tín dụng và nhân khẩu học cũng như các dịch vụ dành cho doanh
nghiệp, Equifax là một người bạn đồng hành trong việc bảo vệ khách hàng khỏi rủi ro gian lận và mất mát tài chính Với các dịch vụ giám sát tín dụng và ngăn chặn gian lận trực tiếp, Equifax đóng vai trò quan trọng trong việc bảo vệ sự an toàn tài chính của người tiêu dùng và doanh nghiệp
Với mạng lưới hoạt động hoặc đầu tư trải dài qua 24 quốc gia ở Bắc Mỹ, Trung và Nam Mỹ, Châu Âu và khu vực Châu Á Thái Bình Dương, Equifax không chỉ là một người tiên phong mà còn là một người đồng hành trong việc thúc đấy sự phát triển kinh tế toàn câu Với hơn 14.000 nhân viên trên toàn thế giới, Equifax có doanh thu hàng năm gần 5 ty
USD và được giao dịch trên Sở Giao dịch Chứng khoán New York với ký hiệu EFX
! Experian là công ty phân tích đữ liệu và báo cáo tín dụng tiêu đủng đa quốc gia
? TransUnion là cơ quan báo cáo tín dụng tiêu dùng của Mỹ
3 Sở Giao dịch Chứng khoán New York (NYSE, biệt đanh "The Big Board") là một sở giao dịch chứng
khoán của Mỹ tại Khu tải chính Lower Manhattan ở Thành phố New York
1
Trang 6Equifax - cái tên gắn liền với lĩnh vực đánh giá tín dụng uy tín tai Hoa Ky, là chia
khóa mở ra cánh cửa tới những quyết định sáng suốt trong kinh doanh và đời sống cá nhân Với sử mệnh quan trọng là cung cấp thông tin chính xác và đáng tin cậy, Equifax không chỉ đánh giá khả năng chỉ trả cho cả nhân mà còn đóng vai trò quan trọng trong việc hỗ trợ doanh nghiệp đưa ra quyết định đầu tư đúng đắn và hiệu quả
Equifax không chỉ là một công cụ hữu ích mà còn là một đối tác đáng tin cậy, góp phần thúc đây sự phát triển bền vững của nền kinh tế Equifax luôn đồng hành cùng khách hàng, nâng cao hiệu suất, thúc đây sự phát triển của nền kinh tế và mở ra cánh cửa cho những cơ hội mới và tiềm năng trong thị trường kinh doanh ngày nay
2 Cuộc tấn công vào hãng đánh giả tín dụng Equifax (2017)
Vào năm 2017, thế giới chứng kiến một trong những vụ tấn công mạng lớn và đáng lo ngại nhất khi Equifax, một trong những công ty đánh giá tín dụng hàng đầu toàn cầu, bị một cuộc tấn công mạng tàn bạo Sự việc này không chỉ gây ra rối loạn mạng lưới toàn cầu mà còn ảnh hưởng nghiêm trọng đến hàng triệu người dùng ở Mỹ và các quốc gia khác
Vụ tấn công mạng này đã làm lộ ra một lỗ hỗng bảo mật không lồ trong hệ thông của Equifax, dẫn đến việc thông tin cá nhân của L47 triệu khách hàng bi tiết lộ ra ngoài Tên, số CMND, địa chỉ, ngày sinh va tham chi ca sé Security Number (SSN)- 1a thông tin cực kỳ nhạy cảm về tài chính của mỗi cá nhân đã rơi vào tay kẻ xâm nhập Hậu quả
của sự việc nảy không chỉ dừng lại ở sự mat mát về dữ liệu mà còn gây ra một làn sóng
phẫn nộ và lo ngại về tình trạng bảo mật dữ liệu và quán lý rủi ro của các công ty đánh giá
tín dụng
Equifax đã phải đối mặt với sự chỉ trích gay gắt từ dư luận về cách họ xử lý vụ việc này Việc không đảm bảo an nĩnh đữ liệu cá nhân của khách hàng một cách mạnh mẽ
và không thông báo cho khách hàng về việc xâm nhập này một cách kịp thời và hiệu quả
đã khiến cho nhiều người mắt niềm tin vào khả năng của họ trong việc bảo vệ thông tin cá nhân của khách hàng Nhiều người đã chỉ trích việc Equifax không thực hiện các biện
2
Trang 7pháp an ninh thông tin cần thiết và điều này đã gây ra một làn sóng phẫn nộ từ cộng đồng mạng và cũng đã đặt nền móng cho một cuộc tranh luận sâu sắc về quản lý rủi ro và quy định an ninh thông tin trong các tô chức lớn và quốc tế
Trang 8Chương2 PHAN TICH VU VIEC
1 Đối tượng tham gia vào vụ việc
Hồ sơ cá nhân của 147,9 triệu người Mỹ cùng với 15,2 triệu công nhân Anh và khoảng 19.000 công dân Canada đã bị xâm phạm, tạo nên một vụ vi phạm quy mô lớn và đáng lo ngại đối với an ninh thông tin toàn cầu
Trong một cuộc điều tra, chính phủ Hoa Kỳ đưa ra cáo buộc rằng các thành viên của Quân đội Giải phóng Nhân dân Trung Quốc đã thực hiện cuộc tấn công vào hệ thống Equifax Tuy nhiên, việc này đã gây ra sự phản đối và bác bỏ từ phía chính quyền Trung
Quốc, tạo ra một cuộc tranh luận phức tạp về trách nhiệm và hậu quả của các bên liên
quan
CHINESE PLA MEMBERS,
54TH RESEARCH INSTITUTE
Computer Fraud; Economic Espionage; Wire Fraud; Conspiracy to Commit Computer Fraud; Conspiracy to Commit Economic Espionage; Conspiracy to Commit Wire Fraud
vai Ride
Hinh 2.1: FBI céng bé hinh ảnh của các nghỉ phạm liên quan tới vụ tấn công mạng vào công ty tín dụng Equifax
(Nguôn: Fox Pusiness)
2 Vụ việc xảy ra khi nào, ở đâu?
Vào ngày 10/3/2017, tại Equifax, công web lần đầu tiên bị xâm nhập thông qua lỗ hồng Struts, mở ra một khe nứt trong hệ thông bảo mật của Equifax Mặc dù sự xâm nhập
Trang 9này đã diễn ra, nhưng những kẻ tấn công dường như chưa làm được gì nhiều ngay lập tức
khiến cho Equifax chua thể nhận biết nguy cơ thực sự mà họ đang đối mặt
Trải qua một thời gian từ tháng 5 đến tháng 7 năm 2017, những kẻ tắn công đã truy
cập vào nhiều cơ sở dữ liệu Equifax Trong thời gian này, dữ liệu quan trọng của hàng
triệu khách hàng đã bị tiếp cận và tiềm ân nguy cơ bị lộ thông tin cá nhân
Tuy nhiên, đến ngày 8/9/2017, Equifax mới công khai vi phạm sau hơn một tháng điều tra nội bộ Khoảng thời gian này kéo dài hơn một tháng, thể hiện sự đáng lo ngại về
việc Equifñax đã mắt thời gian đáng kê để phát hiện và xử lý vấn đề Điều này cảng làm
tăng thêm tính phức tạp và nghiêm trọng của tình hình, đặc biệt là khi số lượng lớn thông tin cá nhân của khách hàng bị de doa bd sy vi phạm này
3 Diễn biến cúa vụ việc
3.7 Vụ việc xảy ra như thế nào?
Ban đầu, công ty đã chịu một cuộc tắn công thông qua một công web khiếu nại của người tiêu dùng, trong đó những kẻ tấn công sử dụng một lỗ hồng được biết đến rộng rãi mà lẽ ra phải được vá nhưng do lỗi trong quy trình nội bộ của Equifax nén
đã không thực hiện được
Những kẻ tấn công có thê di chuyển từ công web sang các máy chủ khác vì các
hệ thông không được phân chia đầy đủ và rõ ràng với nhau Chúng có khả năng tiếp cận thông tin tên người dùng và mật khẩu được lưu trữ dưới dạng văn bản thuần túy
Điều này tạo điêu kiện thuận lợi cho việc xâm nhập vào các hệ thông khác của công ty Đặc biệt đáng lo ngại, dữ liệu đã bị rút ra khỏi mạng ở dạng mã hóa nhưng
điều này không bị phát hiện trong nhiều tháng Lý do là Equifax đã không thực hiện
được việc gia hạn chứng chỉ mã hóa trên một trong những công cụ bảo mật nội bộ
của họ Điều nảy đã tạo ra một khoảng trống an ninh lớn, cho phép kẻ tấn công truy cập dữ liệu quan trọng mà không gặp sự can thiệp hoặc phát hiện từ phía công ty
Trang 10Crisis Management
tes
i
Sept
Hình 2.2: Quá trình Equifax bi tan cong dữ liệu năm 2017
(Nguon: “We are all Equifax,” bai ndi chuyén vé RSA cua Derek Weeks vao nam 2018)
3.2 Equifax phat hién khi nao?
Equtfax phát hiện vi phạm đữ liệu vào ngày 29/7/2017, nhưng không thông báo cho khách hàng cho đến ngày 8/9/2017 Equifax đã không công khai hành vi vi phạm cho
đến hơn một tháng sau khi họ phát hiện ra nó
Trong diễn biến liên quan, ba lãnh đạo cấp cao của Equifax đã bán một lượng cô phiếu công ty có giá trị tong cong 1,8 triệu USD trong 4 ngày sau khi biết tin về vụ rò ri
dữ liệu và trước khi thông tin đó chính thức được công khai” Việc bán cô phiếu Của các
giám đốc điều hành hàng đầu vào khoảng thời gian này dấy lên cáo buộc về giao dịch nội
gián
Tuy nhiên, người phát ngôn của Equifax, Ines Gutzmer, cho biết các vị lãnh đạo
nảy "đã không biệt về vụ tân công mạng tại thời điệm họ bán cô phiêu của mình” 3.3 Vụ việc có sự can thiệp của pháp luật không?
Vào ngày 22/7/2019, Equifax đã đồng ý giải quyết với Ủy ban Thương mại Liên
bang, Cục Bảo vệ Tài chính Người tiêu dùng, 48 tiêu bang của Hoa Kỳ, Washington, D.C
4 Theo hang tin Bloomberg
Trang 11va Puerto Rico dé giảm bớt thiệt hại cho các cá nhân bi ảnh hưởng và thực hiện các thay
đổi về tô chức nhằm tránh những vi phạm tương tự trong tương lai
Tổng chỉ phí dàn xếp bao gồm 300 triệu USD dành cho quỹ bồi thường nạn nhân,
175 triệu USD dành cho các tiêu bang và vùng lãnh thô trong thỏa thuận và 100 triệu
USD dành cho Cục Bảo vệ Tài chính Người tiêu dùng tiền phạt
Tại Vương quốc Anh, Cơ quan Quán lý Tài chính đã áp dụng hình phạt tài chính trị giá 11.164.400 bảng Anh vì không báo vệ thông tin của người tiêu dùng Vương quốc Anh
Sau khi kết thúc vụ kiện, Equifax được yêu câu chỉ ít nhất 1,38 tỷ USD để giải
quyết khiêu nại của người tiêu dùng
3.4 Equifax da xte ly như thế nào?
Equifax cung cấp dịch vụ giám sát tín dụng miễn phí cho những người bị ảnh
hưởng bởi vi phạm đữ liệu Tuy nhiên, dịch vụ này đã bị phàn nàn là khó sử dụng và
không hiệu quả Nhiều khách hàng gặp khó khăn trong việc đăng ký dịch vụ hoặc nhận
thông báo về các hoạt động gian lận trên tài khoản tín dụng của họ
Equifax đã thực hiện một số thay đổi để cải thiện bảo mật dữ liệu Những thay đổi
nay bao gom việc mã hóa đữ liệu nhạy cảm, cải thiện kiểm soát truy cập và thực hiện các
biện pháp bảo mật mạng mạnh mẽ hơn Tuy nhiên, vẫn còn nhiều lo ngại về khá năng bảo
vệ thông tin cá nhân cua khach hang boi Equifax
4 Hau qua
Vụ tấn công đã làm lộ thông tin cha 143 triệu người tiêu dùng Mỹ (chiếm khoáng 44% dân số nước này ở thời điểm đó), bao gồm tên, số an sinh xã hội, ngày sinh, địa chỉ
và một số trường hợp còn có cá giấy phép lái xe Chúng cho phép hacker tiếp cận thông tin khách hàng ở các ngân hàng, công ty bảo hiểm và các doanh nghiệp khác Số thẻ tín dụng của khoảng 209.000 người tiêu dùng tại Mỹ và tài liệu tranh chấp của 182.000