Chúng ta nên thực hiện những biện pháp nào để ngăn chặn rò rỉ dữ liệu?

Được viết bởi: Certik

Trong xã hội ngày nay, cho dù chúng ta làm việc hay sinh sống, Internet từ lâu đã không thể tách rời khỏi cuộc sống của mọi người. Bạn không cần phải mang theo ví nhưng phải mang theo điện thoại di động khi ra ngoài, không có thẻ vật lý để thanh toán và ngay cả những người ăn xin trên đường phố cũng bắt đầu sử dụng Internet để chuyển và thu tiền bằng mã QR.

Không khó để hình dung rằng hầu hết các mối đe dọa mà các cá nhân, doanh nghiệp, tổ chức và khách hàng của họ hiện đang phải đối mặt thực sự đến từ các lỗ hổng và các cuộc tấn công mạng. Ngày nay, quyền riêng tư dữ liệu và quyền riêng tư cá nhân mà mọi người quan tâm đã trở nên vô cùng quan trọng. Có vô số trường hợp mất dữ liệu nhạy cảm do lỗ hổng hàng năm.

Nhiều sự cố bảo mật lớn đã xảy ra trong lịch sử của Web3.0, từ việc mất khóa riêng của các sàn giao dịch tập trung cho đến việc đánh cắp dữ liệu cá nhân của nhà đầu tư. Và dữ liệu đó có thể tồn tại trong nhiều năm trên các diễn đàn hack trực tuyến và chợ đen, nghĩa là vi phạm dữ liệu sẽ khiến những người dùng bị ảnh hưởng gặp rủi ro trong một thời gian dài.

Phân tích của CertiK đã xem xét 74 sự cố bảo mật xảy ra trong các thực thể Web 3.0 tập trung. 23 sự cố trong số này dẫn đến nguy cơ mất dữ liệu cao trong thời gian dài và trong số 23 sự cố đó, 10 gói được phát hiện là vẫn có sẵn để mua trên các diễn đàn web đen.

Một loạt các chiến dịch thực thi pháp luật chống lại các diễn đàn của tin tặc có thể ngăn chặn việc trích xuất một số dữ liệu nhất định, nhưng xét cho cùng thì các biện pháp đó chỉ mang tính chất tạm thời.

Bài viết này sẽ hướng dẫn bạn: phân loại các sự cố rò rỉ dữ liệu Web3.0 và những biện pháp chúng ta nên thực hiện để bảo vệ an toàn dữ liệu của mình.

lý lịch

Việc hack, khai thác, mã độc tống tiền và tất cả các mối đe dọa an ninh mạng đang gia tăng về quy mô và mức độ nghiêm trọng. Hệ sinh thái Web 3.0 độc đáo ở chỗ nó cung cấp cho các tác nhân độc hại nhiều vectơ tấn công không có trong các công nghệ khác, bao gồm các lỗ hổng trong hợp đồng thông minh và các kỹ thuật lừa đảo mới.

Tuy nhiên, câu chuyện về sự cố bảo mật Web 3.0 có liên quan chặt chẽ đến tình hình trong các ngành công nghiệp khác. Các khu vực không phải Web 3.0 bỏ lỡ các loại lỗ hổng bảo mật giống như các dự án tập trung và các công ty không giải quyết được.

Chúng tôi muốn xem xét kỹ hơn lịch sử sự cố an ninh mạng so với các mục tiêu của Web 3.0 và đánh giá xem các sự cố trong quá khứ có gây rủi ro liên tục cho các thành viên cộng đồng ngày nay hay không.

Để làm được điều này, cần phải phân tích cẩn thận về sự khác biệt giữa các sự cố bảo mật trong báo cáo này với các lỗ hổng do khai thác các giao thức hợp đồng thông minh gây ra.

Chúng tôi đã nghiên cứu nhiều sự cố chống lại các công ty Web3.0 kể từ năm 2011 và chúng có thể được tạm chia thành hai loại:

• Khai thác độc hại giao thức: Các sự kiện sử dụng mã hợp đồng thông minh để thu được lợi ích kinh tế
• Lỗ hổng: Sự cố trong đó kẻ tấn công xâm phạm mạng nội bộ của tổ chức mục tiêu và sử dụng các đặc quyền có được để đánh cắp dữ liệu hoặc tiền của công ty

Có một số khác biệt quan trọng giữa hai loại về rủi ro ngắn hạn và dài hạn.

Các hoạt động khai thác giao thức độc hại xảy ra trong một khung thời gian xác định, bắt đầu khi kẻ tấn công thực hiện hoạt động khai thác và kết thúc khi chúng cạn kiệt tất cả số tiền có sẵn, hết xăng hoặc khiến dự án mục tiêu phải chấm dứt. Một số sự kiện này có thể kéo dài hàng giờ hoặc hàng ngày, với các cuộc đàm phán sau sự kiện tiếp tục kéo dài khung thời gian này và cũng có trường hợp các dự án bị đóng cửa ngay sau đó. Tuy nhiên, điều quan trọng là các cuộc tấn công này có các nút bắt đầu và kết thúc rõ ràng.

Ngược lại, các lỗ hổng được coi là sự cố liên tục (kẻ tấn công giành được quyền truy cập vào mạng và ở đó trong một thời gian dài). Vi phạm thường được định nghĩa là hành vi đánh cắp dữ liệu được khai thác trong một cuộc tấn công hoặc sau đó được bán trên darknet hoặc diễn đàn trực tuyến.

Vi phạm mạng cũng có thể dẫn đến tổn thất tài chính nghiêm trọng. Hầu hết các tổ chức Web 3.0 là các tổ chức tài chính có dòng tiền cao, điều này khiến họ trở thành mục tiêu tự nhiên của tin tặc.

Vi phạm dữ liệu có thể rất nghiêm trọng và rủi ro có thể kéo dài trong nhiều năm—đặc biệt nếu thông tin nhận dạng cá nhân (PII) bị mất trong quá trình vi phạm.

Với suy nghĩ này, chúng tôi đã thu thập mẫu gồm 74 sự cố trước đây mà chúng tôi phân loại là các vi phạm gây rủi ro liên tục cho các thành viên cộng đồng (chỉ bao gồm các sự cố trong đó mạng nội bộ của công ty bị xâm phạm và không bao gồm dữ liệu về khai thác giao thức).

Chúng tôi tin rằng cần phải phân biệt giữa các sự cố làm mất dữ liệu nhạy cảm và các sự cố chỉ làm mất tiền. Để đánh giá tốt hơn rủi ro đang diễn ra của những vi phạm này, chúng tôi sẽ nêu bật những vi phạm có dữ liệu vẫn có sẵn để bán hoặc có sẵn miễn phí trên darknet hoặc các khu vực khác của clearnet và đưa ra suy nghĩ của chúng tôi về khả năng truy cập của các nền tảng này.

Vi phạm dữ liệu & Mất tiền

Để đánh giá rủi ro đang diễn ra liên quan đến các sự kiện này, chúng tôi đã nhóm chúng thành các sự kiện được xác định sau:

1. Các sự kiện mất dữ liệu về mặt lý thuyết có thể khôi phục được, bao gồm PII và cơ sở dữ liệu nội bộ, v.v.
2. Trong trường hợp mất tiền hoặc dữ liệu và dữ liệu không thể lấy lại được nữa.

Loại sự cố mất dữ liệu không thể khôi phục thứ hai chủ yếu bao gồm các vi phạm chỉ dẫn đến mất tiền hoặc khóa riêng. Trong những trường hợp như vậy, số tiền bị mất thường không thể lấy lại được.

Sự kiện bất thường bao gồm những sự kiện mà dữ liệu bị đánh cắp không bao giờ được tiết lộ, trả lại hoặc sử dụng cho các mục đích khác. Ví dụ: vào tháng 6 năm 2020, sàn giao dịch tập trung của Nhật Bản Coincheck đã bị tấn công và PII của hơn 200 khách hàng đã rơi vào tay những kẻ tấn công. Những kẻ tấn công đã xâm phạm mạng của Coincheck và sau đó gửi email lừa đảo từ địa chỉ email nội bộ của công ty, yêu cầu PII từ khách hàng. Nhưng không có cơ sở dữ liệu cụ thể nào bị mất trong sự cố này và dữ liệu bị mất chỉ là dữ liệu của những khách hàng đã trả lời email.

Trong một sự cố khác vào tháng 6 năm 2020, sàn giao dịch tập trung Coinsquare của Canada cũng gặp sự cố vi phạm khiến 5.000 địa chỉ email, số điện thoại và địa chỉ nhà riêng bị rò rỉ và thất lạc.

Sau khi nhảy qua lại giữa Coinsquare, những kẻ tấn công cho biết chúng sẽ sử dụng dữ liệu trong các cuộc tấn công tráo đổi SIM, nhưng sẽ không cố gắng bán chúng để "câu cá trong thời gian dài". Loại sự kiện này cũng được xếp vào loại sự kiện thứ hai không thể khắc phục được.

Trong số 74 sự cố mà chúng tôi đã xác định, 23 sự cố có thể được phân loại là sự cố có thể truy xuất dữ liệu, tương đương khoảng 31%. 51 sự cố còn lại là những sự cố bất thường được mô tả ở trên hoặc những sự cố chỉ đơn giản dẫn đến mất tiền.

Biểu đồ: Dữ liệu có thể truy xuất và không thể truy xuất đối với các sự kiện xảy ra từ năm 2011 đến 2023 (Nguồn: CertiK)

Chúng ta có thể thấy một vài điểm:

① Các sự kiện dữ liệu có khả năng được truy xuất hoặc khôi phục cao đã tăng đáng kể sau năm 2019. Điều này tỷ lệ thuận với sự gia tăng các cuộc tấn công hack và sự cố rò rỉ dữ liệu trong các ngành công nghiệp khác nhau trong thời kỳ dịch bệnh.

② Sự gia tăng viện trợ của chính phủ trong giai đoạn này, một số trong số đó đã được đưa vào hệ sinh thái Web3.0, cùng với thị trường tăng giá vào năm 2021, có thể mang đến cho những kẻ tấn công nhiều cơ hội hơn để bán dữ liệu và mã độc tống tiền.

**Dữ liệu bị đánh cắp đã đi đâu? **

Darknet và Telegram

Dữ liệu bị mất thường được bán hoặc bán phá giá trên web đen (trang web .onion) hoặc mạng rõ ràng. Nếu dữ liệu được cho là có một số giá trị kinh tế (PII và các dữ liệu khác được sử dụng để lừa đảo), thì nó sẽ xuất hiện thường xuyên trên thị trường darknet hoặc thậm chí các kênh Telegram. Nếu yêu cầu của kẻ tấn công (phần mềm tống tiền) không được đáp ứng, thì dữ liệu chỉ đơn giản là bị đổ vào các trang dán hoặc diễn đàn của tin tặc.

** Nơi kết thúc dữ liệu xác định rủi ro dài hạn mà dữ liệu gây ra cho chủ sở hữu ban đầu. **

So với dữ liệu chỉ có thể mua được trên dark web, dữ liệu được bán trên các diễn đàn của hacker với chi phí rất thấp hoặc miễn phí có nguy cơ bị rò rỉ cao hơn.

Khả năng truy cập liên tục của các trang web như vậy cũng "giúp" giảm nguy cơ vi phạm dữ liệu lâu dài của nạn nhân. Dưới đây, chúng tôi xem xét kỹ hơn doanh số bán dữ liệu Web 3.0 được tìm thấy ở những địa điểm này.

Diễn đàn trực tuyến

Trong những năm qua, các diễn đàn hack trực tuyến đã mọc lên. Với sự gia tăng các sự cố về dữ liệu có thể truy xuất sau năm 2019, chỉ một số diễn đàn xứng đáng được coi là nghiên cứu điển hình trong bối cảnh này. Các diễn đàn này bao gồm Diễn đàn đột kích, Diễn đàn vi phạm và Diễn đàn đáng sợ.

Nhiều vi phạm đã chọn diễn đàn Raid là một trong những diễn đàn ưa thích để bán phá giá và bán dữ liệu vi phạm. Diễn đàn Đột kích bắt đầu vào năm 2015 và đã hoạt động trên mạng rõ ràng trong nhiều năm. Tuy nhiên, vào năm 2022, miền Raid Forum đã bị cơ quan thực thi pháp luật Hoa Kỳ hợp tác với Europol tịch thu.

Hình ảnh: Cơ quan thực thi pháp luật Hoa Kỳ và Châu Âu gỡ bỏ thông báo trên trang web Diễn đàn Đột Kích

Được thành lập vào năm 2015, Dread Forum dường như vẫn hoạt động cho đến cuối năm 2022, mặc dù có nhiều dấu hiệu trên mạng xã hội cho thấy nó cũng có thể không còn tồn tại. Chúng tôi đã thử truy cập các phiên bản darknet (.onion) và IP2 của diễn đàn này, nhưng những phiên bản này dường như cũng bị lỗi.

Diễn đàn Đột kích đã hoạt động ngay sau khi diễn đàn Đột kích đóng cửa.

Các diễn đàn Vi phạm cung cấp một nơi ở hợp lý cho những người dùng bị "di dời" do đóng cửa các diễn đàn Đột kích.

Nó có giao diện tương tự như Diễn đàn Đột kích, một hệ thống tính điểm danh tiếng của thành viên và hoạt động cao, với người dùng đạt 60% cơ sở người dùng ban đầu của Diễn đàn Đột kích (khoảng 550.000 người dùng). Chỉ một năm sau, vào tháng 3 năm 2023, FBI đã bắt giữ Conor Brian Fitzpatrick, người điều hành diễn đàn Vi phạm và sau một làn sóng kịch tính nội bộ về việc triển khai lại trang web, trang web đã bị sập.

Chưa đầy một tuần sau khi diễn đàn Breach bị sập, một sự thay thế khác đã xuất hiện, được cho là do một hacker cũ tự xưng là Pirata điều hành. Nhưng nó chỉ có 161 thành viên, điều đó có nghĩa là lần này người thay thế không hấp thụ được những người chơi cũ của diễn đàn.

Nhiều diễn đàn khác đã xuất hiện trong thời gian gián đoạn này (vài tuần cuối cùng của tháng 3). Một số trong số này đã bị gỡ xuống do các diễn đàn thường vi phạm, vì vậy thật hợp lý khi cho rằng phần còn lại có thể là hành vi giả mạo của cơ quan thực thi pháp luật.

Hình ảnh: Danh sách diễn đàn VX-Underground sau khi diễn đàn Breach đóng cửa (Nguồn: Twitter)

Chúng tôi chỉ có thể xác nhận rằng một số dữ liệu Web3.0 tồn tại trên một trong các diễn đàn.

Diễn đàn ARES được cho là đã hấp thụ một số hoạt động từ các diễn đàn đã đóng khác, nhưng không rõ là bao nhiêu. Diễn đàn, được cho là có liên kết với các nhóm ransomware và các tác nhân độc hại khác, cũng điều hành một kênh Telegram công khai quảng cáo bán dữ liệu trong kênh bán hàng VIP bị khóa của nó. Kênh đã hoạt động vào ngày 6 tháng 3, chạy hàng trăm quảng cáo (bao gồm các bài đăng trên hai cơ sở dữ liệu liên quan đến trao đổi tập trung).

Hình ảnh: Quảng cáo kênh dữ liệu trao đổi tập trung Telegram trên Diễn đàn ARES (Nguồn: Telegram)

Nhìn chung, cộng đồng diễn đàn hack và đổ dữ liệu hiện đang hoạt động một cách khá hỗn loạn. Không có sự thay thế rõ ràng cho các diễn đàn truyền thống và các cơ quan thực thi pháp luật quốc tế tăng cường đàn áp các nhóm này, gần như chắc chắn rằng **các diễn đàn sẽ không còn là nơi xảy ra bất kỳ vi phạm dữ liệu lớn nào (bao gồm cả Web 3.0) trong tương lai gần.

Web đen - Xâm phạm dữ liệu trên các trang web .onion

Diễn đàn và thị trường dark web từ lâu đã là nơi mọi người đổ hoặc bán dữ liệu của họ.

Các hệ sinh thái này cũng đã phải đối mặt với các cuộc đàn áp từ cơ quan thực thi pháp luật, mặc dù những cuộc đàn áp đó diễn ra nhiều hơn trên các thị trường tạo điều kiện thuận lợi cho việc buôn bán ma túy. Điều đó nói rằng, ngay cả ở những thị trường ít được biết đến hơn, việc vi phạm dữ liệu dường như đang xảy ra với tần suất rất cao hoặc ít nhất là đang được quảng cáo. Sự khác biệt bây giờ hoàn toàn khác so với các diễn đàn trực tuyến, nơi cũng lưu trữ dữ liệu nhưng đã bị đóng cửa trên diện rộng.

Hình ảnh: Sổ cái dữ liệu khách hàng để bán trên thị trường darknet (Nguồn: Digital Thrift Shop)

Tóm lại, 23 trong số 74 vi phạm trong mẫu vi phạm dữ liệu đã xác định của chúng tôi liên quan đến dữ liệu có cơ hội được truy xuất. Trong số 23 quảng cáo này, chúng tôi có thể tìm thấy 10 quảng cáo bán dữ liệu đang hoạt động (43%). Các mẫu như vậy được đánh dấu bằng màu xanh lá cây trong biểu đồ trước đây của chúng tôi:

Biểu đồ: Các trường hợp đã xác nhận dữ liệu bị rò rỉ được bán trên thị trường darknet được đánh dấu bằng màu xanh lục (Nguồn: CertiK)

Doanh số bán dữ liệu phải trả tiền tăng lên trong biểu đồ này cho thấy một số điều. Đầu tiên, chúng tôi không có quyền truy cập vào các nguồn dữ liệu cho bất kỳ vi phạm nào xảy ra sau năm 2021.

Dựa trên bản chất của mục tiêu năm 2022, có khả năng hợp lý là dữ liệu có thể đã xuất hiện trong một diễn đàn không còn tồn tại.

Tuy nhiên, điều này rất khó chứng minh, đặc biệt là khi những bộ dữ liệu này không xuất hiện trên bất kỳ diễn đàn nào thay thế Raid và Breached. Thứ hai, các bộ dữ liệu này cũng vắng mặt một cách đáng chú ý trong bất kỳ thị trường darknet nào mà chúng ta có thể thấy từ năm 2019 trở về trước—có thể là do các thị trường mà chúng tôi thu được những dữ liệu này rất cũ và ít được biết đến. Chúng tôi không thể đánh giá liệu dữ liệu này có thực sự có sẵn thông qua các nhà cung cấp này hay không, nhưng những quảng cáo này thì có.

**Những vi phạm dữ liệu này có phải là rủi ro dài hạn không? **

Thật khó để cố gắng định lượng rủi ro dài hạn, nhưng ít nhất bạn có thể so sánh rủi ro mất dữ liệu với các sự kiện không liên quan đến dữ liệu trong mẫu này. Lưu ý rằng chúng ta có thể phân loại rủi ro của các sự kiện không tuân thủ chỉ dẫn đến tổn thất tài chính trực tiếp là rủi ro thấp hơn vì:

Mất mát là ngay lập tức, chúng tôi có thể đo lường tác động bằng tiền pháp định hoặc tiền tệ Web3.0 bị mất

Tất cả dữ liệu bị mất trong quá trình này đều có thể thay thế được. Trong trường hợp bị xâm phạm, các khóa riêng tư, mật khẩu và điểm truy cập mạng đặc quyền phải được thay đổi để giải quyết vấn đề.

Vi phạm vi phạm làm mất dữ liệu nhạy cảm, đặc biệt là dữ liệu khách hàng, gây ra rủi ro dài hạn lớn hơn

Phần lớn dữ liệu này được bán hoặc có sẵn miễn phí trên web tối hoặc rõ ràng, giúp mở rộng tính khả dụng lâu dài của dữ liệu.

Các điểm dữ liệu cá nhân của khách hàng, tức là số điện thoại, họ/tên, địa chỉ và dữ liệu giao dịch, rất khó hoặc không thể thay đổi. Vì vậy, ngay cả khi ai đó thay đổi thông tin cá nhân của họ do vi phạm, tất cả dữ liệu của các cá nhân khác liên quan đến vi phạm vẫn có nguy cơ.

Tác động của vi phạm này rất khó hoặc không thể đo lường được. Tùy thuộc vào dữ liệu bị mất, nạn nhân có thể hoặc không phải là mục tiêu của nhiều vụ lừa đảo.

Chúng tôi đã tìm thấy dữ liệu để bán trong một vụ vi phạm vào năm 2014. Điểm dữ liệu cụ thể này là bằng chứng nữa về sự khó khăn trong việc đo lường rủi ro dài hạn. Vụ hack năm 2014 tấn công sàn giao dịch tiền điện tử hiện không còn tồn tại BTC-E, đã bị cơ quan thực thi pháp luật Hoa Kỳ bắt giữ vào năm 2017 - thực sự có rủi ro liên quan đến mất dữ liệu thấp hơn nhiều so với các vụ khác.

Tuy nhiên, rõ ràng là rủi ro vẫn tiếp diễn rằng những dữ liệu này có thể khớp với dữ liệu từ các vi phạm mới hơn, do đó làm tăng rủi ro dài hạn của các cá nhân tham gia Web 3.0 trong giai đoạn này.

Nhìn vào toàn bộ không gian, dữ liệu bị mất sau năm 2019 (đặc biệt là dữ liệu vẫn có sẵn để bán trên thị trường darknet) rất có thể gây ra rủi ro dài hạn cao nhất đang diễn ra. Từ năm 2022 trở đi, những người bị ảnh hưởng gần như chắc chắn phải đối mặt với rủi ro đáng kể là dữ liệu của họ có thể được sử dụng cho hoạt động lừa đảo (ngay cả khi không thể xác định được vị trí thực tế của dữ liệu đó). Mặc dù nhiều diễn đàn trực tuyến đã ngừng hoạt động, nhưng chúng ta nên giả định rằng tất cả dữ liệu bị mất, đặc biệt là với các vụ vi phạm dữ liệu gần đây, có khả năng vẫn còn ở đâu đó và có thể xuất hiện lại bất cứ lúc nào.

Viết ở cuối

Thực tế là các lỗ hổng bảo mật không thể bị loại bỏ 100%. Khi dữ liệu được lưu trữ và xử lý bởi một thực thể tập trung, hầu hết người dùng bị ảnh hưởng bởi vi phạm dữ liệu đều có phương tiện khắc phục hạn chế.

Tuy nhiên, chúng tôi có thể giảm rủi ro phơi nhiễm bằng cách hạn chế sử dụng các dịch vụ tập trung, bao gồm cả các sàn giao dịch tập trung. Các cá nhân cũng nên sử dụng xác thực hai yếu tố bất cứ khi nào có thể để giúp ngăn chặn hoạt động ví trao đổi không mong muốn hoặc sử dụng PII để truy cập hoặc sửa đổi chi tiết tài khoản.

Tùy thuộc vào bản chất của vi phạm, chúng tôi thậm chí có thể cân nhắc việc cố gắng thay đổi một số thông tin bị lộ trong vi phạm, chẳng hạn như địa chỉ email hoặc số điện thoại.

Và trong một vụ vi phạm dữ liệu Web 3.0, nếu bạn có ý định hoạt động ẩn danh, thì danh tính của bạn sẽ phải đối mặt với nguy cơ bị tiết lộ thêm.

Có những bước khác mà mọi người có thể thực hiện để bảo vệ dữ liệu và các khoản đầu tư. Chẳng hạn như giảm rủi ro đầu tư và tài chính bằng cách phân phối tài sản trong ví tự quản và ví cứng.

Tất nhiên, dữ liệu cũng có thể được bảo vệ bởi:

1. Giảm số lượng các tổ chức đầu tư hoặc trao đổi Web3 tập trung chia sẻ dữ liệu cá nhân của bạn với bạn
2. Đa nền tảng Không sử dụng mật khẩu lặp lại
3. Kích hoạt xác thực hai yếu tố trên tất cả các tài khoản
4. Theo dõi các trang web báo cáo vi phạm dữ liệu sẽ cho bạn biết liệu địa chỉ email của bạn có liên quan đến vi phạm hay không
5. Sử dụng Dịch vụ giám sát tín dụng để theo dõi hành vi trộm cắp danh tính và gian lận liên quan đến ngân hàng