Tin tặc khẳng định đã thu thập 49 triệu địa chỉ khách hàng của Dell trước khi công ty phát hiện

Một tin tặc tự xưng là Menelik tuyên bố hắn đã đánh cắp dữ liệu của 49 triệu khách hàng Dell. Menelik khẳng định mình đã xâm nhập trái phép một cổng thông tin trực tuyến của Dell và đánh cắp dữ liệu khách hàng, bao gồm cả địa chỉ nhà, trực tiếp từ máy chủ của Dell.

Techlade đã xác minh một phần dữ liệu bị đánh cắp khớp với thông tin cá nhân của khách hàng Dell.

Vào thứ Năm, Dell đã gửi email cho khách hàng thông báo rằng họ đã bị tấn công dữ liệu, bao gồm tên khách hàng, địa chỉ nhà và thông tin đơn hàng của Dell.

“Chúng tôi tin rằng rủi ro cho khách hàng của chúng tôi không đáng kể do loại thông tin bị đánh cắp,” Dell viết trong email nhằm giảm nhẹ tác động của vụ việc, ngầm cho rằng họ không coi địa chỉ khách hàng là thông tin “rất nhạy cảm”.

Tên tin tặc này cho biết hắn đã đăng ký với nhiều tên khác nhau trên một cổng thông tin cụ thể của Dell với tư cách là “đối tác”. Theo hắn, “đối tác” là một công ty bán lại các sản phẩm hoặc dịch vụ của Dell. Sau khi Dell phê duyệt tài khoản đối tác của mình, Menelik nói rằng hắn đã tấn công brute-force các thẻ dịch vụ khách hàng, bao gồm bảy chữ số chỉ gồm các số và phụ âm. Hắn cũng nói rằng “bất kỳ loại đối tác nào” cũng có thể truy cập vào cổng thông tin mà hắn được cấp quyền truy cập.

Menelik, một chuyên gia bảo mật, đã tiết lộ việc anh ta đã xâm nhập thành công vào hệ thống của Dell trong gần 3 tuần, đánh cắp đi 50 triệu dữ liệu nhạy cảm. Anh ta thực hiện bằng cách gửi hơn 5.000 yêu cầu mỗi phút đến trang web chứa thông tin nhạy cảm của Dell. Mặc dù hoạt động tấn công diễn ra trong thời gian dài, Dell lại không hề phát hiện ra.

Anh đã chia sẻ ảnh chụp màn hình của một số email hắn gửi vào giữa tháng Tư, cũng cho biết vào một thời điểm nào đó hắn đã ngừng đánh cắp dữ liệu và không lấy được toàn bộ cơ sở dữ liệu của khách hàng. Một phát ngôn viên của Dell xác nhận với Techlade rằng công ty đã nhận được email của kẻ tấn công.

Kẻ tấn công đã liệt kê cơ sở dữ liệu bị đánh cắp của khách hàng Dell trên một diễn đàn hack nổi tiếng. Danh sách trên diễn đàn được Daily Dark Web báo cáo lần đầu tiên.

Techlade xác nhận rằng kẻ tấn công có dữ liệu khách hàng hợp pháp của Dell bằng cách chia sẻ một số tên và thẻ dịch vụ của khách hàng – với sự cho phép của họ – những người đã nhận được email thông báo vi phạm từ Dell. Trong một trường hợp, kẻ tấn công đã tìm thấy thông tin cá nhân của một khách hàng bằng cách tìm kiếm tên của anh ta trong các hồ sơ bị đánh cắp. Trong một trường hợp khác, hắn có thể tìm thấy hồ sơ tương ứng của một nạn nhân khác bằng cách tìm kiếm thẻ dịch vụ phần cứng cụ thể từ đơn đặt hàng của cô ấy.

Trong các trường hợp khác, Menelik không thể tìm thấy thông tin và cho biết hắn không biết Dell đã xác định những khách hàng bị ảnh hưởng như thế nào. “Kiểm tra theo tên bạn cung cấp, có vẻ như họ đã gửi email này cho những khách hàng không bị ảnh hưởng,” kẻ tấn công nói.

Dell vẫn chưa nói rõ địa chỉ nhà thuộc về ai. Phân tích của Techlade về một mẫu dữ liệu bị đánh cắp cho thấy các địa chỉ dường như liên quan đến người mua ban đầu của thiết bị Dell, chẳng hạn như doanh nghiệp mua hàng cho nhân viên từ xa. Trong trường hợp người tiêu dùng mua trực tiếp từ Dell, Techlade phát hiện ra rằng nhiều địa chỉ nhà đó cũng tương ứng với địa chỉ nhà của người tiêu dùng hoặc địa điểm khác mà họ đã yêu cầu giao hàng.

Dell không bác bỏ những phát hiện của chúng tôi khi được yêu cầu bình luận.

Khi Techlade gửi một loạt các câu hỏi cụ thể cho Dell dựa trên những gì kẻ tấn công nói, một phát ngôn viên giấu tên của công ty cho biết “trước khi nhận được email của kẻ tấn công, Dell đã biết và đang điều tra sự cố, thực hiện các quy trình ứng phó và thực hiện các bước ngăn chặn.” Dell không cung cấp bằng chứng cho tuyên bố này.

Cần lưu ý rằng hành vi tấn công mạng là vi phạm pháp luật và chúng tôi đã thông báo vụ việc cho cơ quan chức năng. Hiện tại, chúng tôi sẽ không tiết lộ bất kỳ thông tin nào có thể ảnh hưởng đến quá trình điều tra đang diễn ra của chúng tôi hoặc các cuộc điều tra khác do cơ quan chức năng thực hiện.