Thứ năm, 17/06/2021 15:51 | Điểm tin:

Giao hàng tiết kiệm phủ nhận việc bị lộ tên, địa chỉ khách hàng

Thứ tư, 25/11/2020 17:30
Trước đó chỉ một ngày, công ty chuyển phát Giao hàng tiết kiệm đã nhận phải cáo buộc về việc bị hacker rao bán mã nguồn hệ thống.

Chia sẻ về sự cố nói trên, Công ty cổ phần Giao hàng tiết kiệm (GHTK) cho biết, sau khi nhận được thông tin, bộ phận An ninh bảo mật của đơn vị này đã ngay lập tức tiếp nhận và phân tích điều tra sự việc.

Kết quả cho thấy, một máy chủ phát triển ứng dụng của GHTK có lỗ hổng bảo mật. Đây có thể là nguyên nhân dẫn tới việc một phần mã nguồn ứng dụng của công ty bị đánh cắp. Tuy nhiên, lỗ hổng nằm trên máy chủ cũ và thiết bị này đến nay đã không còn được sử dụng.

Giao hàng tiết kiệm phủ nhận việc bị lộ tên, địa chỉ khách hàng
Giao hàng tiết kiệm phủ nhận việc bị lộ thông tin khách hàng. Ảnh: Trọng Đạt

Theo thông tin từ GHTK, lỗ hổng vừa phát giác đã được đơn vị này khắc phục từ trước đó. Hiện máy chủ của GHTK cũng đã được cập nhật lên phiên bản mới nhất.

Đối với những lo ngại về việc lộ lọt thông tin gồm tên, số điện thoại, địa chỉ người dùng, GHTK phủ nhận và cho biết, thông tin bị lộ không bao gồm thông tin khách hàng. Các dữ liệu nhạy cảm về khách hàng và đối tác GHTK vẫn được đảm bảo an toàn.

“GHTK cam kết bảo mật mọi thông tin khách hàng. Công ty đã chủ động rà soát và có thêm các biện pháp nghiệp vụ định kỳ theo tháng nhằm gia tăng tính bảo mật trên toàn hệ thống.”, đơn vị này chia sẻ.

Trước đó, một hacker khẳng định đã lấy được 4GB mã nguồn từ một lỗ hổng lớn trên hệ thống của GHTK. Lỗ hổng này cho phép các tin tặc xem, chỉnh sửa hoặc thay đổi mã của bất kỳ dự án nào. Kết quả là họ đã tải xuống toàn bộ các dữ liệu có trên hệ thống. 

Theo phỏng đoán ban đầu, lỗ hổng của GHTK có thể do những sơ suất khi cấu hình DevOps từ phía các lập trình viên. Sai sót này cũng có thể đến từ việc đặt mậu khẩu không đủ độ tin cậy. 

Những dự đoán còn cho rằng, tin tặc đã sử dụng kỹ thuật tấn công social enginering, nhắm tới các nhân viên của GHTK, đánh lừa họ để xâm nhập và đánh cắp dữ liệu trong hệ thống.