Ngày 26/11, tài khoản Elliot Alderson, người từng thông báo bộ mã nguồn của Giao Hàng Tiết Kiệm bị rò rỉ tiếp tục đăng tải thông tin về sự cố nghiêm trọng khác.

Theo Elliot, hệ thống trung tâm thể dục Elite Fitness đã bị lộ 500.000 thông tin người dùng. Kèm với bài viết, chuyên gia an ninh mạng này cũng đăng tải ảnh chụp dữ liệu gồm email, ngày sinh, giới tính, nơi ở được cho là của người dùng Elite Fitness.

elite fitness bi hack anh 1

Elite Fitness đang là chuỗi phòng gym thuộc top 2 tại Việt Nam.

Hiện dữ liệu người dùng của Elite Fitness được rao trên một trang deepweb. Trong bài rao, một số dữ liệu được công khai để người mua xem trước. Thử gọi số điện thoại trong cơ sở dữ liệu của hacker, 4/6 người xác nhận có sử dụng dịch vụ của Elite Fitness. Đồng thời, những người này cũng cho biết đã khai báo thông tin trùng khớp với kho dữ liệu của hacker.

“Tôi có tập ở Elite Fitness từ năm 2018. Tôi có đọc báo thấy trung tâm tập luyện này bị hack nhưng chưa nhận được bất cứ thông báo nào từ Elite Fitness”, Văn Quang, một khách hàng của Elite Fitness cho biết.

Trả lời Zing, ông Steve Loh, Giám đốc Điều hành Elite Fitness cho biết ngay khi ý thức được sự việc ngày 26/11, đội ngũ IT của trung tâm khẩn trương ngăn chặn nguy cơ tấn công.

“Tất cả giải pháp kỹ thuật, vận hành, nhân sự được áp dụng tính tới thời điểm trước và sau khi xảy ra sự cố đều đảm bảo đúng với quy định, quy chế bảo mật của công ty. Chúng tôi nhận định đây là một vụ tấn công có chủ đích và được lên kế hoạch bài bản từ trước. Vì thế, bên cạnh phối hợp với các chuyên gia an ninh mạng chúng tôi đã kết hợp với cơ quan điều tra để làm rõ và ngăn ngừa nguy cơ trong tương lai”, ông Steve Loh viết trong email trả lời Zing.

Bên cạnh đó, người đứng đầu Elite Fitness cho biết để đảm bảo quyền lợi khách hàng, bên cạnh các biện pháp an ninh, công ty đã chỉ đạo nhân viên luôn sẵn sàng hỗ trợ, giải đáp trực tiếp cho tất cả khách hàng khi có thắc mắc liên quan đến sự cố.

elite fitness bi hack anh 2

Dữ liệu khách hàng của Elite Fitness được rao bán trên deepweb.

“Quy trình khi xảy ra sự cố bảo mật của một doanh nghiệp là đánh giá thiệt hại, thông báo với khách hàng, báo cáo cơ quan chức năng, tìm kiếm lỗ hổng và đền bù nếu dữ liệu gây phương hại đến khách hàng”, Ngô Minh Hiếu, chuyên gia an ninh mạng từ Trung tâm Giám sát An toàn Không gian mạng Quốc gia cho biết.

Theo ông Hiếu, việc không thông báo cho khách hàng khi xảy ra sự cố sẽ khiến người dùng có nguy cơ gặp những rủi ro nối tiếp sau đó, chẳng hạn là sử dụng thông tin cá nhân để lừa đảo.

Theo nguồn tin của tài khoản công bố tin Elite Fitness bị hack, dữ liệu còn bao gồm thông tin sức khỏe, hợp đồng luyện tập, dữ liệu vân tay... cũng được cho đã bị rò rỉ.

Hacker thu được những dữ liệu này từ việc khai thác lỗ hổng trên các thiết bị IoT như máy chấm công, máy in, camera an ninh... từ một trung tâm luyện tập thuộc hệ thống Elite Fitness.

Theo chuyên gia an ninh mạng Ngô Minh Hiếu, website của Elite Fitness cũng đang được trang bị các lớp bảo mật khá lỏng lẻo. “Trang web không giới hạn số lần đăng nhập và bảo mật captcha. Email nhân viên và admin trang cũng dễ dàng bị truy xuất. Trang email cũng rất dễ bị brute-force attack (tấn công bằng cách thử mật mã nhiều lần)”, ông Hiếu cho biết.

Theo Zing

Nguy cơ bảo mật ẩn dưới nền tảng học trực tuyến tăng hơn 1000% tại ĐNÁ

Nguy cơ bảo mật ẩn dưới nền tảng học trực tuyến tăng hơn 1000% tại ĐNÁ

Số lượng mối đe dọa bảo mật ngụy trang dưới dạng nền tảng học tập trực tuyến tăng ở cấp độ bốn con số trong khu vực Đông Nam Á.