Phát hiện đằng sau vụ hack trang web Ashley Madison

Chúng ta cùng tìm hiểu tại sao địa chỉ email honeypot của lại có tài khoản trên trang Web tai tiếng ?

Theo hồ sơ, cô ta 33 tuổi, đến từ Los Angeles, cao 1,8m, gợi cảm, cứng cỏi, và là một “người phụ nữ biết những gì cô ấy muốn”. Tuy nhiên, chưa dừng lại ở đó: địa chỉ email của cô là một trong những email honeypot của Trend Micro. Vậy là sao?

Đó là cách mà Trend Micro đã phát hiện ra rằng người dùng Ashley Madison đang là mục tiêu bị tống tiền trực tuyến.

Trong khi quan sát các tập tin bị rò rỉ, Trend Micro đã xác định được vài chục hồ sơ trên trang web gây tranh cãi này bằng việc sử dụng các địa chỉ email thuộc về các honeypot của Trend Micro. Các hồ sơ được thiết lập khá đầy đủ, thông tin cần thiết như giới tính, cân nặng, chiều cao, màu mắt, màu tóc, kiểu cơ thể, tình trạng mối quan hệ, và sở thích hẹn hò đều có ở đó. Các quốc gia và thành phố được thiết kế phù hợp với thông tin kinh độ/vĩ độ của địa chỉ IP. Gần một nửa (43%) các hồ sơ có chú thích viết bằng ngôn ngữ của nước được coi là nơi họ đang sống.

Một sự kiện như thế này có thể để lại nhiều câu hỏi. Các chuyên gia bảo mật từ Trend Micro sẽ trả lời dưới đây.

Honeypot là gì?

Honeypot là hệ thống máy tính được thiết kế để thu hút kẻ tấn công. Trong trường hợp này, Trend Micro có các email honeypot được thiết kế để thu hút thư spam. Những email honeypot này chỉ ngồi ở đó, đợi email đến từ các trang lừa đảo xổ số, tin hoàng tử Nigeria đã chết, và các loại email không mong muốn khác. Mỗi honeypot được thiết kế để tiếp nhận, mà không trả lời, và nó chắc chắn không ghi danh tên mình trên các trang web ngoại tình.

Tại sao honeypot của bạn lại có trên Ashley Madison?

Câu trả lời đơn giản và ngắn gọn nhất là: ai đó đã tạo ra các hồ sơ Ashley Madison sử dụng tài khoản email honeypot.

Quá trình đăng ký Ashley Madison của yêu cầu một địa chỉ email, nhưng Ashley Madison không thực sự kiểm tra liệu địa chỉ email đó có hợp lệ hay không, hoặc liệu người đăng ký có thực sự là chủ sở hữu thực tế của địa chỉ email đó không. Một URL dùng để kích hoạt tài khoản thường được gửi đến địa chỉ email là đủ để xác minh quyền sở hữu địa chỉ email này, và yêu cầu nhập CAPTCHA trong quá trình đăng ký sẽ loại bỏ được các bot tự động tạo tài khoản. Cả hai biện pháp bảo mật này đều không có trên trang web của Ashley Madison.

Ai đã tạo ra các tài khoản này – bot tự động hay con người?

Nhìn vào cơ sở dữ liệu bị rò rỉ, Ashley Madison ghi lại địa chỉ IP của những người dùng đã đăng ký sử dụng tên trường signupip, một điểm khởi đầu tốt cho việc điều tra. Vì vậy, các chuyên gia bảo mật đã tập hợp tất cả địa chỉ IP được sử dụng để đăng ký các tài khoản email honeypot của Trend Micro, và kiểm tra xem liệu có các tài khoản đã đăng ký khác có sử dụng các IP này.

Từ đó, các nhà nghiên cứu bảo mật đã tập hợp thành công khoảng 130 tài khoản có chia sẻ cùng trường signupip với các tài khoản email honeypot của Trend Micro.

Bây giờ, việc có các IP này thôi là chưa đủ, và cần phải kiểm tra các dấu hiệu đăng ký với số lượng lớn (bulk registration), nghĩa là có nhiều tài khoản đã đăng ký từ một IP duy nhất trong một khoảng thời gian ngắn.

Bằng cách như vậy đã phát hiện một số điều thú vị…

tin-tuc-26-9Hình 1. Các hồ sơ được khởi tạo từ các địa chỉ IP của Braxin

tin-tuc-26-9-1Hình 2. Các hồ sơ được khởi tạo từ các địa chỉ IP của Hàn Quốc

Để có được khung thời gian trong các bảng trên, Trend Micro đã sử dụng trường updatedon, vì trường createdon không chứa thời gian và ngày tháng cho tất cả các hồ sơ. Một cách tò mò, các nhà nghiên cứu bảo mật cũng đã quan sát thấy rằng trường createdon và trường updatedon của các hồ sơ này gần như là giống nhau.

Như bạn có thể thấy, trong các nhóm ở trên, vài hồ sơ đã được tạo ra từ một IP duy nhất, với các nhãn thời gian chỉ cách nhau vài phút. Hơn nữa, có vẻ như việc khởi tạo này là do một con người, hơn là một bot. Thông tin ngày sinh (dobfield) được lặp đi lặp lại (bot thì có xu hướng tạo ra ngày sinh ngẫu nhiên nhiều hơn so với con người).

Một đầu mối khác chúng ta có thể sử dụng là tên người dùng được tạo. Ví dụ 2 cho thấy việc sử dụng “avee” như một tiền tố chung giữa hai tên người dùng. Có những hồ sơ khác trong tập hợp mẫu có chia sẻ các đặc điểm tương tự. Hai tên người dùng, “xxsimone” và “Simonexxxx” đều đã được đăng ký từ cùng một IP, và cả hai đều có cùng ngày sinh.

Với các dữ liệu mà Trend Micro có, nó trông có vẻ như các hồ sơ được tạo ra bởi con người.

Ashley Madison đã tạo ra các tài khoản?

Có thể, nhưng không trực tiếp, là câu trả lời buộc tội mà các nhà nghiên cứu có thể nghĩ đến.

Các IP đăng ký được sử dụng để tạo ra các hồ sơ được phân bố ở các nước khác nhau và trên các tuyến DSL người tiêu dùng. Tuy nhiên, mấu chốt của sự nghi ngờ là dựa trên phân phối giới tính. Nếu Ashley Madison đã tạo ra các hồ sơ giả sử dụng các email honeypot của Trend Micro, chẳng phải họ nên tạo ra đa số là giới tính nữ để họ có thể sử dụng như những “thiên thần” (angel) (tài khoản ảo để kích thích người ta đăng ký) hay sao?

tin-tuc-26-9-2Hình 3. Phân bố giới tính của hồ sơ, theo quốc gia

Như bạn có thể thấy, chỉ có khoảng 10% số hồ sơ với các địa chỉ honeypot là nữ.

Các hồ sơ này cũng thể hiện một sự thiên vị lạ trong năm sinh của họ, khi mà hầu hết hồ sơ có ngày sinh nằm vào năm 1978 hay 1990. Đây là một sự phân bố lạ lùng và gợi ý rằng các tài khoản này đã được tạo với khoảng độ tuổi được định sẵn.

tin-tuc-26-9-3Hình 4. Năm sinh của các hồ sơ

Sự rò rỉ dữ liệu gần đây nhất cho thấy Ashley Madison đang tích cực thuê các nguồn lực từ bên ngoài để tạo ra các hồ sơ giả nhằm thâm nhập vào các nước khác, sự phân bố về quốc gia của các hồ sơ giả và các xu hướng lệch về một cơ cấu độ tuổi nhất định cho thấy các tài khoản email honeypot của Trend Micro có thể đã được sử dụng bởi người tạo hồ sơ cá nhân (profile creator) làm việc cho Ashley Madison.

Nếu đó không phải là Ashley Madison, vậy ai là người đã tạo ra những hồ sơ này?

Chúng ta hãy xem xét lại vấn đề một chút. Liệu có bất kỳ nhóm nào khác những người sẽ được lợi từ việc tạo hồ sơ giả trên một trang web hẹn hò như Ashley Madison? Câu trả lời khá là đơn giản – đó là các spammer trên diễn đàn và bình luận.

Các spammer diễn đàn và bình luận này được biết là tác nhân tạo ra những hồ sơ web và “làm bẩn” các chủ đề diễn đàn và bài viết blog bằng phản hồi (comment) rác. Những spammer cao cấp hơn có thể gửi tin nhắn spam trực tiếp.

Với việc Ashley Madison không thực hiện các biện pháp an ninh, chẳng hạn như email kích hoạt tài khoản và CAPTCHA để ngăn chặn spammer, dẫn đến khả năng ít nhất một số các hồ sơ đã được tạo ra bởi các spambot.

Những phát hiện này có ý nghĩa gì và có nên quan tâm?

Giả sử bạn chưa bao giờ chủ đích đăng ký vào một trang web như Ashley Madison. Có phải bạn rất an toàn khỏi vấn đề này?

Ồ không. Rất nhiều trong số các hồ sơ giả đã được tạo ra bằng cách sử dụng các tài khoản email hợp lệ, tức là các địa chỉ email thuộc về một người thực sự, không phải là một honeypot. Những địa chỉ email này đã được biết đến từ các spam bot, và những kẻ tạo ra hồ sơ cá nhân vì nó đã được lưu trữ trong một kho danh sách lớn các địa chỉ email mà những spammer giữ lại (đây là cách mà honeypot email của Trend Micro có một hồ sơ trên Ashley Madison).

Vì vậy, nếu địa chỉ email của bạn ở đâu đó ngoài kia trong thế giới World Wide Web, cho dù là được liệt kê trên một trang web hoặc trên hồ sơ Facebook của bạn, sẽ có nguy cơ bị lấy và ghi vào trong một danh sách có sẵn cho cả các email truyền thống và spammer trên web… Điều này khiến có thể dẫn tới việc bạn bỗng dưng có một tài khoản được tạo ra với danh tính của mình trên các trang web như Ashley Madison.

Với tất cả những tranh cãi xung quanh vụ Ashley Madison bị hack, sự mất mặt hệ quả của các “thành viên” và các nỗ lực tống tiền, việc bảo mật địa chỉ email của bạn khỏi công chúng sẽ không chỉ giúp bạn không vướng vào những rắc rối khi nhận được email từ các hoàng tử Nigeria, mà còn không dính phải những tình huống phức tạp như trên.

Theo PCWorld VN

Bài viết liên quan