Trong xã hội ngày nay, cho dù chúng ta làm việc hay sinh sống, Internet từ lâu đã không thể tách rời khỏi cuộc sống của mọi người. Bạn không cần phải mang theo ví, nhưng bạn phải mang theo điện thoại di động khi ra ngoài, không có thẻ vật lý làm phương thức thanh toán và ngay cả những người ăn xin trên đường phố cũng bắt đầu sử dụng Internet để chuyển và thu tiền với mã QR.
Không khó để tưởng tượng rằng hầu hết các mối đe dọa mà các cá nhân, doanh nghiệp, tổ chức và khách hàng của họ phải đối mặt ngày nay thực sự đến từ các lỗ hổng và cuộc tấn công mạng . Ngày nay, quyền riêng tư dữ liệu và quyền riêng tư cá nhân mà mọi người quan tâm đã trở nên vô cùng quan trọng. Có vô số trường hợp mất dữ liệu nhạy cảm do lỗ hổng hàng năm.
Nhiều sự cố bảo mật lớn đã xảy ra trong lịch sử của Web3.0, từ việc mất khóa riêng của các sàn giao dịch tập trung cho đến việc đánh cắp dữ liệu cá nhân của nhà đầu tư. Và dữ liệu đó có thể tồn tại trong nhiều năm trên các diễn đàn hack trực tuyến và thị trường darknet, nghĩa là vi phạm dữ liệu sẽ khiến những người dùng bị ảnh hưởng gặp rủi ro trong một thời gian dài. Phân tích của CertiK đã xem xét 74 sự cố bảo mật xảy ra trong các thực thể Web 3.0 tập trung. 23 trong số các sự cố này dẫn đến nguy cơ mất dữ liệu cao trong thời gian dài và 10 trong số 23 sự cố này, các gói được phát hiện vẫn có sẵn để mua trên các diễn đàn web tối .
Một loạt các chiến dịch thực thi pháp luật chống lại các diễn đàn của tin tặc có thể ngăn chặn việc trích xuất một số dữ liệu nhất định, nhưng xét cho cùng thì các biện pháp đó chỉ mang tính chất tạm thời.
Bài viết này sẽ hướng dẫn bạn: phân loại các sự cố rò rỉ dữ liệu Web3.0 và những biện pháp chúng ta nên thực hiện để bảo vệ an toàn dữ liệu của mình.
lý lịch
Hacking, khai thác, ransomware và tất cả các mối đe dọa an ninh mạng đang gia tăng về quy mô và mức độ nghiêm trọng. Hệ sinh thái Web 3.0 độc đáo ở chỗ nó cung cấp cho các tác nhân độc hại nhiều vectơ tấn công không có trong các công nghệ khác, bao gồm các lỗ hổng trong hợp đồng thông minh và các kỹ thuật lừa đảo mới.
Tuy nhiên, câu chuyện về sự cố bảo mật Web 3.0 có liên quan chặt chẽ đến tình hình trong các ngành công nghiệp khác. Các khu vực không phải Web 3.0 bỏ lỡ các loại lỗ hổng bảo mật giống như các dự án tập trung và các công ty không giải quyết được.
Chúng tôi muốn xem xét kỹ lịch sử các sự cố an ninh mạng đối với các mục tiêu của Web 3.0 và đánh giá xem các sự cố trong quá khứ có gây rủi ro liên tục cho các thành viên cộng đồng ngày nay hay không.
Để làm được điều này, cần phải phân tích cẩn thận về sự khác biệt giữa các sự cố bảo mật trong báo cáo này với các lỗ hổng do khai thác các giao thức hợp đồng thông minh gây ra.
Chúng tôi đã nghiên cứu nhiều sự cố chống lại các công ty Web3.0 kể từ năm 2011 và chúng có thể được tạm chia thành hai loại:
Khai thác độc hại giao thức : Các sự kiện trong đó mã hợp đồng thông minh được sử dụng để thu lợi ích kinh tế
Vi phạm : Sự cố trong đó kẻ tấn công xâm phạm mạng nội bộ của tổ chức mục tiêu và sử dụng các đặc quyền có được để đánh cắp dữ liệu hoặc tiền của công ty
Có một số khác biệt quan trọng giữa hai loại về rủi ro ngắn hạn và dài hạn.
Khai thác giao thức độc hại xảy ra trong một khung thời gian xác định , bắt đầu khi kẻ tấn công thực hiện khai thác và kết thúc khi chúng cạn kiệt tất cả số tiền có sẵn, hết gas hoặc khiến dự án mục tiêu phải chấm dứt. Một số sự kiện này có thể kéo dài hàng giờ hoặc hàng ngày, với các cuộc đàm phán sau sự kiện tiếp tục kéo dài khung thời gian này và cũng có trường hợp các dự án bị đóng cửa ngay sau đó. Tuy nhiên, điều quan trọng là các cuộc tấn công này có các nút bắt đầu và kết thúc rõ ràng.
Ngược lại, vi phạm là các sự kiện liên tục (trong đó kẻ tấn công giành được quyền truy cập vào mạng và ở đó “trong một thời gian dài”). Vi phạm thường được định nghĩa là hành vi đánh cắp dữ liệu được khai thác trong một cuộc tấn công hoặc sau đó được bán trên darknet hoặc diễn đàn trực tuyến.
Vi phạm mạng cũng có thể dẫn đến tổn thất tài chính nghiêm trọng. Hầu hết các tổ chức Web 3.0 là các tổ chức tài chính có dòng tiền cao, điều này khiến họ trở thành mục tiêu tự nhiên của tin tặc.
Vi phạm dữ liệu có thể rất nghiêm trọng và rủi ro có thể kéo dài trong nhiều năm—đặc biệt nếu thông tin nhận dạng cá nhân (PII) bị mất trong quá trình vi phạm.
Với suy nghĩ này, chúng tôi đã thu thập mẫu gồm 74 sự cố trước đây mà chúng tôi phân loại là các vi phạm gây rủi ro liên tục cho các thành viên cộng đồng (chỉ bao gồm các sự cố trong đó mạng nội bộ của công ty bị xâm phạm và không bao gồm dữ liệu về khai thác giao thức).
Chúng tôi tin rằng cần phải phân biệt giữa các sự cố làm mất dữ liệu nhạy cảm và các sự cố chỉ làm mất tiền. Để đánh giá tốt hơn rủi ro đang diễn ra của những vi phạm này, chúng tôi sẽ nêu bật những vi phạm có dữ liệu vẫn có sẵn để bán hoặc có sẵn miễn phí trên darknet hoặc các khu vực khác của clearnet và đưa ra suy nghĩ của chúng tôi về khả năng truy cập của các nền tảng này.
Vi phạm dữ liệu và mất tiền
Để đánh giá rủi ro đang diễn ra liên quan đến các sự kiện này, chúng tôi đã nhóm chúng thành các sự kiện được xác định sau:
① Các sự kiện mất dữ liệu có thể khôi phục về mặt lý thuyết , bao gồm PII và cơ sở dữ liệu nội bộ, v.v.
② Các trường hợp tiền hoặc dữ liệu bị mất và dữ liệu không thể lấy lại được nữa .
Loại sự cố mất dữ liệu không thể khôi phục thứ hai chủ yếu bao gồm các vi phạm chỉ dẫn đến mất tiền hoặc khóa riêng. Trong những trường hợp như vậy, số tiền bị mất thường không thể lấy lại được.
Các sự kiện bất thường bao gồm những sự kiện mà dữ liệu bị đánh cắp không bao giờ được tiết lộ, trả lại hoặc sử dụng cho các mục đích khác. Ví dụ: vào tháng 6 năm 2020, sàn giao dịch tập trung Coincheck của Nhật Bản đã bị tấn công và PII của hơn 200 khách hàng đã rơi vào tay những kẻ tấn công. Những kẻ tấn công đã xâm phạm mạng của Coincheck và sau đó gửi email lừa đảo từ địa chỉ email nội bộ của công ty, yêu cầu PII từ khách hàng. Nhưng không có cơ sở dữ liệu cụ thể nào bị mất trong sự cố này và dữ liệu bị mất chỉ là dữ liệu của những khách hàng đã trả lời email.
Trong một sự cố khác vào tháng 6 năm 2020, sàn giao dịch tập trung Coinsquare của Canada cũng gặp sự cố vi phạm khiến 5.000 địa chỉ email, số điện thoại và địa chỉ nhà riêng bị rò rỉ và thất lạc.
Sau khi nhảy qua lại giữa Coinsquare, những kẻ tấn công cho biết chúng sẽ sử dụng dữ liệu trong các cuộc tấn công tráo đổi SIM, nhưng sẽ không cố bán chúng để “câu cá trong thời gian dài”. Loại sự kiện này cũng được xếp vào loại sự kiện thứ hai không thể khắc phục được.
Trong số 74 sự cố mà chúng tôi đã xác định, 23 sự cố có thể được phân loại là sự cố có thể truy xuất dữ liệu, tương đương khoảng 31%. 51 sự cố còn lại là những sự cố bất thường được mô tả ở trên hoặc những sự cố chỉ đơn giản dẫn đến mất tiền.
Web đen và Telegram
Dữ liệu bị mất thường được bán hoặc bán phá giá trên web đen (trang web .onion) hoặc mạng rõ ràng. Nếu dữ liệu được cho là có một số giá trị kinh tế (PII và các dữ liệu khác được sử dụng để lừa đảo), thì nó sẽ xuất hiện thường xuyên trên thị trường darknet hoặc thậm chí các kênh Telegram. Nếu yêu cầu của kẻ tấn công (phần mềm tống tiền) không được đáp ứng, thì dữ liệu chỉ đơn giản là bị đổ vào các trang dán hoặc diễn đàn của tin tặc.
Nơi dữ liệu kết thúc xác định rủi ro dài hạn mà nó gây ra cho chủ sở hữu ban đầu của nó.
So với dữ liệu chỉ có thể mua được trên dark web, dữ liệu được bán trên các diễn đàn của hacker với chi phí rất thấp hoặc miễn phí có nguy cơ bị rò rỉ cao hơn.
Khả năng truy cập liên tục của các trang web như vậy cũng “giúp” giảm nguy cơ vi phạm dữ liệu lâu dài của nạn nhân. Dưới đây, chúng tôi xem xét kỹ hơn doanh số bán dữ liệu Web 3.0 được tìm thấy ở những địa điểm này.
Hình ảnh: Cơ quan thực thi pháp luật của Hoa Kỳ và Châu Âu gỡ bỏ thông báo trên trang web của Raid Forum
Được thành lập vào năm 2015, Dread Forum dường như vẫn hoạt động cho đến cuối năm 2022, mặc dù có nhiều dấu hiệu trên mạng xã hội cho thấy nó cũng có thể không còn tồn tại. Chúng tôi đã thử truy cập các phiên bản darknet (.onion) và IP 2 của diễn đàn này, nhưng những phiên bản này dường như cũng bị lỗi.
Diễn đàn Vi phạm đã hoạt động ngay sau khi diễn đàn Đột kích đóng cửa .
Các diễn đàn Vi phạm cung cấp một nơi ở hợp lý cho những người dùng bị “di dời” do đóng cửa các diễn đàn Đột kích.
Nó có giao diện tương tự như Diễn đàn Đột kích, hệ thống chấm điểm danh tiếng thành viên và mức độ hoạt động cao, với số người dùng đạt 60% cơ sở người dùng ban đầu của Diễn đàn Đột kích (khoảng 550.000 người dùng). Chỉ một năm sau, vào tháng 3 năm 2023, FBI đã bắt giữ Conor Brian Fitzpatrick, người điều hành diễn đàn Vi phạm và sau một làn sóng kịch tính nội bộ về việc triển khai lại trang web, trang web đã bị sập.
Chưa đầy một tuần sau khi diễn đàn Breach bị sập, một diễn đàn thay thế khác đã xuất hiện , được cho là do một cựu hacker ẩn danh tự xưng là Pirata (@_pirate18) điều hành. Nhưng nó chỉ có 161 thành viên, điều đó có nghĩa là lần này người thay thế không hấp thụ được những người chơi cũ của diễn đàn.
Nhiều diễn đàn khác đã xuất hiện trong thời gian gián đoạn này (vài tuần cuối cùng của tháng 3). Một số trong số này đã bị gỡ xuống do các diễn đàn thường vi phạm, vì vậy thật hợp lý khi cho rằng phần còn lại có thể là hành vi giả mạo của cơ quan thực thi pháp luật.
Hình ảnh: Kênh trao đổi dữ liệu tập trung Telegram quảng cáo cho Diễn đàn ARES (Nguồn: Telegram)
Nhìn chung, cộng đồng diễn đàn hack và đổ dữ liệu hiện đang hoạt động một cách khá hỗn loạn. Không có sự thay thế rõ ràng cho các diễn đàn truyền thống và với việc cơ quan thực thi pháp luật quốc tế tăng cường đàn áp các nhóm này, gần như chắc chắn rằng các diễn đàn sẽ không phải là lựa chọn đầu tiên cho bất kỳ vi phạm dữ liệu lớn nào ( bao gồm cả .
The Dark Web – Vi phạm dữ liệu trên các trang web .onion
Diễn đàn và thị trường dark web từ lâu đã là nơi mọi người đổ hoặc bán dữ liệu của họ.
Các hệ sinh thái này cũng đã phải đối mặt với các cuộc đàn áp từ cơ quan thực thi pháp luật, mặc dù những cuộc đàn áp đó diễn ra nhiều hơn trên các thị trường tạo điều kiện thuận lợi cho việc buôn bán ma túy. Điều đó nói rằng, ngay cả ở những thị trường ít được biết đến, tần suất vi phạm dữ liệu dường như rất cao , hoặc ít nhất là được quảng cáo. Sự khác biệt bây giờ hoàn toàn khác so với các diễn đàn trực tuyến, nơi cũng lưu trữ dữ liệu nhưng đã bị đóng cửa trên diện rộng.
Biểu đồ: Các trường hợp đã xác nhận dữ liệu bị rò rỉ được bán trên thị trường darknet được đánh dấu bằng màu xanh lá cây (Nguồn: CertiK)
Doanh số bán dữ liệu phải trả tiền tăng lên trong biểu đồ này cho thấy một số điều. Đầu tiên, chúng tôi không có quyền truy cập vào các nguồn dữ liệu cho bất kỳ vi phạm nào xảy ra sau năm 2021.
Dựa trên bản chất của mục tiêu năm 2022, có khả năng hợp lý là dữ liệu có thể đã xuất hiện trong một diễn đàn không còn tồn tại nữa .
Tuy nhiên, điều này rất khó chứng minh, đặc biệt là khi những bộ dữ liệu này không xuất hiện trên bất kỳ diễn đàn nào thay thế Raid và Breached. Thứ hai, các bộ dữ liệu này cũng vắng mặt một cách đáng chú ý trong bất kỳ thị trường darknet nào mà chúng ta có thể thấy từ năm 2019 trở về trước—có thể là do các thị trường mà chúng tôi thu được những dữ liệu này rất cũ và ít được biết đến. Chúng tôi không thể đánh giá liệu dữ liệu này có thực sự có sẵn thông qua các nhà cung cấp này hay không, nhưng những quảng cáo này thì có.
Những vi phạm dữ liệu này có gây rủi ro dài hạn không?
Thật khó để cố gắng định lượng rủi ro dài hạn, nhưng ít nhất bạn có thể so sánh rủi ro mất dữ liệu với các sự kiện không liên quan đến dữ liệu trong mẫu này. Lưu ý rằng chúng ta có thể phân loại rủi ro của các sự kiện không tuân thủ chỉ dẫn đến tổn thất tài chính trực tiếp là rủi ro thấp hơn vì:
Mất mát là ngay lập tức và chúng tôi có thể đo lường tác động của nó bằng tiền pháp định hoặc tiền tệ Web3.0 bị mất
Tất cả dữ liệu bị mất trong quá trình này đều có thể thay thế được. Trong trường hợp bị xâm phạm, các khóa riêng tư, mật khẩu và điểm truy cập mạng đặc quyền phải được thay đổi để giải quyết vấn đề.
Vi phạm vi phạm làm mất dữ liệu nhạy cảm , đặc biệt là dữ liệu khách hàng, gây ra rủi ro dài hạn lớn hơn
Phần lớn dữ liệu này được bán hoặc có sẵn miễn phí trên web tối hoặc rõ ràng, giúp mở rộng tính khả dụng lâu dài của dữ liệu.
Các điểm dữ liệu cá nhân của khách hàng, tức là số điện thoại, họ/tên, địa chỉ và dữ liệu giao dịch, rất khó hoặc không thể thay đổi. Vì vậy, ngay cả khi ai đó thay đổi thông tin cá nhân của họ do vi phạm, tất cả dữ liệu của các cá nhân khác liên quan đến vi phạm vẫn có nguy cơ.
Tác động của một vi phạm như vậy là khó hoặc không thể đo lường được . Tùy thuộc vào dữ liệu bị mất, nạn nhân có thể hoặc không phải là mục tiêu của nhiều vụ lừa đảo.
Chúng tôi đã tìm thấy dữ liệu để bán trong một vụ vi phạm vào năm 2014. Điểm dữ liệu cụ thể này là bằng chứng nữa về sự khó khăn trong việc đo lường rủi ro dài hạn. Vụ hack năm 2014 tấn công sàn giao dịch tiền điện tử hiện đã không còn tồn tại BTC-E, đã bị cơ quan thực thi pháp luật Hoa Kỳ tịch thu vào năm 2017 – thực sự có rủi ro liên quan đến mất dữ liệu thấp hơn nhiều so với các vụ khác.
Tuy nhiên, rõ ràng là có một rủi ro đang diễn ra là dữ liệu này có thể khớp với dữ liệu từ các vi phạm mới hơn, làm tăng rủi ro dài hạn cho các cá nhân tham gia Web 3.0 trong giai đoạn này.
Nhìn vào toàn bộ không gian, dữ liệu bị mất sau năm 2019 , đặc biệt là những dữ liệu vẫn có sẵn để bán trên thị trường darknet, rất có thể gây ra rủi ro dài hạn cao nhất đang diễn ra. Từ năm 2022 trở đi, những người bị ảnh hưởng gần như chắc chắn phải đối mặt với rủi ro đáng kể là dữ liệu của họ có thể được sử dụng cho hoạt động lừa đảo (ngay cả khi không thể xác định được vị trí thực tế của dữ liệu đó). Mặc dù nhiều diễn đàn trực tuyến đã ngừng hoạt động, nhưng chúng ta nên giả định rằng tất cả dữ liệu bị mất, đặc biệt là trong các vụ vi phạm dữ liệu gần đây, có khả năng vẫn còn ở đâu đó và có thể xuất hiện lại bất cứ lúc nào.
Kết luận
Thực tế là các lỗ hổng bảo mật không thể bị loại bỏ 100%. Khi dữ liệu được lưu trữ và xử lý bởi một thực thể tập trung, hầu hết người dùng bị ảnh hưởng bởi vi phạm dữ liệu đều có phương tiện khắc phục hạn chế.
Tuy nhiên, chúng tôi có thể giảm rủi ro phơi nhiễm bằng cách hạn chế sử dụng các dịch vụ tập trung , bao gồm cả các sàn giao dịch tập trung. Các cá nhân cũng nên sử dụng xác thực hai yếu tố bất cứ khi nào có thể để giúp ngăn chặn hoạt động ví trao đổi không mong muốn hoặc sử dụng PII để truy cập hoặc sửa đổi chi tiết tài khoản.
Tùy thuộc vào bản chất của vi phạm, chúng tôi thậm chí có thể cân nhắc việc cố gắng thay đổi một số thông tin bị lộ trong vi phạm, chẳng hạn như địa chỉ email hoặc số điện thoại.
Và trong một vụ vi phạm dữ liệu Web 3.0, nếu bạn có ý định hoạt động ẩn danh, thì danh tính của bạn sẽ phải đối mặt với nguy cơ bị tiết lộ thêm.
Có những bước khác mà mọi người có thể thực hiện để bảo vệ dữ liệu và các khoản đầu tư. Chẳng hạn như giảm rủi ro đầu tư và tài chính bằng cách phân phối tài sản trong ví tự quản và ví cứng.
Tất nhiên, dữ liệu cũng có thể được bảo vệ bởi:
① Giảm số lượng tổ chức đầu tư Web3 tập trung hoặc trao đổi chia sẻ dữ liệu cá nhân với bạn
② Không sử dụng mật khẩu lặp lại trên các nền tảng
③ Kích hoạt xác thực hai yếu tố trên tất cả các tài khoản
④ Theo dõi các trang web báo cáo vi phạm dữ liệu, các trang web này sẽ cho bạn biết liệu địa chỉ email của bạn có liên quan đến vi phạm hay không
⑤ Sử dụng dịch vụ giám sát tín dụng để phát hiện hành vi trộm cắp danh tính và gian lận liên quan đến ngân hàng
