Tin tặc đã thâm nhập vào an ninh của Citibank, sử dụng điều khiển URL đơn giản

Hackersbreached Citibank security using simple URL manipulation

15June 2011, 17:25

Theo:http://www.h-online.com/security/news/item/Hackers-breached-Citibank-security-using-simple-URL-manipulation-1260964.html

Bàiđược đưa lên Internet ngày: 15/06/2011

Lờingười dịch: Tới lượt ngân hàng Citibank bị lộ thôngtin khách hàng khoảng 1% trong tổng số 21 triệu khách hàngcó thẻ tín dụng của ngân hàng này. Họ cho rằng cáctin tặc tới từ Đông Âu.

Vụtrộm khoảng 200.000 tài khoản khách hàng của Citibank cóthể đã đạt được bằng các phương tiện của một sựđiều khiển đơn giản URL của Citibank. Các chuyên gi anninh đã nói với tờ Thời báo New York rằng các tin tặcđã có khả năng đóng vai những người nắm giữ tàikhoản thực bằng việc sử dụng một mẹo đơn giản.

Saukhi đăng nhập vào một tài khoản hợp lệ, URL đối vớihệ thống tài khoản trực tuyến của Citibank có chứamột chuỗi các số thể hiện tài khoản của các kháchhàng. Bằng việc thay đổi chuỗi này, bọn tội phạm đãcó khả năng dễ dàng chuyển giữa nhiều tài khoản vàgiành được thông tin riêng tư của khách hàng. Việc sửdụng một script để tự động hóa quá trình này đã chophép họ làm như vậy với hàng trăm ngàn lần.

Nhữngkẻ tấn công được cho là đã giành được sự truy cậptới khoảng 1% của khoảng 21 triệu khách hàng có thẻtín dụng của ngân hàng này tại Bắc Mỹ. Các chi tiếtgiành được trong cuộc tấn công đã bao gồm tên, sốtài khoản và địa chỉ thư điện tử của các kháchhàng. Tuy nhiên, các tin tặc đã không giành được sựtruy cập tới các mã an ninh của các thẻ tín dụng hoặccác số và ngày tháng năm sinh về an ninh xã hội của cácchủ thẻ.

Citibanknói rằng ngân hàng này lần đầu tiên đã phát hiệnđược sự thâm nhập vào đầu tháng 05 trong một đợtkiểm tra thường kỳ. Hãng này kể từ đó đã báo cáovụ việc cho các nhà điều tra tội phạm và nói hãng đãcủng cố an ninh của mình.

Citibankcòn chưa công bố hãng cho ai có trách nhiệm đối vớicuộc tấn công này, nhưng chuyên gia an ninh mà ông này đãnói cho tờ Thời báo New York trong tình trạng dấu tên,rằng các giả thiết họ tới từ Đông Âu.

Thetheftof approximately 200,000 Citibankcustomer accounts may have achieved by means of a simple manipulationof the Citibank URL. Security experts toldthe TheNew York Timesthat the hackers were able to impersonate actual account holders byusing a simple trick.

Afterlogging into a valid account, the URL to the Citi Account Onlinesystem contains a string of numbers which represents the customer'saccount. By changing this string, the criminals were able to easilyswitch between multiple accounts and obtain private customerinformation. Using a script to automate this process allowed them todo so hundreds of thousands of times.

Theattackers are said to have gained access to around one per cent ofthe bank's approximately 21 million credit card customers in NorthAmerica. Details obtained in the attack included customer names,account numbers and email addresses. The hackers did not, however,gain access to the security codes for the credit cards or to theholders' Social Security numbers and birth dates.

Citibanksays that it first discovered the break-in at the beginning of Mayduring a routine check. The company has since reported it to criminalinvestigators and says it has stepped up its security. Citibank hasnot yet announced who it believes is responsible for the attack, butthe security expert who talked to TheNew York Timeson condition of anonymity, says that he presumes they are f-romEastern Europe.

(crve)

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com