Điều gì có thể ngăn chặn vụ hack 23andMe?

Đây là cách vụ hack 23andMe xảy ra và các giải pháp kiểm soát truy cập đăng nhập khác nhau có thể ngăn chặn nó như thế nào.

Vào ngày 10 tháng 10 năm 2023, 23andMe thông báo kẻ xấu đã đánh cắp dữ liệu cá nhân, di truyền và dân tộc của hàng triệu người dùng . Gây sốc hơn nữa, tin tặc đã bán dữ liệu này — bao gồm tên, ảnh, địa điểm và thông tin tổ tiên di truyền của người dùng 23andMe — trên web đen, có khả năng khiến nạn nhân trở thành mục tiêu nhắm đến dựa trên sắc tộc của họ.

Bài viết này xem xét vụ hack 23andMe đã xảy ra như thế nào và quan trọng nhất là các công nghệ kiểm soát truy cập đăng nhập khác nhau có thể giúp 23andMe ngăn chặn vụ hack này xảy ra như thế nào ngay từ đầu.

Tin tặc đã đột nhập vào 23andMe như thế nào?

Tin tặc 23andMe đã sử dụng “nhồi thông tin xác thực”, một cách khai thác dựa trên thực tế là hầu hết mọi người đều sử dụng cùng một kết hợp tên người dùng/mật khẩu trên các trang web khác nhau. Về cơ bản, tin tặc lấy danh sách kết hợp tên người dùng/mật khẩu từ một trang web khác đã bị tấn công và chúng thử chúng trên trang web mà chúng muốn nhắm mục tiêu.

Một ví dụ điển hình về điều này là Cơ sở dữ liệu RockYou2021 . Đây là một tệp web tối được cung cấp công khai với 8,4 tỷ thông tin xác thực bị đánh cắp từ các trang web khác nhau. Rất có thể, bạn có một số thông tin xác thực bị xâm phạm trong danh sách này hoặc danh sách khác, đó là lý do tại sao việc sử dụng một mật khẩu duy nhất trên mỗi trang web lại rất quan trọng.

Theo tờ Washington Post “Các bài đăng trực tuyến rao bán dữ liệu trên các diễn đàn ngầm cho biết người mua có thể có được 100 hồ sơ với giá 1.000 USD hoặc tối đa 100.000 hồ sơ với giá 100.000 USD.” Sự vi phạm đã ảnh hưởng đến khoảng 14 triệu tài khoản.

Tại sao 23andMe lại dễ bị tấn công bằng việc nhồi thông tin xác thực?

Theo TechCrunch :

“23andMe đổ lỗi cho khách hàng của mình về việc sử dụng lại mật khẩu và tính năng chọn tham gia có tên là Người thân DNA , cho phép người dùng xem dữ liệu của những người dùng đã chọn tham gia khác có dữ liệu di truyền khớp với dữ liệu của họ. Về lý thuyết, nếu một người dùng bật tính năng này, nó sẽ cho phép tin tặc lấy cắp dữ liệu của nhiều người dùng bằng cách đột nhập vào tài khoản của một người dùng.”

Nếu bạn phạm tội sử dụng lại mật khẩu (hầu hết chúng ta đều như vậy), thì bạn rất dễ bị tấn công bởi kiểu hack này. Nhưng đổ lỗi cho khách hàng về việc sử dụng sai mật khẩu là không thực sự công bằng. Tài khoản 23andMe có mật khẩu mạnh cũng dễ bị tấn công. Do cách chương trình “Người thân DNA” kết nối dữ liệu người dùng nên những tài khoản có mật khẩu yếu sẽ làm lộ những tài khoản có mật khẩu mạnh.

Cuối cùng, việc dựa vào người dùng để áp dụng các phương pháp thực hành mật khẩu tốt là một chiến lược thất bại khi nói đến kiểm soát truy cập. Theo thống kê gần đây:

• 13% người sử dụng lại cùng một mật khẩu trên tất cả các tài khoản ( Nghiên cứu của Google năm 2019 )
• 52% sử dụng tương tự cho nhiều tài khoản ( Nghiên cứu của Google năm 2019 )
• Chỉ 35% (những người chịu trách nhiệm) sử dụng mật khẩu khác nhau cho mỗi tài khoản ( Nghiên cứu của Google năm 2019 )
• 81% số vụ vi phạm được xác nhận vào năm 2022 là do mật khẩu yếu, được sử dụng lại hoặc bị đánh cắp ( Báo cáo LastPass )

Với những số liệu thống kê này, thật dễ dàng để kết luận rằng các nhà quản lý trang web không thể dựa vào người dùng để phát triển các phương pháp thực hành mật khẩu tốt. Điều này đặt ra trách nhiệm rõ ràng cho chủ sở hữu trang web trong việc thực hiện các biện pháp đăng nhập/truy cập tốt hơn.

Còn những trình quản lý mật khẩu như 1Password thì sao?

Trình quản lý mật khẩu cung cấp giải pháp tuyệt vời để thu thập và theo dõi các mật khẩu duy nhất. Hầu hết các trình duyệt web đều có trình quản lý mật khẩu miễn phí và có các dịch vụ trả phí như 1password . Nhưng bạn không thể buộc mọi khách hàng sử dụng trình quản lý mật khẩu. Trên các nền tảng truyền thông xã hội và các trang web như 23andMe—nơi khách hàng kết nối và tự động chia sẻ thông tin cá nhân—những người dùng không áp dụng các biện pháp thực hành mật khẩu tốt sẽ gây nguy hiểm cho những người thực hiện.

Ngoài ra, trình quản lý mật khẩu không thể đánh lừa được. Nếu một hacker chiếm được mật khẩu chính, họ sẽ nhận được MỌI THỨ. Các cuộc tấn công lừa đảo—trong đó bạn nhấp vào một liên kết độc hại và làm lộ thông tin xác thực của bạn—cũng là một vấn đề. Tiến sĩ Siamak Shahandashti từ Khoa Khoa học Máy tính tại Đại học York đã nhấn mạnh những lỗ hổng này trong tuyên bố sau:

“Các lỗ hổng trong trình quản lý mật khẩu tạo cơ hội cho tin tặc lấy thông tin xác thực, xâm phạm thông tin thương mại hoặc vi phạm thông tin nhân viên. Vì chúng là người gác cổng cho rất nhiều thông tin nhạy cảm nên việc phân tích bảo mật nghiêm ngặt của trình quản lý mật khẩu là rất quan trọng.

“Nghiên cứu của chúng tôi cho thấy rằng một cuộc tấn công lừa đảo từ một ứng dụng độc hại là rất khả thi – nếu nạn nhân bị lừa cài đặt một ứng dụng độc hại, nó sẽ có thể tự hiển thị như một tùy chọn hợp pháp trên lời nhắc tự động điền và có cơ hội thành công cao.”

Cuối cùng, trình quản lý mật khẩu còn hơn không—và chúng có thể giúp bạn an toàn hơn , nhưng ngay cả những người dùng có trình quản lý mật khẩu cũng dễ bị tổn thương trong cuộc tấn công 23andMe do cách các tài khoản người dùng kết nối với nhau và chia sẻ thông tin cá nhân. Cần phải làm nhiều việc hơn nữa để bảo vệ quyền truy cập tài khoản của chính các trang web.

Điều gì về xác thực đa yếu tố (MFA)?

Để tăng tính bảo mật khi đăng nhập, rất nhiều trang web sử dụng xác thực đa yếu tố (MFA). Có nhiều loại MFA và giải pháp phổ biến nhất liên quan đến việc gửi mật mã 2 yếu tố (2FA) tạm thời bằng tin nhắn văn bản hoặc email, buộc người dùng phải thực hiện một bước xác thực bổ sung nhưng tẻ nhạt.

23andMe không cung cấp MFA cho người dùng. Nhưng ngay cả khi họ có thì các giải pháp MFA dựa trên email và tin nhắn văn bản cũng không còn an toàn như trước nữa. Trong hầu hết các trường hợp, email chỉ được bảo mật bằng mật khẩu. Ngoài ra, việc tin tặc giành quyền kiểm soát điện thoại thông minh thông qua việc hoán đổi SIM là điều tương đối phổ biến. Trên thực tế, đây là những gì đã xảy ra trong vụ hack tài khoản Twitter của SEC gần đây :

Các nhà nghiên cứu cũng đồng ý rằng MFA dựa trên tin nhắn văn bản ngày càng dễ bị tấn công. Theo công ty an ninh mạng Proofpoint :

Các nhà nghiên cứu từ công ty bảo mật Proofpoint cho biết trong một báo cáo: “Trái ngược với những gì người ta có thể dự đoán, số vụ chiếm đoạt tài khoản của những người thuê có bảo vệ MFA (xác thực đa yếu tố) ngày càng gia tăng”. “Dựa trên dữ liệu của chúng tôi, ít nhất 35% tổng số người dùng bị xâm nhập trong năm qua đã bật MFA.”

Vì những lỗ hổng này, các công ty như Microsoft hiện đang cảnh báo không nên sử dụng chiến lược 2 yếu tố sử dụng xác thực bằng giọng nói hoặc tin nhắn văn bản. Theo Alex Weinert , giám đốc bảo mật danh tính của Microsoft:

“Các cơ chế này [chiến lược 2FA dựa trên tin nhắn văn bản] dựa trên các mạng điện thoại chuyển mạch công cộng (PSTN) và tôi tin rằng chúng là phương pháp MFA kém an toàn nhất hiện nay. Khoảng cách đó sẽ chỉ mở rộng khi việc áp dụng MFA làm tăng sự quan tâm của kẻ tấn công trong việc phá vỡ các phương pháp này […] Tuy nhiên, cần phải nhắc lại rằng MFA là điều cần thiết - chúng tôi đang thảo luận về phương pháp MFA nào sẽ sử dụng chứ không phải có nên sử dụng MFA hay không. ”

Còn các khóa bảo mật vật lý như YubiKey thì sao?

Khóa bảo mật vật lý—chẳng hạn như Yubikey của Yubico —là các thiết bị nhỏ mà bạn kết nối với điện thoại hoặc máy tính của mình. Những điều này bổ sung thêm một “yếu tố” vật lý bổ sung vào quy trình xác thực đa yếu tố. Nhiều công ty, như Google, yêu cầu nhân viên sử dụng Yubikeys khi đăng nhập vào tài khoản công việc của họ. Nếu người dùng không kết nối khóa, họ không thể truy cập được.

Khóa bảo mật vật lý bổ sung thêm một lớp bảo mật mạnh mẽ. Tuy nhiên, tổ chức càng lớn thì những chiến lược này càng trở nên đắt đỏ. Với giá từ 50 USD đến 105 USD một chiếc chìa khóa, việc trang bị Yubikeys cho mọi nhân viên của một tổ chức lớn rất tốn kém. Ngoài ra, sự chậm trễ và rắc rối trong quản lý trong việc gửi và thay thế khóa cũng tạo ra gánh nặng đáng kể.

Sau đó, bạn có các trang web công cộng—như 23andMe—với hàng triệu người dùng. Yêu cầu mọi người dùng trang web công cộng hoặc nền tảng truyền thông xã hội mua một thiết bị phần cứng trị giá 50 đô la là điều không thể.

Còn các giải pháp bảo mật toàn diện như Cisco Duo thì sao?

Cisco Duo và các dịch vụ bảo mật toàn diện khác cung cấp xác thực hai yếu tố (2FA) chất lượng cao và các công cụ xác thực khác để tăng cường bảo mật đăng nhập vượt xa mật khẩu. Người dùng xác nhận quyền truy cập thông qua các bước bổ sung như cuộc gọi điện thoại, thông báo đẩy và khóa bảo mật vật lý.

Các dịch vụ bảo mật toàn diện như Duo rất lý tưởng cho các doanh nghiệp có cơ sở người dùng được kiểm soát. Tuy nhiên, việc nhân rộng chúng để phục vụ hàng triệu người dùng trên một trang web như 23andMe hay Facebook sẽ không thực tế xét từ góc độ chi phí.

Đây là lý do tại sao:

• Chi phí mở rộng: Các dịch vụ bảo mật toàn diện như tính phí Duo cho mỗi người dùng. Tính phí cho hàng triệu tài khoản sẽ không thực tế từ góc độ kinh doanh.
• Rào cản của người dùng: Xác thực nhiều bước của Duo có thể ngăn cản một số người dùng, đặc biệt là những người không quen với 2FA.
• Độ phức tạp trong hoạt động: Việc quản lý hàng triệu tài khoản Duo đòi hỏi phải có cơ sở hạ tầng và tài nguyên chuyên dụng.

Thế còn giải pháp ứng dụng Authenticator như Google Authenticator thì sao?

Việc bắt buộc sử dụng giải pháp 2FA như Google Authenticator có thể là một cách hợp lý để bảo vệ người dùng 23andMe. Tuy nhiên, điều quan trọng cần lưu ý là Google Authenticator có một số lỗ hổng quan trọng:

• Tấn công lừa đảo: Kẻ tấn công có thể tạo các trang đăng nhập giả mạo thuyết phục để đánh cắp tên người dùng, mật khẩu và mã dùng một lần, cho phép tin tặc truy cập tài khoản từ xa.
• Kỹ thuật lừa đảo xã hội: Các chiến thuật lừa đảo có thể thuyết phục người dùng chia sẻ mã dùng một lần của họ hoặc tải xuống phần mềm độc hại làm lộ mã đó.
• Lỗ hổng sao lưu đám mây: Nhiều người dùng có bản sao lưu dựa trên đám mây để lưu khóa xác thực của họ. Bằng cách xâm phạm tài khoản lưu trữ đám mây, tin tặc có thể truy cập dữ liệu xác thực này.
• Rào cản người dùng : Google Authentator yêu cầu người dùng tải xuống ứng dụng bổ sung và nhập khóa bảo mật. Sau đó, mỗi lần đăng nhập vào ứng dụng, họ cần chuyển mật mã tạm thời từ ứng dụng sang trang web, điều này gây thêm rắc rối và khó khăn đáng kể cho quá trình đăng nhập.
• Chặn khóa xác thực: Việc cung cấp mã khóa xác thực cho người dùng là một điểm dễ bị tấn công. Nếu tin tặc chặn mã này hoặc lấy được mã bằng cách nào đó, toàn bộ quy trình Xác thực Google sẽ bị xâm phạm và tin tặc từ xa có thể truy cập tài khoản từ bất cứ đâu..

Bất chấp những lỗ hổng này, Google Authenticator và các ứng dụng xác thực khác vẫn cải thiện đáng kể tính bảo mật đăng nhập trang web so với chỉ sử dụng mật khẩu. Một hệ thống xác thực như thế này có thể đã ngăn chặn được vụ hack nhồi thông tin xác thực 23andMe.

Còn việc buộc quyền kiểm soát truy cập vào chính thiết bị đăng nhập, cách Invysta thực hiện thì sao?

Có một giải pháp khác có thể có tác dụng ngăn chặn vụ hack 23andMe. Đây là một công nghệ dựa trên phần mềm của Tập đoàn công nghệ Invysta , có thể ngay lập tức chuyển đổi thiết bị đăng nhập của người dùng 23andMe thành khóa bảo mật vật lý, cung cấp mức độ bảo mật tương tự như khóa bảo mật vật lý (mà không cần khóa thực tế).

Invysta hoạt động bằng cách phát hiện các mã nhận dạng phần cứng và phần mềm duy nhất được tìm thấy trong mỗi thiết bị đăng nhập của người dùng và sử dụng các mã nhận dạng đó để tạo ra “Khóa truy cập ẩn danh” không thể sao chép. Bằng cách chuyển đổi điện thoại thông minh hoặc máy tính xách tay của người dùng 23andMe thành khóa bảo mật vật lý, Invysta trao quyền cho các trang web có hàng triệu người dùng khả năng bảo mật truy cập ở mức cao nhất mà không cần phải mua hoặc phân phối phần cứng bổ sung—khiến tin tặc từ xa không thể tiến hành xác thực tấn công nhồi nhét.

Tất nhiên, Invysta vẫn là một công nghệ tương đối xa lạ và hầu hết chủ sở hữu trang web đều không biết rằng nó tồn tại. Tuy nhiên, theo thời gian, giải pháp này có thể tạo dựng được danh tiếng như một chiến lược mạnh mẽ nhưng tiết kiệm chi phí trong lĩnh vực kiểm soát truy cập.

suy nghĩ cuối cùng

Bài viết này xem xét các giải pháp kiểm soát truy cập đăng nhập khác nhau có thể giúp 23andMe ngăn chặn cuộc tấn công vào khách hàng của mình. Nhưng chỉ vì một số giải pháp này hoạt động ngày hôm nay không có nghĩa là chúng sẽ tiếp tục hoạt động trong tương lai.

Khi chúng tôi chia sẻ thêm thông tin chi tiết về bản thân và gia đình của mình trực tuyến—bao gồm dữ liệu DNA và sắc tộc của chúng tôi trên các dịch vụ như 23andMe—lĩnh vực bảo mật kỹ thuật số không ngừng phát triển trở nên quan trọng hơn bao giờ hết. Thật vậy, đây không chỉ là việc đảm bảo cuộc sống tài chính của chúng ta nữa. Đó là việc giữ an toàn cho gia đình chúng ta khỏi tội ác căm thù, xâm phạm quyền riêng tư cá nhân và các lỗ hổng đáng sợ khác.

Khi những mối nguy hiểm này tiếp tục gia tăng và thay đổi trong những năm tới, hãy mong đợi sẽ có thêm nhiều giải pháp an ninh mạng xuất hiện trên thị trường. Bằng cách triển khai sớm những công nghệ mới này, các tổ chức có thể tránh được những thiệt hại về tài chính, danh tiếng và an toàn vật chất mà 23andMe gần đây đã phải gánh chịu.