CMC Infosec bị hack , lộ thông tin khách hàng ?

Cuối tuần, ngồi chơi C TF rảnh quá, tiện thể lướt FB thấy có thông tin trên FP của CMC Infosec xuất hiện thông báo đã fix lỗi SQL Injection ...

Cuối tuần, ngồi chơi CTF rảnh quá, tiện thể lướt FB thấy có thông tin trên FP của CMC Infosec xuất hiện thông báo đã fix lỗi SQL Injection như sau

upload_2017-5-28_2-31-9.png

Bạn có thể xem chi tiết thông báo tại: https://www.facebook.com/secureeveryclick/?hc_ref=PAGES_TIMELINE&fref=nf

Nội dung đầy đủ mình cũng copy rà đây để xem cho tiện
---------------------------------------------
THÔNG BÁO ĐÃ FIX LỖI SQL INJECTION TRÊN HỆ THỐNG THỬ NGHIỆM CŨ CỦA CMC INFOSEC.

Sáng ngày 26/05, CMC INFOSEC đã được cảnh báo về lỗi SQL Injection tồn tại trong hệ thống THỬ NGHIỆM CŨ trước năm 2010 ( không còn được sử dụng) của công ty.

Ngay sau khi được thông báo về lỗi này, Công ty đã kiểm tra và đưa hệ thống cũ ra khỏi Internet. Hiện nay các máy chủ bản quyền vẫn an toàn. Quá trình từ khi phát hiện tới khi xử lý phản ứng xong kéo dài khoảng 30 phút.

CMC INFOSEC xin gửi lời cảm ơn và một khoản tiền thưởng đến chuyên gia bảo mật đã đã kịp thời gửi cảnh báo đến CMC INFOSEC

Ông Triệu Trần Đức, tổng giám đốc CMC INFOSEC giải thích: việc này giống như một vài lần Google bị phát hiện lỗi bảo mật trong các hệ thống đang thử nghiệm (beta) hoặc đã đưa ra khỏi hoạt động chính (non-production).

Về các thông tin khách hàng, ông Đức cho biết các mã key (mã kích hoạt sản phẩm) đều ở dạng mã hóa nên khách hàng không bị ảnh hưởng. Tuy nhiên, có một số địa chỉ email và điện thoại trong cơ sở dữ liệu cũ có thể bị rò rỉ, phía CMC INFOSEC đang tiến hành điều tra thêm về việc này nhằm đảm bảo quyền riêng tư của khách hàng. Quyền lợi của khách hàng trong trường hợp này sẽ luôn được đặt lên hàng đầu.

Đại diện phía CMC INFOSEC cảnh báo rằng các truy cập trái phép đều bị lưu vết. Ngoài ra, như các hãng công nghệ khác, CMC INFOSEC có chương trình bug bounty ( trả thưởng cho người tìm ra lỗi bảo mật), qua đó khuyến khích các chuyên gia an toàn thông tin, các bạn trẻ nghiên cứu bảo mật nếu phát hiện lỗi bảo mật, kể cả chưa khai thác thành công, đều nên thông báo cho hãng chủ quản theo đúng quy ước của ngành an ninh an toàn thông tin và nhận các phần thưởng tương xứng.


-------------------------------

Về thông báo của CMC có mấy điểm

1. Lỗ hổng ở hệ thống thử nghiệm cũ trước năm 2010 không còn được sử dụng

2. Có một số địa chỉ email và điện thoại trong CSDL bị ảnh hưởng

3. CMC thông báo có chương trình trao thưởng (Bug Bounty) và đã trả thưởng theo chương trình này

Việc một hãng bảo mật bị hack là chuyện bình thường, trên thế giới Google, Facebook, FBI, kể cả vụ vừa rồi là NSA rò rỉ tool hack dẫn tới vụ WannaCry, ở VN thì BKAV cũng đã từng bị hack te tua.

Mình cũng chả quan tâm làm gì tới cái thông báo này, tuy nhiên thông tin mình biết được vụ CMC từ hôm diễn ra, không phải như thông báo của CMC, nên để người dùng và cộng động rõ về vụ này mình cung cấp thông tin đầy đủ như sau:

Post thông báo lỗi của người báo đã được hạ xuống, chỉ còn confirm như sau:
upload_2017-5-28_2-34-30.png

Thông báo này rất khớp với thông báo mà CMC gửi lên fix lỗi SQL Injection.
Tuy nhiên, nội dung của CMC có nhiều điểm không đúng sự thật, nếu ai đọc được bài “không ẩn” như dưới đây

upload_2017-5-28_2-34-47.png
upload_2017-5-28_2-34-54.png
upload_2017-5-28_2-35-2.png
upload_2017-5-28_2-35-14.png


Qua đây, các bạn có thể tự rút ra:

1. Lỗ hổng ở hệ thống thử nghiệm cũ trước năm 2010 không còn được sử dụng => đây là hệ thống chính thức, vì người báo lỗi thử nghiệm vào ngày 25/5 khi đăng ký phần mềm CMC Internet Security. Ngoài ra, thông tin dữ liệu mà người báo lỗi cho thấy có nhiều tài khoản có ngày kích hoạt năm 2016, không phải là hệ thống cũ trước năm 2010 như CMC thông báo.

2. Có một số địa chỉ email và điện thoại trong CSDL bị ảnh hưởng => Không phải một số, mà là toàn bộ 351K khách hàng

3. CMC thông báo có chương trình trao thưởng (Bug Bounty) và đã trả thưởng theo chương trình này => mình tìm mãi không ra, bạn nào có link chỉ ra cho mình với ?

Thiết kỹ, người báo lỗi ở đây làm chưa chuẩn, không nên đưa lên FB khi chưa báo và nhận được phản hồi của CMC Infosec theo đúng quy trình (cũng có thể đã báo rồi mà không nhận được phản hồi, nhưng theo thông tin trên FB có lẽ chưa báo). Việc này theo cá nhân mình đánh giá một phần cũng có thể thông tin về chương trình bug bounty của CMC khó tìm quá hoặc có thể nó chưa tồn tại.

Về phía CMC Infosec, xử lý khủng hoảng là đúng, tuy nhiên cần phải tôn trọng sự thật, ở đây là hệ thống quản lý khách hàng chính thức đã bị tấn công, chứ không phải hệ thống thử nghiệm cũ đã không còn sử dụng. Nếu có trong tay danh sách email, điện thoại (thông tin chuẩn) thì những kẻ xấu có thể làm được nhiều điều như spam, phishing... CMC cần có thông báo rõ ràng cho toàn bộ khách hàng của mình về việc này.

Đôi điều chia sẻ với mọi người về vụ việc này !

Chúc cả nhà cuối tuần vui vẻ.

nguồn: https://whitehat.vn/threads/cmc-infosec-bi-hack-lo-thong-tin-khach-hang.8928/

COMMENTS

Tên

.:: Connect Trojan ::.,111,.htaccess,2,0-day,3,2017,2,Add-on,16,Affiliate,1,Anotador,1,AutoIT,17,BackDoor,1,Bán Sách,13,banhangonline,1,Bảo Mật,161,Bất Động Sản Tại Tiền Giang,5,Bestsellers,13,Binder,1,blog,31,Blogger,4,Blogger Template,1,Botnet,3,Brute,1,Bug Bounty,1,Bypass,10,ceh,1,Châu Tinh Trì,2,Checked,6,Chrome,21,Code,5,coin hive,1,Coin-Hive,2,CoinHive,1,Connect Trojan,342,Connect Trojan ::.,1,Cổ Tích,2,Crack,3,Crypto,5,CSRF,5,CSS,2,Cuộc Sống,1,Dau tu,8,DDoS,6,Designer,1,Dich vụ,1,DNS,4,Download,2,du-an,3,DVD LUMION Tiếng Việt của anh Dũng Già Pro,1,Đam Mỹ,1,điện,1,Đồ Họa,215,Đô Thị,16,e11.me,1,ebook,16,ebook free,295,eBook Phệ Hồn Nghịch Thiên,1,eBook Thịnh Thế Địch Phi,1,Encrypt,1,Encryption,1,epub,76,epub [Tiên hiệp],1,ET-Logger,1,exploit,23,Exploitation,1,Extractor,2,facebook,69,FireFox,15,Flood,2,Forensic,7,full prc,2,game,177,Gerador,3,Gerenciador,1,Get Root,3,GHDB,3,Giả Tưởng,1,giaitri,1,Google,15,H&Y Shop,2,Hacker,3,Hacking,16,Hacking and Security,6,Hacking Tools,36,Hành Động,3,He Thong Site Phim,25,Hijacking,6,Hình Sự,1,hivecoin.hive coin,1,Hỏi Xoáy Đáp Xoay Trên VTV3,1,HTML,1,Huyền Ảo,92,Hướng dẫn Internet cơ bản,1,IFTTT,703,Imgur,2,Infographic,1,Information Disclosure,1,Internet Explorer,3,IT News,39,J2TeaM,29,J2TeaM Tools,9,JavaScript,6,Javascript Injection,3,Juno_okyo's Blog,23,Khóa Học,32,Khóa Học kiếm tiền online với accesstrade,5,khoá học miễn phí,16,Khóa học Photoshop,19,Khóa học sử dụng mã độc và phòng chống mã độc,2,Khoa Huyễn,6,khuyến mãi,15,kiemhiep,9,Kiếm Hiệp,20,Kiếm Tiền MMO,34,kiếm tiền rút gọn link,1,KilerRat,1,Kinh Dị,24,Kinh Dị - Ma,4,Kinh Doanh,73,kinhdi,1,kinhdoanh,5,KRACK Attacks,1,Lãng mạn,1,lazada,1,Lập trình,2,Lịch Sử,5,Linux,1,Local Attack,2,Logins/Cadastro,1,Lỗi Web,1,Lược Sử Hacker,2,Mã Giảm Giá,2,Mã Hóa,48,Malware,3,Master-Code,31,Máy Tính,1,Metasploit,2,Microsoft,4,mobile hacking,2,monero,1,Movie,25,MySQL,1,NEW PRODUCTS,19,NGHỆ THUẬT ẨN MÌNH,13,ngontinh,10,Ngôn Tình,151,nhà đất,1,Nhà Đất Gò Công,1,Nhân Vật Lịch Sử,2,Nhật Bản,1,Nhựt Trường Group,1,NjRat,5,Nước,1,open redirect,1,Oracle,1,Path Disclosure,2,pdf,76,Pen-Test,6,Pentest Box,9,Phan mem Internet,1,phanmem,23,phanmemdienthoai,3,phanmemmaytinh,10,phần mềm,11,Phim 18,2,Phim 2012,1,Phim 3D,1,Phim Âm Nhạc,2,Phim Bộ,39,Phim Chiến Tranh,5,Phim Dã Sử - Cổ Trang,6,Phim Đài Loan,6,Phim Đề Cử,4,Phim Hài Hước,26,Phim Hàn Quốc,33,Phim HD Chất Lượng Cao,5,Phim Hoạt Hình,2,Phim Hot,1,Phim Hồng Kông,20,Phim HQ,2,Phim Kinh Dị,8,Phim lẻ,4,Phim Mới 2011,2,Phim Mới 2012,1,Phim Mới 2015,1,Phim Nhật Bản,4,Phim SD,3,Phim Thái Lan,6,Phim Thần Thoại,4,Phim Tình Cảm,35,Phim Trung Quốc,37,Phim Truyền Hình,19,Phim Viễn Tưởng,1,Phim Võ Thuật,36,Phim Xã Hội Đen,1,Phishing,5,PHP,16,Plugin,1,Port,1,post mẫu,1,prc,77,Programming,15,Python,1,Quảng Cáo,1,rat,457,Recovery,3,Remote Code Execution,1,Remote Desktop,1,Reverse Engineering,6,review,3,rút gọn link,1,sach,47,Sách,35,Sách Nghệ Thuật Sống,12,Sách Tâm Linh,1,Sách Tiếng Anh,2,sachiep,2,Sản Phẩm,1,Sắc Hiệp,16,Scam,1,Scanner,10,Security,66,SEO,5,share,1,Shell,5,shop,1,Social Engineering,4,Software,22,Source Unity,1,SQL injection,21,Sức Khỏe,1,Symlink,3,Tài Chính,1,Tài chính cá nhân,2,Tài Liệu,1,Tản mạn,7,Taudio,2,Tâm lý xã hội,1,tấn công,1,Testador,1,Thái Lan,2,Tham Khảo,3,thamkhao,11,them,1,Thiệp Cưới,1,Thiết Kế Web,30,Thời Trang,2,Thủ Thuật Hacking,53,Thuyết Minh,1,tienhiep,5,Tiên Hiệp,123,Tiểu Thuyết,94,tiki,3,TIL,8,Tin Tức,52,Tips,39,tool,1,Tool Hack,14,Tools,9,Tổng Hợp,1,Tricks,26,Trinh thám,1,trojan original,48,Trọng sinh,11,Trộm mộ,1,Trung Quốc,1,Truyện,1,Trương Định,110,Tu Chân,2,TUTORIALS,124,Twitter,1,Ung_Dung,4,Upload,1,usb,1,vanhoc,11,văn học,6,vBulletin,7,video,16,Vietsub,1,Việt Nam,4,Virus,4,Võ Thuật,3,Võng Du,5,Vulnerability,19,Web Developer,15,webmau,5,WHMCS,3,WiFi,2,wiki lỗi máy tinh,1,wiki lỗi NTG,3,Windows,12,WordPress,43,Write-up,11,XSS,16,Yahoo,1,yeah1offer,1,youtube,11,
ltr
item
Nhựt Trường - Chia sẻ kiến thức miễn phí: CMC Infosec bị hack , lộ thông tin khách hàng ?
CMC Infosec bị hack , lộ thông tin khách hàng ?
https://whitehat.vn/attachments/upload_2017-5-28_2-31-9-png.1642/
Nhựt Trường - Chia sẻ kiến thức miễn phí
https://www.nhuttruong.com/2017/05/cmc-infosec-bi-hack-lo-thong-tin-khach.html
https://www.nhuttruong.com/
https://www.nhuttruong.com/
https://www.nhuttruong.com/2017/05/cmc-infosec-bi-hack-lo-thong-tin-khach.html
true
7607280272436897486
UTF-8
Loaded All Posts Not found any posts VIEW ALL Readmore Reply Cancel reply Delete By Home PAGES POSTS View All RECOMMENDED FOR YOU LABEL ARCHIVE SEARCH ALL POSTS Not found any post match with your request Back Home Sunday Monday Tuesday Wednesday Thursday Friday Saturday Sun Mon Tue Wed Thu Fri Sat January February March April May June July August September October November December Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec just now 1 minute ago $$1$$ minutes ago 1 hour ago $$1$$ hours ago Yesterday $$1$$ days ago $$1$$ weeks ago more than 5 weeks ago Followers Follow THIS PREMIUM CONTENT IS LOCKED STEP 1: Share to a social network STEP 2: Click the link on your social network Copy All Code Select All Code All codes were copied to your clipboard Can not copy the codes / texts, please press [CTRL]+[C] (or CMD+C with Mac) to copy Table of Content