Chuyên gia: Sự cố của ONUS ‘tiềm ẩn nguy cơ lớn về an toàn thông tin’

Sự cố lộ KYC của ONUS tiềm ẩn nguy cơ lớn về an toàn thông tin cho người dùng, đó là nhận định cuả chuyên gia an minh mạng.

“Tôi đã xâm nhập vào máy chủ của họ và kết xuất dữ liệu. Tôi cũng đã xóa các tệp trên máy chủ. Vì vậy, bây giờ ONUS cũng không có thông tin eKYC của người dùng. Cơ sở dữ liệu chứa thông tin của khoảng 2 triệu khách hàng nền tảng ONUS”, một thành viên tên là vndcio viết trên Raid, thổi bùng thông tin ví ONUS bị harker tấn công làm lộ thông tin người dùng.

Đính kèm bài đăng là nhiều phần dữ liệu được chủ tài khoản cho biết lấy từ máy chủ của ONUS. Thông tin cá nhân gồm họ tên, địa chỉ email, thời gian hoạt động của một số người dùng cũng bị hacker công khai.

Sự cố của ONUS được các cơ quan truyền thông Việt Nam đưa tin ngày hôm qua, gây lo ngại cho cộng đồng sử dụng ONUS.

Đến trưa 27/12, ONUS xác nhận việc bị tấn công, “dẫn đến nguy cơ có thể rò rỉ thông tin cá nhân của một lượng lớn người dùng”. Tuy nhiên, nhóm này không công bố cụ thể số người bị ảnh hưởng là bao nhiêu.

Website ONUS sáng 28/12.
Website ONUS sáng 28/12. 

Như đã thông tin, trong thông báo trên website, Onus cho biết kẻ tấn công lợi dụng một lỗ hổng trong một bộ thư viện trên hệ thống để xâm nhập vào máy chủ sandbox, vốn chỉ dành cho việc lập trình. Do vấn đề về mặt cấu hình, máy chủ này chứa thông tin cho phép kẻ xấu có quyền truy cập hệ thống và đánh cắp một số dữ liệu quan trọng, như tên, email, số điện thoại, địa chỉ, thông tin KYC, mật khẩu mã hóa, lịch sử giao dịch… Nhóm khẳng định tài sản người dùng không bị ảnh hưởng, đồng thời đề nghị người dùng đổi mật khẩu ứng dụng.

Tuy nhiên, theo các chuyên gia bảo mật từ dự án Chống lừa đảo của Việt Nam, sự cố trên tiềm ẩn nguy cơ lớn về an toàn thông tin cho người dùng. Với các dữ liệu bị rò rỉ, kẻ xấu có thể thực hiện việc giả mạo danh tính, sử dụng thông tin để lừa đảo, hoặc tìm hiểu về lịch sử giao dịch của nạn nhân. Ngoài ra, với thông tin về địa chỉ, email, số điện thoại, kẻ xấu có thể thực hiện các chiến dịch phising, spam, quảng cáo làm phiền người dùng.

Onus tiền thân là ứng dụng ví VNDC. Dự án này tự giới thiệu là “ứng dụng đầu tư tài chính số” do người Việt sáng lập và có trụ sở tại Singapore.

Theo sách trắng của dự án, Onus được đưa lên các kho ứng dụng vào tháng 3/2020 và sau 18 tháng đã có 1,6 triệu người dùng, phần lớn là người Việt. Hơn 600.000 người đã thực hiện KYC.

Hacker tuyên bố đã xóa các tệp lưu trữ trên máy chủ của ONUS, nhà phát triển ứng dụng giờ đây không còn nắm trong tay dữ liệu eKYC người dùng. Điều này có đúng không? 

Thuật ngữ KYC là gì?

Quá trình tìm hiểu khách hàng của bạn, còn được gọi là KYC những  doanh nghiệp làm để xác minh danh tính của khách hàng trước hoặc trong thời gian họ bắt đầu kinh doanh với họ. Thuật ngữ KYC cũng có thể tham chiếu các thực tiễn ngân hàng được quy định được sử dụng tương tự để xác minh danh tính của khách hàng.

Nguồn: dautucoin