(Bloomberg) — In een aflevering die de kwetsbaarheid van wereldwijde computernetwerken onderstreept, kregen hackers inloggegevens te pakken voor datacenters in Azië die worden gebruikt door enkele van 's werelds grootste bedrijven, een potentiële bonanza voor spionage of sabotage, volgens een cyberbeveiligingsonderzoeksbureau .
Meest gelezen van Bloomberg
De eerder niet-gerapporteerde datacaches hebben betrekking op e-mails en wachtwoorden voor websites voor klantenondersteuning van twee van de grootste datacenterexploitanten in Azië: het in Shanghai gevestigde GDS Holdings Ltd. en het in Singapore gevestigde ST Telemedia Global Data Centres, volgens Resecurity Inc. cyberbeveiligingsdiensten en onderzoekt hackers. Ongeveer 2,000 klanten van GDS en STT GDC werden getroffen. Hackers hebben ingelogd op de accounts van ten minste vijf van hen, waaronder China's belangrijkste platform voor deviezen en schuldhandel en vier anderen uit India, volgens Resecurity, die zei dat het de hackgroep had geïnfiltreerd.
Het is niet duidelijk wat de hackers met de andere logins hebben gedaan. De informatie bevatte referenties in wisselende aantallen voor enkele van 's werelds grootste bedrijven, waaronder Alibaba Group Holding Ltd., Amazon.com Inc., Apple Inc., BMW AG, Goldman Sachs Group Inc., Huawei Technologies Co., Microsoft Corp., en Walmart Inc., volgens het beveiligingsbedrijf en honderden pagina's met documenten die Bloomberg heeft beoordeeld.
In antwoord op vragen over de bevindingen van Resecurity zei GDS in een verklaring dat er in 2021 een website voor klantenondersteuning was gehackt. Het is niet duidelijk hoe de hackers de STT GDC-gegevens hebben verkregen. Dat bedrijf zei dat het geen bewijs vond dat zijn klantenserviceportaal dat jaar was gecompromitteerd. Beide bedrijven zeiden dat de frauduleuze inloggegevens geen risico vormden voor de IT-systemen of gegevens van klanten.
Resecurity en leidinggevenden van vier grote in de VS gevestigde bedrijven die werden getroffen, zeiden echter dat de gestolen inloggegevens een ongebruikelijk en ernstig gevaar vormden, vooral omdat de websites voor klantenondersteuning bepalen wie fysiek toegang heeft tot de IT-apparatuur in de datacenters. Die leidinggevenden, die via Bloomberg News over de incidenten hoorden en de informatie bevestigden met hun beveiligingsteams, die vroegen om niet geïdentificeerd te worden omdat ze niet bevoegd waren om in het openbaar over de zaak te spreken.
Meld u hier aan voor onze wekelijkse cyberbeveiligingsnieuwsbrief, het Cyber Bulletin.
De omvang van het gegevensverlies dat door Resecurity wordt gerapporteerd, benadrukt de groeiende risico's waarmee bedrijven worden geconfronteerd vanwege hun afhankelijkheid van derden om gegevens en IT-apparatuur onder te brengen en hun netwerken te helpen wereldwijde markten te bereiken. Beveiligingsexperts zeggen dat het probleem vooral acuut is in China, waar bedrijven moeten samenwerken met lokale dataserviceproviders.
"Dit is een nachtmerrie die nog moet gebeuren", zei Michael Henry, voormalig chief information officer van Digital Realty Trust Inc., een van de grootste Amerikaanse datacenterexploitanten, toen Bloomberg hem over de incidenten vertelde. (Digital Realty Trust werd niet getroffen door de incidenten). Het worstcasescenario voor elke datacenterexploitant is dat aanvallers op de een of andere manier fysieke toegang krijgen tot de servers van klanten en kwaadaardige code of extra apparatuur installeren, zei Henry. "Als ze dat kunnen bereiken, kunnen ze mogelijk de communicatie en handel op grote schaal verstoren."
GDS en STT GDC zeiden dat ze geen indicatie hadden dat zoiets was gebeurd en dat hun kerndiensten niet werden beïnvloed.
De hackers hadden meer dan een jaar toegang tot de inloggegevens voordat ze deze vorige maand voor $ 175,000 op het dark web te koop plaatsten, volgens Resecurity en een screenshot van de posting beoordeeld door Bloomberg. .
"Ik heb wat doelen gebruikt", zeiden de hackers in de post. "Maar niet in staat om te handelen aangezien het totale aantal bedrijven meer dan 2,000 is."
Volgens Resecurity hadden de e-mailadressen en wachtwoorden hackers in staat kunnen stellen zich voor te doen als geautoriseerde gebruikers op de websites van de klantenservice. Het beveiligingsbedrijf ontdekte de datacaches in september 2021 en zei dat het ook bewijs had gevonden dat de hackers deze gebruikten om toegang te krijgen tot accounts van GDS- en STT GDC-klanten in januari, toen beide datacenterbeheerders het wachtwoord van de klant opnieuw instelden, volgens Resecurity.
Zelfs zonder geldige wachtwoorden zouden de gegevens nog steeds waardevol zijn, waardoor hackers gerichte phishing-e-mails kunnen opstellen tegen mensen met toegang op hoog niveau tot de netwerken van hun bedrijf, aldus Resecurity.
De meeste getroffen bedrijven waarmee Bloomberg News contact opnam, waaronder Alibaba, Amazon, Huawei en Walmart, weigerden commentaar te geven. Apple reageerde niet op berichten waarin om commentaar werd gevraagd.
In een verklaring zei Microsoft: "We controleren regelmatig op bedreigingen die van invloed kunnen zijn op Microsoft en wanneer potentiële bedreigingen worden geïdentificeerd, nemen we passende maatregelen om Microsoft en onze klanten te beschermen." Een woordvoerder van Goldman Sachs zei: "We hebben aanvullende controles ingevoerd om ons te beschermen tegen dit soort inbreuken en we zijn tevreden dat onze gegevens geen risico liepen."
Autofabrikant BMW zei op de hoogte te zijn van het probleem. Maar een woordvoerder van het bedrijf zei: "Na beoordeling heeft het probleem een zeer beperkte impact op BMW-bedrijven en heeft het geen schade toegebracht aan BMW-klanten en productgerelateerde informatie." De woordvoerder voegde eraan toe: "BMW heeft er bij GDS op aangedrongen om het informatiebeveiligingsniveau te verbeteren."
GDS en STT GDC zijn twee van Azië's grootste leveranciers van "colocatie"-diensten. Ze treden op als verhuurders en verhuren ruimte in hun datacenters aan klanten die daar hun eigen IT-apparatuur installeren en beheren, meestal om dichter bij klanten en bedrijfsactiviteiten in Azië te zijn. GDS behoort tot de top drie van colocatieproviders in China, de op een na grootste markt voor de service ter wereld na de VS, volgens Synergy Research Group Inc. Singapore staat op de zesde plaats.
De bedrijven zijn ook met elkaar verweven: uit een bedrijfsaanvraag blijkt dat Singapore Technologies Telemedia Pte, de moedermaatschappij van de STT GDC, in 2014 een belang van 40% in GDS verwierf.
Resecurity Chief Executive Officer Gene Yoo zei dat zijn bedrijf de incidenten in 2021 ontdekte nadat een van zijn agenten undercover ging om te infiltreren in een hackgroep in China die regeringsdoelen in Taiwan had aangevallen.
Kort daarna waarschuwde het GDS en STT GDC en een klein aantal getroffen Resecurity-klanten, volgens Yoo en de documenten.
Resecurity bracht GDS en STT GDC in januari opnieuw op de hoogte nadat het ontdekte dat de hackers toegang hadden tot accounts, en het beveiligingsbedrijf waarschuwde destijds ook de autoriteiten in China en Singapore, volgens Yoo en de documenten.
Beide datacenter-exploitanten zeiden dat ze onmiddellijk reageerden toen ze op de hoogte werden gesteld van de beveiligingsproblemen en interne onderzoeken begonnen.
Cheryl Lee, een woordvoerder van het Cyber Security Agency van Singapore, zei dat het bureau "op de hoogte is van het incident en ST Telemedia bijstaat in deze kwestie." Het National Computer Network Emergency Response Technical Team/Coordination Center of China, een niet-gouvernementele organisatie die zich bezighoudt met cybernoodhulp, reageerde niet op berichten waarin om commentaar werd gevraagd.
GDS erkende dat er inbreuk was gemaakt op een website voor klantenondersteuning en zei dat het in 2021 een kwetsbaarheid in de site had onderzocht en verholpen.
"De applicatie die het doelwit was van hackers, is qua reikwijdte en informatie beperkt tot niet-kritieke servicefuncties, zoals het aanvragen van tickets, het plannen van fysieke levering van apparatuur en het bekijken van onderhoudsrapporten", aldus een bedrijfsverklaring. “Verzoeken die via de applicatie worden ingediend, vereisen doorgaans offline opvolging en bevestiging. Gezien de fundamentele aard van de applicatie leidde de inbreuk niet tot een bedreiging voor de IT-activiteiten van onze klanten.”
STT GDC zei dat het externe cyberbeveiligingsexperts had ingeschakeld toen het in 2021 hoorde van het incident. "Het IT-systeem in kwestie is een ticketingtool voor klantenservice" en "heeft geen verbinding met andere bedrijfssystemen of kritieke data-infrastructuur", aldus het bedrijf. .
Het bedrijf zei dat zijn klantenserviceportaal in 2021 niet was geschonden en dat de inloggegevens die door Resecurity zijn verkregen “een gedeeltelijke en verouderde lijst met gebruikersreferenties voor onze klantticketing-applicaties zijn. Dergelijke gegevens zijn nu ongeldig en vormen in de toekomst geen veiligheidsrisico."
"Er is geen ongeoorloofde toegang of gegevensverlies waargenomen", aldus de verklaring van STT GDC.
Ongeacht hoe de hackers de informatie hebben gebruikt, zeggen cyberbeveiligingsexperts dat de diefstallen aantonen dat aanvallers nieuwe manieren verkennen om harde doelen te infiltreren.
De fysieke beveiliging van IT-apparatuur in datacenters van derden en de systemen voor toegangscontrole vormen kwetsbaarheden die vaak over het hoofd worden gezien door beveiligingsafdelingen van bedrijven, zegt Malcolm Harkins, voormalig hoofd beveiliging en privacy van Intel Corp. apparatuur "zou verwoestende gevolgen kunnen hebben", zei Harkins.
Volgens de door Bloomberg News beoordeelde documenten verkregen de hackers e-mailadressen en wachtwoorden van meer dan 3,000 mensen bij GDS – inclusief haar eigen werknemers en die van haar klanten – en meer dan 1,000 van STT GDC.
De hackers stalen ook inloggegevens voor het GDS-netwerk van meer dan 30,000 bewakingscamera's, waarvan de meeste vertrouwden op eenvoudige wachtwoorden zoals 'admin' of 'admin12345', blijkt uit de documenten. GDS ging niet in op een vraag over de vermeende diefstal van inloggegevens van het cameranetwerk, of over de wachtwoorden.
Het aantal inloggegevens voor de websites voor klantenondersteuning varieerde voor verschillende klanten. Zo waren er 201 rekeningen bij Alibaba, 99 bij Amazon, 32 bij Microsoft, 16 bij Baidu Inc., 15 bij Bank of America Corp., zeven bij Bank of China Ltd., vier bij Apple en drie bij Goldman, volgens de documenten. Yoo van Resecurity zei dat de hackers slechts één geldig e-mailadres en wachtwoord nodig hebben om toegang te krijgen tot het account van een bedrijf op het klantenserviceportaal.
Onder de andere bedrijven waarvan de inloggegevens van de werknemers werden verkregen, waren volgens Resecurity en de documenten: Bharti Airtel Ltd. in India, Bloomberg LP (de eigenaar van Bloomberg News), ByteDance Ltd., Ford Motor Co., Globe Telecom Inc. in de Filippijnen, Mastercard Inc., Morgan Stanley, Paypal Holdings Inc., Porsche AG, SoftBank Corp., Telstra Group Ltd. in Australië, Tencent Holdings Ltd., Verizon Communications Inc. en Wells Fargo & Co.
In een verklaring zei Baidu: “We geloven niet dat er gegevens zijn gecompromitteerd. Baidu besteedt veel aandacht aan de gegevensbeveiliging van onze klanten. We zullen dit soort zaken nauwlettend in de gaten houden en alert blijven op nieuwe bedreigingen voor de gegevensbeveiliging in elk onderdeel van onze activiteiten.”
Een vertegenwoordiger van Porsche zei: "In dit specifieke geval hebben we geen indicatie dat er enig risico was." Een vertegenwoordiger van SoftBank zei dat een Chinese dochteronderneming vorig jaar stopte met het gebruik van GDS. "Er is geen datalekkage van klantgegevens van het lokale Chinese bedrijf bevestigd, noch is er enige impact geweest op zijn activiteiten en diensten", zei de vertegenwoordiger.
Een woordvoerder van Telstra zei: "We zijn ons niet bewust van enige impact op het bedrijf na deze inbreuk", terwijl een vertegenwoordiger van Mastercard zei: "Hoewel we deze situatie blijven volgen, zijn we ons niet bewust van enige risico's voor ons bedrijf of impact op ons transactienetwerk of -systemen.”
Een vertegenwoordiger van Tencent zei: “We zijn ons niet bewust van enige impact op het bedrijf na deze inbreuk. We beheren onze servers rechtstreeks in datacenters, waarbij operators van datacenterfaciliteiten geen toegang hebben tot gegevens die zijn opgeslagen op Tencent-servers. We hebben na onderzoek geen ongeoorloofde toegang tot onze IT-systemen en servers ontdekt, die veilig blijven.”
Een woordvoerder van Wells Fargo zei dat het tot december 2022 GDS gebruikte voor back-up IT-infrastructuur. "GDS had geen toegang tot de gegevens, systemen of het Wells Fargo-netwerk van Wells Fargo", aldus het bedrijf. De andere bedrijven weigerden allemaal commentaar te geven of reageerden niet.
Yoo van Resecurity zei dat de undercoveragent van zijn bedrijf er in januari bij de hackers op aandrong om te laten zien of ze nog steeds toegang hadden tot accounts. De hackers hebben screenshots gemaakt waarop te zien is hoe ze inloggen op accounts van vijf bedrijven en navigeren naar verschillende pagina's in de online portals GDS en STT GDC, zei hij. Door herbeveiliging kon Bloomberg News die screenshots bekijken.
Bij GDS hadden de hackers toegang tot een rekening van het China Foreign Exchange Trade System, een arm van de Chinese centrale bank die een sleutelrol speelt in de economie van dat land en het belangrijkste platform voor de handel in vreemde valuta en schulden van de regering beheert, volgens de screenshots en Resecurity. De organisatie reageerde niet op berichten.
Bij STT GDC hadden de hackers toegang tot accounts van de National Internet Exchange of India, een organisatie die internetproviders in het hele land met elkaar verbindt, en drie andere in India: MyLink Services Pvt., Skymax Broadband Services Pvt. en Logix InfoSecurity Pvt., de schermafbeeldingen laten zien.
De National Internet Exchange of India, bereikt door Bloomberg, zei niet op de hoogte te zijn van het incident en weigerde verder commentaar. Geen van de andere organisaties in India reageerde op verzoeken om commentaar.
Gevraagd naar de bewering dat hackers in januari nog steeds toegang hadden tot accounts met de gestolen inloggegevens, zei een GDS-vertegenwoordiger: “Onlangs hebben we meerdere nieuwe aanvallen gedetecteerd van hackers die de oude accounttoegangsinformatie gebruikten. We hebben verschillende technische hulpmiddelen gebruikt om deze aanvallen te blokkeren. Tot nu toe hebben we geen nieuwe succesvolle inbraak van hackers gevonden die te wijten is aan de kwetsbaarheid van ons systeem.”
De GDS-vertegenwoordiger voegde eraan toe: “Zoals we weten, heeft één enkele klant het wachtwoord van een van zijn accounts niet opnieuw ingesteld voor deze applicatie die toebehoorde aan een ex-werknemer van hen. Dat is de reden waarom we onlangs een wachtwoordreset voor alle gebruikers hebben afgedwongen. Wij geloven dat dit een geïsoleerde gebeurtenis is. Het is niet het gevolg van hackers die ons beveiligingssysteem hebben doorbroken.”
STT GDC zei dat het in januari een melding ontving van verdere bedreigingen voor klantenserviceportalen in "onze regio's in India en Thailand". "Onze onderzoeken tot nu toe geven aan dat er geen gegevensverlies of impact is geweest op een van deze klantenserviceportalen", aldus het bedrijf.
Eind januari, nadat GDS en STT GDC de wachtwoorden van klanten hadden gewijzigd, zag Resecurity de hackers de databases te koop plaatsen op een darkweb-forum, in het Engels en Chinees, aldus Yoo.
"DB's bevatten klantinformatie, kunnen worden gebruikt voor phishing, toegang tot kasten, monitoring van bestellingen en apparatuur, bestellingen op afstand", aldus de post. “Wie kan helpen bij gerichte phishing?”
Meest gelezen van Bloomberg Businessweek
© 2023 Bloomberg LP
Bron: https://finance.yahoo.com/news/hackers-scored-data-center-logins-020028440.html