(Bloomberg) — I ett avsnitt som understryker sårbarheten hos globala datornätverk, fick hackare tag i inloggningsuppgifter för datacenter i Asien som används av några av världens största företag, en potentiell bonus för spioneri eller sabotage, enligt ett forskningsföretag för cybersäkerhet .
Mest lästa från Bloomberg
De tidigare orapporterade datacacharna involverar e-post och lösenord för kundsupportwebbplatser för två av de största datacenteroperatörerna i Asien: Shanghai-baserade GDS Holdings Ltd. och Singapore-baserade ST Telemedia Global Data Centres, enligt Resecurity Inc., som tillhandahåller cybersäkerhetstjänster och utreder hackare. Cirka 2,000 XNUMX kunder hos GDS och STT GDC berördes. Hackare har loggat in på konton för minst fem av dem, inklusive Kinas främsta valuta- och skuldhandelsplattform och fyra andra från Indien, enligt Resecurity, som sa att de infiltrerade hackargruppen.
Det är inte klart vad - om något - hackarna gjorde med de andra inloggningarna. Informationen inkluderade inloggningsuppgifter i varierande antal för några av världens största företag, inklusive Alibaba Group Holding Ltd., Amazon.com Inc., Apple Inc., BMW AG, Goldman Sachs Group Inc., Huawei Technologies Co., Microsoft Corp. , och Walmart Inc., enligt säkerhetsföretaget och hundratals sidor med dokument som Bloomberg granskat.
Som svar på frågor om Resecuritys fynd sa GDS i ett uttalande att en kundsupportwebbplats bröts in 2021. Det är inte klart hur hackarna fick tag i STT GDC-data. Det företaget sa att det inte hittade några bevis för att dess kundtjänstportal äventyrades det året. Båda företagen sa att de oseriösa inloggningsuppgifterna inte utgör någon risk för kunders IT-system eller data.
Resecurity och chefer på fyra stora USA-baserade företag som drabbades sa dock att de stulna referenserna representerade en ovanlig och allvarlig fara, främst för att kundsupportwebbplatserna kontrollerar vem som fysiskt får komma åt IT-utrustningen som finns i datacentren. Dessa chefer, som fick reda på incidenterna från Bloomberg News och bekräftade informationen med sina säkerhetsteam, som bad att inte bli identifierade eftersom de inte var behöriga att tala offentligt om saken.
Anmäl dig till vårt veckovisa nyhetsbrev om cybersäkerhet, Cyber Bulletin, här.
Storleken på dataförlusten som rapporterats av Resecurity belyser den växande risken som företag står inför på grund av deras beroende av tredje part för att hysa data och IT-utrustning och hjälpa deras nätverk att nå globala marknader. Säkerhetsexperter säger att problemet är särskilt akut i Kina, vilket kräver att företag samarbetar med lokala datatjänstleverantörer.
"Det här är en mardröm som väntar på att hända", sa Michael Henry, tidigare informationschef för Digital Realty Trust Inc., en av de största amerikanska datacenteroperatörerna, när Bloomberg berättade om incidenterna. (Digital Realty Trust påverkades inte av incidenterna). Det värsta scenariot för alla datacenteroperatörer är att angripare på något sätt får fysisk åtkomst till klienternas servrar och installerar skadlig kod eller ytterligare utrustning, sa Henry. "Om de kan uppnå det kan de potentiellt störa kommunikation och handel i massiv skala."
GDS och STT GDC sa att de inte hade några indikationer på att något liknande hände, och att deras kärntjänster inte påverkades.
Hackarna hade tillgång till inloggningsuppgifterna i mer än ett år innan de lade ut den till försäljning på den mörka webben förra månaden, för $175,000 XNUMX, och sa att de var överväldigade av volymen av det, enligt Resecurity och en skärmdump av inlägget som granskats av Bloomberg .
"Jag använde några mål," sa hackarna i inlägget. "Men oförmögen att hantera eftersom det totala antalet företag är över 2,000 XNUMX."
E-postadresserna och lösenorden kunde ha tillåtit hackare att maskera sig som auktoriserade användare på kundtjänstwebbplatserna, enligt Resecurity. Säkerhetsföretaget upptäckte datacacharna i september 2021 och sa att de också hittade bevis för att hackarna använde dem för att komma åt konton för GDS- och STT GDC-kunder så sent som i januari, när båda datacenteroperatörerna tvingade återställning av kundlösenord, enligt Resecurity.
Även utan giltiga lösenord skulle uppgifterna fortfarande vara värdefulla – vilket gör det möjligt för hackare att skapa riktade nätfiske-e-postmeddelanden mot personer med högnivååtkomst till deras företags nätverk, enligt Resecurity.
De flesta av de drabbade företagen som Bloomberg News kontaktade, inklusive Alibaba, Amazon, Huawei och Walmart, avböjde att kommentera. Apple svarade inte på meddelanden som sökte kommentarer.
I ett uttalande sa Microsoft: "Vi övervakar regelbundet efter hot som kan påverka Microsoft och när potentiella hot identifieras vidtar vi lämpliga åtgärder för att skydda Microsoft och våra kunder." En talesperson för Goldman Sachs sa: "Vi har infört ytterligare kontroller för att skydda mot denna typ av intrång och vi är övertygade om att vår data inte var i fara."
Biltillverkaren BMW sa att de var medvetna om problemet. Men en talesperson för företaget sa: "Efter bedömning har problemet en mycket begränsad inverkan på BMW-företag och har inte orsakat några skador på BMW-kunder och produktrelaterad information." Talesmannen tillade, "BMW har uppmanat GDS att förbättra informationssäkerhetsnivån."
GDS och STT GDC är två av Asiens största leverantörer av "colocation"-tjänster. De agerar som hyresvärdar och hyr ut utrymme i sina datacenter till kunder som installerar och hanterar sin egen IT-utrustning där, vanligtvis för att vara närmare kunder och affärsverksamhet i Asien. GDS är bland de tre bästa samlokaliseringsleverantörerna i Kina, den näst största marknaden för tjänsten i världen efter USA, enligt Synergy Research Group Inc. Singapore ligger på sjätte plats.
Företagen är också sammanflätade: en företagsregistrering visar att Singapore Technologies Telemedia Pte, moderbolaget till STT GDC, 2014 förvärvade en 40%-ig andel i GDS.
Resecurity Chief Executive Officer Gene Yoo sa att hans företag upptäckte incidenterna 2021 efter att en av dess agenter gick undercover för att infiltrera en hackergrupp i Kina som hade attackerat regeringsmål i Taiwan.
Strax efter larmade den GDS och STT GDC och ett litet antal Resecurity-klienter som påverkades, enligt Yoo och dokumenten.
Resecurity meddelade GDS och STT GDC igen i januari efter att ha upptäckt att hackare hade tillgång till konton, och säkerhetsföretaget larmade även myndigheter i Kina och Singapore vid den tiden, enligt Yoo och dokumenten.
Båda datacenteroperatörerna sa att de svarade omedelbart när de underrättades om säkerhetsproblemen och startade interna utredningar.
Cheryl Lee, talesperson för Cyber Security Agency i Singapore, sa att byrån "är medveten om händelsen och hjälper ST Telemedia i denna fråga." National Computer Network Emergency Response Technical Team/Coordination Center of China, en icke-statlig organisation som hanterar cybernödberedskap, svarade inte på meddelanden som sökte kommentarer.
GDS erkände att en kundsupportwebbplats brutits och sa att den undersökte och åtgärdade en sårbarhet på webbplatsen 2021.
"Applikationen som hackare riktade sig till är begränsad i omfattning och information till icke-kritiska tjänstefunktioner, som att göra biljettförfrågningar, schemalägga fysisk leverans av utrustning och granska underhållsrapporter", enligt ett uttalande från företaget. "Förfrågningar som görs via applikationen kräver vanligtvis offlineuppföljning och bekräftelse. Med tanke på applikationens grundläggande karaktär resulterade intrånget inte i något hot mot våra kunders IT-drift.”
STT GDC sa att de tog in externa cybersäkerhetsexperter när de fick veta om incidenten 2021. "IT-systemet i fråga är ett biljettverktyg för kundtjänst" och "har ingen koppling till andra företagssystem eller någon kritisk datainfrastruktur", sa företaget. .
Företaget sa att dess kundtjänstportal inte bröts 2021 och att de referenser som erhållits av Resecurity är "en partiell och föråldrad lista över användaruppgifter för våra kundbiljettapplikationer. Alla sådana uppgifter är nu ogiltiga och utgör ingen säkerhetsrisk framöver."
"Ingen obehörig åtkomst eller dataförlust observerades", enligt STT GDC:s uttalande.
Oavsett hur hackarna kan ha använt informationen, sa cybersäkerhetsexperter att stölderna visar att angripare undersöker nya sätt att infiltrera hårda mål.
Den fysiska säkerheten för IT-utrustning i datacenter från tredje part och systemen för att kontrollera åtkomsten till den representerar sårbarheter som ofta förbises av företagens säkerhetsavdelningar, säger Malcolm Harkins, tidigare chefssäkerhets- och integritetserbjudande för Intel Corp. Alla manipulationer av datacenter utrustning "kan få förödande konsekvenser", sa Harkins.
Hackarna skaffade e-postadresser och lösenord för mer än 3,000 1,000 personer på GDS - inklusive sina egna anställda och kundernas - och mer än XNUMX XNUMX från STT GDC, enligt dokument som granskats av Bloomberg News.
Hackarna stal också inloggningsuppgifter för GDS:s nätverk med mer än 30,000 12345 övervakningskameror, varav de flesta förlitade sig på enkla lösenord som "admin" eller "adminXNUMX", visar dokumenten. GDS tog inte upp en fråga om den påstådda stölden av referenser till kameranätverket eller om lösenorden.
Antalet inloggningsuppgifter för kundsupportwebbplatserna varierade för olika kunder. Till exempel fanns det 201 konton hos Alibaba, 99 hos Amazon, 32 hos Microsoft, 16 hos Baidu Inc., 15 hos Bank of America Corp., sju hos Bank of China Ltd., fyra hos Apple och tre hos Goldman, enligt dokumenten. Resecuritys Yoo sa att hackarna bara behöver en giltig e-postadress och lösenord för att komma åt ett företags konto på kundtjänstportalen.
Bland de andra företag vars anställdas inloggningsuppgifter erhölls, enligt Resecurity och dokumenten, var: Bharti Airtel Ltd. i Indien, Bloomberg LP (ägaren till Bloomberg News), ByteDance Ltd., Ford Motor Co., Globe Telecom Inc. . i Filippinerna, Mastercard Inc., Morgan Stanley, Paypal Holdings Inc., Porsche AG, SoftBank Corp., Telstra Group Ltd. i Australien, Tencent Holdings Ltd., Verizon Communications Inc. och Wells Fargo & Co.
I ett uttalande sa Baidu: "Vi tror inte att någon data har äventyrats. Baidu lägger stor vikt vid att säkerställa våra kunders datasäkerhet. Vi kommer att hålla ett öga på frågor som detta och vara uppmärksamma på alla nya hot mot datasäkerheten i någon del av vår verksamhet."
En representant för Porsche sa: "I det här specifika fallet har vi inga indikationer på att det fanns någon risk." En SoftBank-representant sa att ett kinesiskt dotterbolag slutade använda GDS förra året. "Inget läckage av kundinformationsdata från det lokala kinesiska företaget har bekräftats, och det har inte heller varit någon inverkan på dess verksamhet och tjänster," sa representanten.
En talesperson för Telstra sa: "Vi är inte medvetna om någon påverkan på verksamheten efter detta brott", medan en Mastercard-representant sa: "Medan vi fortsätter att övervaka den här situationen är vi inte medvetna om några risker för vår verksamhet eller påverkan på vårt transaktionsnätverk eller system.”
En representant för Tencent sa: "Vi är inte medvetna om någon påverkan på verksamheten efter detta brott. Vi hanterar våra servrar i datacenter direkt, med datacenteroperatörer som inte har tillgång till någon data lagrad på Tencents servrar. Vi har inte upptäckt någon obehörig åtkomst av våra IT-system och servrar efter undersökning, som förblir säkra.”
En talesperson för Wells Fargo sa att de använde GDS för backup av IT-infrastruktur fram till december 2022. "GDS hade inte tillgång till Wells Fargos data, system eller Wells Fargo-nätverket", sa företaget. De andra företagen vägrade alla att kommentera eller svarade inte.
Resecuritys Yoo sa att hans firmas undercover-agent i januari pressade hackarna för att visa om de fortfarande hade tillgång till konton. Hackarna tillhandahöll skärmdumpar som visar att de loggar in på konton för fem företag och navigerar till olika sidor i GDS och STT GDCs onlineportaler, sa han. Återsäkerhet tillät Bloomberg News att granska dessa skärmdumpar.
Hos GDS fick hackarna tillgång till ett konto för China Foreign Exchange Trade System, en arm av Kinas centralbank som spelar en nyckelroll i landets ekonomi, som driver regeringens främsta valuta- och skuldhandelsplattform, enligt skärmdumparna och Resecurity. Organisationen svarade inte på meddelanden.
På STT GDC fick hackarna tillgång till konton för National Internet Exchange of India, en organisation som kopplar samman internetleverantörer över hela landet, och tre andra baserade i Indien: MyLink Services Pvt., Skymax Broadband Services Pvt. och Logix InfoSecurity Pvt., skärmdumparna visar.
Nått av Bloomberg sa National Internet Exchange of India att de inte var medvetna om händelsen och avböjde ytterligare kommentarer. Ingen av de andra organisationerna i Indien svarade på förfrågningar om kommentarer.
På frågan om påståendet att hackare fortfarande hade tillgång till konton i januari med de stulna uppgifterna, sa en GDS-representant: "Nyligen upptäckte vi flera nya attacker från hackare som använder den gamla kontoåtkomstinformationen. Vi har använt olika tekniska verktyg för att blockera dessa attacker. Hittills har vi inte hittat något nytt framgångsrikt inbrott från hackare som beror på vårt systemsårbarhet.”
GDS-representanten tillade: "Som vi är medvetna om återställde inte en enda kund ett av sina kontolösenord till denna applikation som tillhörde en tidigare anställd hos dem. Det är anledningen till att vi nyligen tvingade fram en lösenordsåterställning för alla användare. Vi tror att detta är en isolerad händelse. Det är inte ett resultat av att hackare bryter igenom vårt säkerhetssystem.”
STT GDC sa att de fick ett meddelande i januari om ytterligare hot mot kundtjänstportaler i "våra Indien och Thailand regioner." "Våra undersökningar hittills indikerar att det inte har skett någon dataförlust eller påverkan på någon av dessa kundtjänstportaler," sa företaget.
I slutet av januari, efter att GDS och STT GDC ändrat kundernas lösenord, upptäckte Resecurity hackarna som lade ut databaserna till försäljning på ett mörkt webbforum, på engelska och kinesiska, enligt Yoo.
"DB:er innehåller kundinformation, kan användas för nätfiske, åtkomst till skåp, övervakning av beställningar och utrustning, beställningar på distans," stod det i inlägget. "Vem kan hjälpa till med riktat nätfiske?"
Mest lästa från Bloomberg Businessweek
© 2023 Bloomberg LP
Källa: https://finance.yahoo.com/news/hackers-scored-data-center-logins-020028440.html