Hackers breached Citibank security using simple URL manipulation
15 June 2011, 17:25
Bài được đưa lên Internet ngày: 15/06/2011
Lời người dịch: Tới lượt ngân hàng Citibank bị lộ thông tin khách hàng khoảng 1% trong tổng số 21 triệu khách hàng có thẻ tín dụng của ngân hàng này. Họ cho rằng các tin tặc tới từ Đông Âu.
Vụ trộm khoảng 200.000 tài khoản khách hàng của Citibank có thể đã đạt được bằng các phương tiện của một sự điều khiển đơn giản URL của Citibank. Các chuyên gi an ninh đã nói với tờ Thời báo New York rằng các tin tặc đã có khả năng đóng vai những người nắm giữ tài khoản thực bằng việc sử dụng một mẹo đơn giản.
Sau khi đăng nhập vào một tài khoản hợp lệ, URL đối với hệ thống tài khoản trực tuyến của Citibank có chứa một chuỗi các số thể hiện tài khoản của các khách hàng. Bằng việc thay đổi chuỗi này, bọn tội phạm đã có khả năng dễ dàng chuyển giữa nhiều tài khoản và giành được thông tin riêng tư của khách hàng. Việc sử dụng một script để tự động hóa quá trình này đã cho phép họ làm như vậy với hàng trăm ngàn lần.
Những kẻ tấn công được cho là đã giành được sự truy cập tới khoảng 1% của khoảng 21 triệu khách hàng có thẻ tín dụng của ngân hàng này tại Bắc Mỹ. Các chi tiết giành được trong cuộc tấn công đã bao gồm tên, số tài khoản và địa chỉ thư điện tử của các khách hàng. Tuy nhiên, các tin tặc đã không giành được sự truy cập tới các mã an ninh của các thẻ tín dụng hoặc các số và ngày tháng năm sinh về an ninh xã hội của các chủ thẻ.
Citibank nói rằng ngân hàng này lần đầu tiên đã phát hiện được sự thâm nhập vào đầu tháng 05 trong một đợt kiểm tra thường kỳ. Hãng này kể từ đó đã báo cáo vụ việc cho các nhà điều tra tội phạm và nói hãng đã củng cố an ninh của mình.
Citibank còn chưa công bố hãng cho ai có trách nhiệm đối với cuộc tấn công này, nhưng chuyên gia an ninh mà ông này đã nói cho tờ Thời báo New York trong tình trạng dấu tên, rằng các giả thiết họ tới từ Đông Âu.
The theft of approximately 200,000 Citibank customer accounts may have achieved by means of a simple manipulation of the Citibank URL. Security experts told the The New York Times that the hackers were able to impersonate actual account holders by using a simple trick.
After logging into a valid account, the URL to the Citi Account Online system contains a string of numbers which represents the customer's account. By changing this string, the criminals were able to easily switch between multiple accounts and obtain private customer information. Using a script to automate this process allowed them to do so hundreds of thousands of times.
The attackers are said to have gained access to around one per cent of the bank's approximately 21 million credit card customers in North America. Details obtained in the attack included customer names, account numbers and email addresses. The hackers did not, however, gain access to the security codes for the credit cards or to the holders' Social Security numbers and birth dates.
Citibank says that it first discovered the break-in at the beginning of May during a routine check. The company has since reported it to criminal investigators and says it has stepped up its security. Citibank has not yet announced who it believes is responsible for the attack, but the security expert who talked to The New York Times on condition of anonymity, says that he presumes they are from Eastern Europe.
(crve)
Dịch tài liệu: Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.