Binance sử dụng dịch vụ của bên thứ ba có tên là Kodex để xác thực các yêu cầu thực thi pháp luật.

Two large stacked blocks displaying Binance's logo at a trade show.

  • Một tấm áp phích trên Diễn đàn vi phạm đang quảng cáo quyền truy cập vào bảng yêu cầu thực thi pháp luật của Binance với giá 10.000 đô la tiền điện tử.
  • Quyền truy cập vào bảng điều khiển này dường như đến từ các tài khoản email bị xâm nhập của các quan chức thực thi pháp luật, một lỗ hổng phổ biến trong các hệ thống này.

Quyền truy cập vào cổng yêu cầu dữ liệu thực thi pháp luật của Binance được rao bán với giá 10.000 USD tiền điện tử thông qua BreachForums, một diễn đàn nơi tin tặc giao dịch trong các kho dữ liệu, nhưng công ty duy trì cổng này gọi toàn bộ sự việc là “lừa đảo”.

Binance cung cấp quyền truy cập thông qua dịch vụ của bên thứ ba có tên là Kodex, thường được các tổ chức tài chính trực tuyến hoặc nền tảng truyền thông xã hội sử dụng để xác thực các yêu cầu thực thi pháp luật và tạo điều kiện truy cập.

InfoStealers, một ấn phẩm đề cập đến Darknet và các vụ vi phạm dữ liệu do dịch vụ tình báo tội phạm mạng Hudson Rock điều hành, đã báo cáo, trích dẫn dữ liệu của họ, rằng ba máy tính thuộc về các quan chức thực thi pháp luật từ Đài Loan, Uganda và Philippines đã bị xâm phạm trong một chiến dịch phần mềm độc hại toàn cầu vào năm 2023, dẫn đến đánh cắp thông tin đăng nhập được lưu trữ trên trình duyệt và truy cập trái phép vào bảng đăng nhập của Binance.

(InfoStealers)
(Kẻ đánh cắp thông tin)

“Việc bán quyền truy cập trái phép vào Cổng yêu cầu thực thi pháp luật được báo cáo không thể hiện hành vi vi phạm hệ thống của Binance. Thay vào đó, nó có thể liên quan đến các tài khoản thực thi pháp luật bị xâm phạm. Với quy trình ghi chép kỹ lưỡng và giám sát liên tục đối với mọi tài khoản bị xâm nhập, chúng tôi vẫn cam kết bảo vệ dữ liệu người dùng của mình trước mọi hình thức truy cập trái phép,” theo người phát ngôn của Binance.

Người phát ngôn của Kodex cho biết qua một cuộc phỏng vấn qua email: “Nhóm Kodex thường xuyên giám sát các diễn đàn như thế này và các diễn đàn khác trên web đen – đây là một ví dụ điển hình về các tài khoản quảng cáo lừa đảo mà họ biết là không thể truy cập được”.

Để đáp lại yêu cầu bình luận từ CoinDesk, Miembro, người đăng quảng cáo đợt giảm giá, đã từ chối cung cấp thông tin chi tiết vì “quyền truy cập vẫn còn tồn tại”.

Miembro cho biết qua một cuộc phỏng vấn trên Telegram: “Điều duy nhất tôi sẽ nhận xét là việc buộc đặt lại mật khẩu cho tất cả người dùng hoặc buộc xác thực 2 bước sẽ không ảnh hưởng đến chúng tôi”.

Lỗ hổng của bên thứ ba

Kiểu tấn công này ngày càng trở nên phổ biến và điều đó không có nghĩa là bản thân Binance đã bị xâm phạm. Thay vào đó, chất lượng an ninh mạng tại các tổ chức thực thi pháp luật trên toàn thế giới là gót chân Achilles.

Vào năm 2022, nhà báo và nhà tư vấn bảo mật Brian Krebs đã báo cáo về xu hướng này khi tin tặc hình sự đang nhắm mục tiêu và xâm phạm tài khoản email của các sở cảnh sát và cơ quan chính phủ.

“Một số tin tặc đã phát hiện ra rằng không có cách nào nhanh chóng và dễ dàng để một công ty nhận được một trong những EDR này biết liệu nó có hợp pháp hay không. Krebs viết: Sử dụng quyền truy cập bất hợp pháp của họ vào hệ thống email của cảnh sát. “Các tin tặc sẽ gửi Yêu cầu dữ liệu khẩn cấp giả mạo cùng với lời chứng thực rằng những người vô tội có thể sẽ phải chịu đựng rất nhiều hoặc chết trừ khi dữ liệu được yêu cầu được cung cấp ngay lập tức.”

Krebs viết: Tính dễ bị tổn thương của EDR trước sự giả mạo của tin tặc, do cơ chế xác minh không đầy đủ và số lượng lớn các khu vực pháp lý của cảnh sát nêu bật nhu cầu cấp thiết về một quy trình an toàn và đáng tin cậy hơn để xử lý các yêu cầu này và giảm thiểu rủi ro của các hoạt động gian lận.

Trong một cuộc phỏng vấn trước đó với CoinDesk , Jarek Jakubcek, người đứng đầu bộ phận Đào tạo Thực thi Pháp luật của Binance, cho biết nhóm của ông thường gặp phải các yêu cầu gian lận, chẳng hạn như từ các điều tra viên tư nhân đóng giả cảnh sát, bao gồm cả trường hợp một điều tra viên tư nhân không hài lòng đã sử dụng tên miền giả để bắt chước một quan chức. yêu cầu dữ liệu khách hàng từ Binance.

Ông nói: “Chúng tôi rất may mắn khi có một đội ngũ gần 30 cựu nhân viên thực thi pháp luật vì chúng tôi biết các yêu cầu thực thi pháp luật sẽ như thế nào”.

Đang tìm cách khắc phục

Đạo luật Xác thực kỹ thuật số cho lệnh của tòa án tìm cách ngăn chặn việc sử dụng bất hợp pháp các lệnh tòa giả mạo bằng cách yêu cầu chữ ký điện tử để giám sát được tòa án phê duyệt, tịch thu tên miền và xóa nội dung.

Dự luật này đã được giới thiệu tại Thượng viện nhưng chưa được tiến hành kể từ tháng 7 năm 2021. Tuy nhiên, dự luật này sẽ chỉ áp dụng cho Hoa Kỳ chứ không áp dụng cho hàng chục nghìn cơ quan thực thi pháp luật khác trên thế giới.

CẬP NHẬT (04:00 UTC ngày 20 tháng 12): Cập nhật có nhận xét từ Codex và Thành viên.

Tổng hợp và chỉnh sửa: ThS Phạm Mạnh Cường
Theo Coindesk

By Phạm Mạnh Cường

Phạm Mạnh Cường là một doanh nhân và nhà đầu tư Tiền mã hoá. Tác giả đã từng tiên phong giảng dạy Blockchain ở Trường Đại học Kinh tế - Luật, Đại học Quốc gia Hồ Chí Minh. Hiện tại đang là Giám đốc công ty Wischain và Giảng viên công nghệ Blockchain tại Đại học Hutech, Việt Nam. Tác giả đã có bằng Thạc sĩ Khoa học máy tính từ năm 2011 tại Đại học Bách Khoa Hồ Chí Minh. Tính đến nay tác giả đã có kinh nghiệm 7 năm giảng dạy cho sinh viên về công nghệ Blockchain và 8 năm đầu tư trong lĩnh vực Tiền mã hoá từ 2016. Tác giả đã tham gia diễn giả tại hàng trăm hội thảo chất lượng và hiện sở hữu hàng nghìn bài viết tổng hợp, nhận định và chỉnh sửa về Tiền mã hoá và Tiền điện tử chất lượng trên Website và ở nhiều kênh khác.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *