Mặc dù mua sắm trực tuyến từ lâu đã không còn là hoạt động nguy hiểm, nhưng một số mối nguy hiểm vẫn ẩn núp trong bóng tối kỹ thuật số. Nhóm nghiên cứu Cybernews gần đây đã tìm thấy hai vùng lưu trữ Azure Blob Storage không được bảo vệ, chứa hơn 1,6 triệu tệp dữ liệu.

Theo nhóm nghiên cứu, cả hai phiên bản bị lộ đều chứa xác nhận email giao hàng ở định dạng HTML. Trong khi phần lớn dữ liệu bị lộ đến từ người dùng ở Hoa Kỳ, một số cá nhân bị ảnh hưởng có vẻ đến từ Canada và Úc.

Các nhà nghiên cứu cho biết: " Etsy nổi tiếng toàn cầu như một thị trường cho hàng triệu doanh nghiệp nhỏ, việc dữ liệu xác nhận email giao hàng của họ bị lộ có tác động nghiêm trọng đến quyền riêng tư và sự an toàn của khách hàng".

Hầu hết các chi tiết vận chuyển bị lộ đều đến từ công ty thương mại điện tử toàn cầu Etsy, mặc dù các nhà nghiên cứu lưu ý rằng một số mục nhập đến từ các cửa hàng TikTok, Poshmark và Embroly.

Hầu hết các tệp dữ liệu bị lộ là phiên bản email xác nhận vận chuyển gồm: Họ và tên đầy đủ; Địa chỉ nhà riêng; Địa chỉ email; Chi tiết đơn hàng vận chuyển

Tại sao rò rỉ email vận chuyển của Etsy lại nguy hiểm?

Những kẻ tấn công lành nghề có thể sử dụng các chi tiết bị rò rỉ cho nhiều mục đích xấu khác nhau. Như chúng có thể mạo danh Etsy hoặc các dịch vụ vận chuyển liên quan để phát động các chiến dịch lừa đảo có sức thuyết phục.

Các chi tiết đơn hàng cụ thể có thể được sử dụng để lừa người nhận tiết lộ thông tin cá nhân nhạy cả, hoặc tài chính. Các email sẽ có vẻ hợp pháp do bao gồm dữ liệu đơn hàng, làm tăng khả năng khai thác thành công.

“Với quyền truy cập vào thông tin cá nhân như tên đầy đủ và địa chỉ, kẻ tấn công có thể mạo danh các nhà cung cấp dịch vụ vận chuyển đáng tin cậy hoặc chính Etsy, khiến các thông tin liên lạc gian lận có vẻ đáng tin hơn và thúc giục nạn nhân thực hiện các hành động như xác nhận thông tin cá nhân, thanh toán hoặc nhấp vào liên kết độc hại”, các nhà nghiên cứu cho biết.

Hơn nữa, việc có được địa chỉ email và thông tin vận chuyển chi tiết, tội phạm có thể triển khai các cuộc tấn công phi kỹ thuật, thao túng nạn nhân chia sẻ thêm thông tin cá nhân hoặc tài chính.

Việc xác nhận email, chứa thông tin cá nhân và đơn hàng, có thể được sử dụng để phát tán phần mềm độc hại. Bằng cách tạo email tham chiếu đến các sản phẩm cụ thể hoặc đơn hàng gần đây, tội phạm mạng có thể dụ người nhận nhấp vào liên kết hoặc mở tệp đính kèm dẫn đến nhiễm phần mềm độc hại.

Ai sở hữu xác nhận vận chuyển Etsy bị rò rỉ?

Các nhà nghiên cứu không thể xác định chính xác chủ sở hữu của trường hợp bị lộ. Tuy nhiên, phân tích hồ sơ xử lý cho thấy các đơn hàng bị ảnh hưởng là các đơn hàng thêu, với tên nhà thiết kế và thông tin chi tiết về đơn hàng của các dịch vụ thêu có trụ sở tại Việt Nam.

Bằng chứng cho thấy rõ ràng rằng, có thể có một thực thể duy nhất đã thiết lập nhiều cửa hàng trên các nền tảng thương mại điện tử phổ biến, với những khách hàng bị ảnh hưởng nhiều nhất đến từ Etsy. Tuy nhiên, phiên bản bị lộ thiếu thông tin chi tiết để xác định chính xác chủ sở hữu của phiên bản bị cấu hình sai.

Để giảm thiểu sự cố và tránh các tổn thất trong tương lai, các nhà nghiên cứu đưa ra lời khuyên như sau:

Triển khai các biện pháp bảo mật nghiêm ngặt hơn để ngăn chặn truy cập trái phép vào dữ liệu nhạy cảm trong môi trường lưu trữ đám mây.

Thực hiện đánh giá hồi cứu nhật ký truy cập để xác định xem có bất kỳ thực thể trái phép nào truy cập vào thùng dữ liệu hay không.

Cho phép mã hóa phía máy chủ để bảo vệ dữ liệu khi không hoạt động và đảm bảo tính bảo mật của dữ liệu.

Sử dụng Azure Key Vault để quản lý khóa mã hóa một cách an toàn.

Đảm bảo giao tiếp an toàn bằng cách bật giao thức SSL/TLS cho dữ liệu đang truyền.

Áp dụng các cuộc kiểm tra bảo mật và kiểm tra thường xuyên, đồng thời xem xét đào tạo nhân viên để nâng cao nhận thức về các hoạt động bảo mật dữ liệu.