Vào ngày 6/4/2025, Bob Diachenko, một nhà nghiên cứu an ninh mạng và là chủ sở hữu tại SecurityDiscovery.com, cùng với nhóm nghiên cứu của hãng Cybernews đã phát hiện ra một phiên bản Elasticsearch bị công khai có chứa dữ liệu mở rộng về người dùng Openprovider và các hoạt động nội bộ.

Elasticsearch là một nền tảng phân tích dữ liệu và tìm kiếm gần theo thời gian thực.

Máy chủ bị lộ chứa nhật ký ghi chi tiết dữ liệu đăng ký tên miền, hành động của khách hàng, tải trọng phản hồi nội bộ và thậm chí cả mã xác thực chuyển tên miền (authCode). Các mã này hoạt động như mật khẩu để chuyển tên miền và kẻ tấn công có thể lợi dụng chúng để chiếm đoạt địa chỉ trang web.

Nhà nghiên cứu Diachenko cho biết, việc lộ dữ liệu bao gồm siêu dữ liệu nhạy cảm như tên người dùng, ID đại lý, trạng thái quyền riêng tư WHOIS (là một giao thức truy vấn và phản hồi được sử dụng để truy vấn cơ sở dữ liệu lưu trữ người dùng hoặc người được chỉ định đã đăng ký tài nguyên Internet) và hồ sơ cung cấp tên miền thô.

Hồ sơ bao gồm tên, địa chỉ, số điện thoại và địa chỉ email của người đăng ký, ngay cả khi họ đã trả tiền cho các dịch vụ bảo mật tên miền, giúp xóa thông tin này khỏi hồ sơ WHOIS công khai.

Các nhà nghiên cứu đã ngay lập tức thông báo cho công ty về dữ liệu bị rò rỉ. Openprovider đã thừa nhận sự cố và bảo mật máy chủ vào ngày hôm sau, ngày 07/4/2025. Sau đó, công ty đã làm rõ rằng, dữ liệu đã được để cho bất kỳ ai có thể truy cập trong ba tháng.

Openprovider là một công ty đăng ký tên miền được Tập đoàn Internet ICANN công nhận có trụ sở tại Hà Lan. Công ty công nghệ này cung cấp dịch vụ đăng ký tên miền, lưu trữ web và dịch vụ đám mây, chủ yếu nhắm mục tiêu đến các nhà bán lại và doanh nghiệp. Công ty quản lý hàng triệu tên miền vì cơ sở hạ tầng rộng lớn của công ty được hàng nghìn nhà bán lại tên miền, nhà cung cấp dịch vụ lưu trữ web, đại lý và các khách hàng lớn khác sử dụng.

Công ty hoạt động trên toàn cầu và có sự hiện diện mạnh mẽ tại các thị trường châu Âu.

Openprovider đã xác nhận kế hoạch thông báo cho những khách hàng bị ảnh hưởng và tăng cường các quy trình nội bộ. Cybernews đã liên hệ để có thêm thông tin về sự cố này, nhưng không nhận được phản hồi cho đến thời điểm này.

Trong tay tin tặc, vụ rò rỉ có thể gây ra hậu quả tàn khốc

Elasticsearch bị rò rỉ chứa khoảng một chục chỉ mục với khoảng 164GB dữ liệu.

"Vụ rò rỉ này, nếu những kẻ xấu có được nó, có thể trở thành một trong những cuộc tấn công mạng lớn nhất trong lịch sử, vì những kẻ xấu có thể chuyển hướng hàng triệu tên miền từ các trang web đáng tin cậy và phổ biến đến các trang web độc hại của chúng", các nhà nghiên cứu của Cybernews cho biết.

Trong số đó, chỉ mục lớn nhất có khả năng lưu trữ dữ liệu đăng ký tên miền trong quá khứ, bao gồm thông tin khách hàng và chi tiết tên miền. Các chỉ mục khác chứa thông báo được gửi đến khách hàng, có khả năng tiết lộ các thông tin liên lạc nhạy cảm.

"Các trường nhạy cảm nhất trong Nhật ký hoạt động đăng ký tên miền và siêu dữ liệu bị rò rỉ là tên miền kết hợp với mã xác thực đăng ký, xử lý thanh toán/kỹ thuật/quản trị, tên người dùng và mã định danh tài khoản", các nhà nghiên cứu giải thích.

Mặc dù dữ liệu này không phải là thông tin nhận dạng cá nhân thông thường, như thông tin chi tiết về thẻ tín dụng hoặc mật khẩu, nhưng việc tiết lộ nhật ký đăng ký tên miền gây ra rủi ro hoạt động rất nghiêm trọng".

Tin tặc có thể lạm dụng mã xác thực chuyển miền hoặc mã xác thực để khởi tạo các chuyển miền trái phép nếu không có các biện pháp bảo vệ khác.

Tội phạm mạng cũng có thể khai thác các thông tin đăng ký bị rò rỉ và mã định danh người dùng trong các chiến dịch lừa đảo hoặc mạo danh, nhắm mục tiêu vào các nhà bán lại hoặc khách hàng của họ.

Hơn nữa, kẻ tấn công có thể phân tích chi tiết về cách tên miền được đăng ký trong các lĩnh vực nhạy cảm, chẳng hạn như dịch vụ tài chính. Chi tiết thiết kế hệ thống cũng có thể nhìn thấy được, cung cấp thông tin chi tiết về kiến ​​trúc phụ trợ, chẳng hạn như lược đồ phản hồi, ID tác vụ nội bộ hoặc hoạt động hàng loạt.

Các bản ghi đăng ký miền chưa được biên tập sẽ cực kỳ hữu ích cho các cuộc tấn công mạng có mục tiêu. Tin tặc có thể xác định các trang web thuộc cùng một nhà phát triển, điều này thường có nghĩa là cùng một lỗ hổng.

Hà Linh