Một Vụ Nổ Mới Tiết Lộ Tỷ Số Khổng Lồ Dữ Liệu từ Một Startup Gần Đây

Công ty thông tin doanh số bán hàng Apollo gửi thông báo đến khách hàng của mình tuần trước tiết lộ về một vụ vi phạm dữ liệu xảy ra trong mùa hè. "Ngay khi phát hiện ra, chúng tôi đã thực hiện ngay các biện pháp để khắc phục hệ thống của mình và xác nhận rằng vấn đề không thể dẫn đến việc truy cập trái phép trong tương lai," đồng sáng lập và CEO Tim Zheng viết. "Chúng tôi hiểu rằng tình hình này có thể khiến bạn lo lắng và thất vọng." Trên thực tế, quy mô và phạm vi của vụ vi phạm khiến nhiều người lo lắng.

Apollo là một dịch vụ tổng hợp dữ liệu và phân tích nhằm giúp các nhóm bán hàng biết ai để liên hệ, khi nào và với thông điệp gì để thực hiện nhiều giao dịch nhất. "Chẳng ai từng chết đuối trong doanh số bán hàng," công ty nói trên trang web của mình. Apollo cũng khẳng định trong tài liệu tiếp thị của mình có 200 triệu liên hệ và thông tin từ hơn 10 triệu công ty trong hồ chứa dữ liệu rộng lớn của mình. Điều đó dường như không chỉ là quảng cáo. Vinny Troia, người sáng lập Night Lion Security, người thường xuyên quét internet để tìm cơ sở dữ liệu không được bảo vệ, có được bảo mật của Apollo chứa 212 triệu danh bạ liên lạc cũng như chín tỷ điểm dữ liệu liên quan đến các công ty và tổ chức. Tất cả đều dễ dàng truy cập trực tuyến, cho bất kỳ ai muốn truy cập. Troia tiết lộ vụ nổ này cho công ty vào giữa tháng Tám.

Như Apollo đã ghi chú trong thư gửi đến khách hàng, nó rút nhiều thông tin của mình từ các nguồn công khai trên web, bao gồm tên, địa chỉ email và thông tin liên hệ của công ty. Nhưng nó cũng đào tạo thông tin từ Twitter và LinkedIn. Trên thực tế, thông tin trong các hồ sơ mà Apollo tổng hợp là quá chi tiết, đến nỗi Troia ban đầu nhầm nó với kho từ LinkedIn. Một số phương pháp điều tra của Troia về vụ vi phạm Apollo đã bị đặt dấu hỏi, đặc biệt là việc anh ấy đăng một danh sách cho dữ liệu LinkedIn bị rò rỉ trên một thị trường web tối. Troia khẳng định anh ấy chưa bao giờ có ý định bán dữ liệu, và anh ấy đăng bài chỉ để giúp nghiên cứu tiếp theo.

Phía LinkedIn đã phát đi một lời mắng mỏ. "Cuộc điều tra của chúng tôi về cáo buộc này cho thấy rằng một công ty thông tin doanh số bán hàng bên thứ ba không liên quan đến LinkedIn đã bị vi phạm và tiết lộ một bộ dữ liệu lớn được tổng hợp từ nhiều mạng xã hội, trang web và khách hàng của công ty," công ty nói trong một tuyên bố.

Việc kết hợp tất cả dữ liệu công cộng đó trong một địa điểm dễ dàng tiếp cận tạo ra rủi ro bẩm sinh; nếu rò rỉ, như dữ liệu Apollo đã làm, nó cho phép kẻ lừa đảo, người gian lận và người lừa đảo tạo ra các cuộc tấn công có ảnh hưởng lớn đối với một lượng lớn người. Nhưng vụ vi phạm của Apollo có một tầng lớp phức tạp thêm. "Một số dữ liệu được nhập bởi khách hàng cũng đã bị truy cập mà không có sự cho phép," Zheng viết trong thông báo cho khách hàng tuần trước.

Khách hàng truy cập dữ liệu và tính năng dự đoán của Apollo thông qua một bảng điều khiển chính. Họ cũng có khả năng kết nối các công cụ dữ liệu khác mà họ có thể sử dụng, ví dụ như ủy quyền tài khoản Salesforce của họ để chuyển dữ liệu vào Apollo. Troia phát hiện rằng hơn bảy triệu mảnh dữ liệu "cơ hội" nội bộ, thông tin về giao dịch bán hàng sắp diễn ra thường liên quan đến Salesforce, đã bị tiết lộ trong vụ vi phạm. Một khách hàng của Apollo một mình đã có gần một triệu hồ sơ bị tiết lộ.

"Luôn tồn tại nguy cơ cao về gian lận, rác, hoặc các hành động có hại khác khi các loại bộ dữ liệu như vậy rò rỉ," Troia nói. "Mọi người đã nhận được thư rác và cuộc gọi lừa đảo mỗi ngày. Bây giờ bạn đang nói về việc ti exposed tiềm ẩn cho hàng trăm triệu người để thực hiện thêm con đường lừa đảo và gian lận. Trong khi đó, Apollo dường như có khoảng 530 khách hàng mỗi người có số lượng dữ liệu cơ hội quý giá khác nhau bị cuốn vào cuộc rò rỉ này.

Cofounder và CTO của Apollo, Ray Li, cho biết công ty đang điều tra vụ việc và đã báo cáo nó cho cơ quan chức năng. Dữ liệu không bao gồm dữ liệu tài chính, số An sinh xã hội hoặc thông tin đăng nhập tài khoản. Apollo nói trong thư ban đầu gửi đến khách hàng rằng, "một bên thứ ba không xác định đã truy cập hệ thống của chúng tôi mà không có sự cho phép trước các nỗ lực khắc phục của chúng tôi," điều này có thể có nghĩa là dữ liệu đã nằm trong tay kẻ lừa đảo.

Troia cũng cung cấp dữ liệu liên lạc được bao gồm trong vụ việc cho nhà nghiên cứu an ninh Troy Hunt, người điều hành dịch vụ theo dõi vụ việc rò rỉ dữ liệu HaveIBeenPwned. Hunt đã thêm dữ liệu Apollo vào kho dữ liệu, và có kế hoạch thông báo mạng HaveIBeenPwned về sự kiện.

"Đó chỉ là một lượng dữ liệu đáng kinh ngạc. Có tổng cộng 125.929.660 địa chỉ email duy nhất. Điều này có lẽ sẽ là số thông báo email lớn nhất mà HaveIBeenPwned đã gửi cho một vụ việc rò rỉ," Hunt nói. "Rõ ràng đây là về 'bổ sung dữ liệu,' tạo hồ sơ toàn diện về cá nhân có thể sau đó được sử dụng cho mục đích thương mại. Do đó, mức độ dữ liệu mà một tổ chức như Apollo có thể thu thập càng nhiều, dịch vụ của họ càng trở nên quý giá hơn."

Sản phẩm cốt lõi của Apollo không chỉ thu thập thông tin có sẵn công khai mà còn tạo ra một mạng lưới kết nối doanh nghiệp và nhân viên từ đó. Ngoài tên, thông tin liên hệ và chức vụ công việc cho nhân viên, dữ liệu còn bao gồm các thông tin như ngày thành lập công ty, doanh số bán hàng, từ khóa liên quan đến công việc mà các công ty thực hiện, số lượng nhân viên và xếp hạng trang web theo công ty phân tích của Amazon là Alexa. Sau đó, dịch vụ này sử dụng tất cả thông tin này để cố gắng kết nối giữa các công ty và xác định cơ hội bán hàng có thể có.

Dữ liệu Salesforce được kéo vào vụ rò rỉ của Apollo tăng cường rủi ro, vì thông tin đó không bao giờ được thiết lập để công khai, và nhiều khách hàng dựa vào Salesforce như một công cụ nội bộ để phát triển doanh nghiệp. Trong quá trình nghiên cứu của mình, Troia trở nên lo lắng hơn khi ông nhận thấy rằng khi một người dùng cho phép Salesforce kết nối với Apollo, họ có vẻ không thể ủy quyền cho Apollo chỉ để thu nhận các loại dữ liệu cụ thể. Việc chọn kết nối hai dịch vụ này dường như kích hoạt quyền truy cập hoàn toàn.

Điều này không có nghĩa là Apollo đã thu thập tất cả dữ liệu Salesforce của một công ty cụ thể, nhưng Troia lưu ý rằng Apollo có thể giữ nhiều dữ liệu cơ hội riêng tư hơn một số khách hàng nhận ra. Salesforce từ chối bình luận trong câu chuyện này về vụ rò rỉ hoặc cách ủy quyền của bên thứ ba hoạt động. Li của Apollo nói với MYTOUR rằng, "Khách hàng có toàn quyền và khả năng tùy chỉnh quản lý dữ liệu mà họ đã nhập vào Apollo."

Apollo không phải là nhà tập hợp dữ liệu đầu tiên bị rò rỉ, và khi tất cả các vụ việc kết hợp, nguy cơ có tất cả thông tin được tạo ra một cách dễ dàng trở nên ngày càng đe dọa hơn.

"Điều làm tôi lo lắng hơn nhiều [hơn sự tiếp xúc trực tiếp với dữ liệu] là việc ánh xạ các danh tính xã hội đến địa chỉ email và các dữ liệu cá nhân khác, vì bây giờ có rất nhiều thông tin bạn có thể thu thập về một người," Hunt nói. "Chúng tôi liên tục thấy những vụ rò rỉ lớn từ các nhà tập hợp dữ liệu giữ thông tin về những người không hề biết thông tin cá nhân của họ đã được sử dụng theo cách này. Tôi hiểu rằng đó là khách hàng của Apollo đã cung cấp quyền truy cập cho khách hàng của họ, nhưng sự thực vẫn là có hơn 100 triệu người không biết về Apollo cũng như việc thông tin của họ đã bị tiết lộ.

Các Tin Tuyệt Vời Khác Của MYTOUR

• Vụ hack Facebook tiếp tục sự thất bại trên toàn bộ internet
• Những kẻ khủng bố thông tin đang cố định hình lại Hoa Kỳ
• Cách những người nhảy tốt nhất thế giới bay cao đến mức nào
• 25 năm dự đoán và lý do tại sao tương lai không bao giờ đến
• Một lịch sử trực miệng về Infinite Loop của Apple
• Đang tìm kiếm thêm? Đăng ký nhận bản tin hàng ngày của chúng tôi và đừng bao giờ bỏ lỡ những câu chuyện mới nhất và xuất sắc nhất của chúng tôi