Hãng an ninh mạng hàng đầu CrowdStrike xác nhận đã chấm dứt hợp đồng của một nhân viên sau khi người này bị phát hiện cung cấp thông tin nhạy cảm của hệ thống nội bộ cho một nhóm hacker nổi tiếng. Sự việc được phát hiện khi những hình ảnh chụp màn hình nội bộ của CrowdStrike được đăng tải công khai trên kênh Telegram do nhóm hacker “Scattered Lapsus$ Hunters” quản lý.
Nhóm này tự nhận là một “siêu nhóm” được hình thành từ các thành viên của Scattered Spider, LAPSUS$ và ShinyHunters, và công bố các hình ảnh khẳng định họ đã xâm nhập thành công hệ thống nội bộ của CrowdStrike. Những hình ảnh này, được các nhà nghiên cứu đánh giá, cho thấy bảng điều khiển nội bộ và giao diện Okta Single Sign-On (SSO) mà nhân viên sử dụng để truy cập các ứng dụng của công ty.
Ban đầu, các hacker tuyên bố các hình ảnh này là bằng chứng cho một vụ tấn công quy mô lớn xuất phát từ lỗ hổng của bên thứ ba, cụ thể là nền tảng quản lý khách hàng Gainsight, được nhiều khách hàng của Salesforce sử dụng. Tuy nhiên, điều tra cho thấy đây không phải một vụ tấn công kỹ thuật phức tạp, mà là kết quả của lỗ hổng đến từ nhân viên nội bộ.
Theo báo cáo từ CyberSecurity News, các tác nhân đe dọa đã tiếp cận nhân viên nội bộ và được cho là đã đề nghị 25.000 USD để giúp họ truy cập mạng. Nhóm hacker tuyên bố đã nhận được các “cookie xác thực” giúp vượt qua các biện pháp bảo mật, nhưng CrowdStrike khẳng định trung tâm vận hành bảo mật của họ đã phát hiện các hoạt động đáng ngờ trước khi bất kỳ truy cập độc hại nào được thực hiện. Thực tế, “rò rỉ” chỉ là việc nhân viên chụp màn hình máy tính và chia sẻ ra bên ngoài, chứ không phải xâm nhập hệ thống hay đánh cắp dữ liệu.
CrowdStrike đã nhanh chóng phản ứng để giải quyết thông tin và trấn an khách hàng. Vụ việc hiện đã được chuyển đến các cơ quan chức năng để xử lý tiếp theo.
