Bloomberg: Mạng xã hội X của tỷ phú Elon Musk dính lỗ hổng bảo mật nghiêm trọng
Theo các nhà phân tích an ninh mạng, một cuộc tấn công mạng làm gián đoạn hoạt động của nền tảng mạng xã hội X của tỷ phú Elon Musk đã nhắm vào các máy chủ không được bảo vệ đầy đủ.
Biểu tượng mạng xã hội X. Ảnh: AFP/TTXVN
Theo Bloomberg, người dùng của nền tảng mạng xã hội này gặp tình trạng gián đoạn liên tục vào ngày 10/3. Tỷ phú Musk cho rằng nguyên nhân là do một “nhóm lớn, có tổ chức” hoặc một quốc gia đã tiến hành một “cuộc tấn công mạng quy mô lớn”. Tuy nhiên, ông không đưa ra thêm bất kỳ bằng chứng nào để củng cố tuyên bố này.
Ông Jerome Meyer, nhà nghiên cứu bảo mật tại Nokia Deepfield – một đơn vị của tập đoàn Nokia Oyj, cho biết X đã trở thành mục tiêu của một cuộc tấn công từ chối dịch vụ phân tán (DDoS). Đây là hình thức tấn công khiến một trang web bị quá tải bằng lượng truy cập khổng lồ, buộc nó phải ngừng hoạt động. Ông Meyer đã theo dõi cuộc tấn công này bằng cách phân tích dữ liệu từ Nokia Deepfield - một hệ thống được triển khai trong các công ty viễn thông để cung cấp phân tích và bảo vệ chống DDoS.
Ông cho biết, các đợt tấn công nhắm vào “các máy chủ gốc” (origin servers) – những máy chủ xử lý và phản hồi các yêu cầu từ internet. Những máy chủ này dễ bị tấn công vì dường như không được bảo vệ bằng công nghệ chặn các cuộc tấn công DDoS. “Chúng không nên bị lộ trên internet”, ông Meyer nhấn mạnh. Ông cũng cho biết một trong số các máy chủ bị tấn công vào ngày 10/3 vẫn tiếp tục bị cô lập và khá dễ tổn thương vào sáng ngày 11/3.
Hiện X chưa đưa ra phản hồi trước yêu cầu bình luận về vụ việc. Trong khi đó, nhóm tin tặc có tên Dark Storm Team, có quan điểm ủng hộ Palestine, đã lên tiếng nhận trách nhiệm về cuộc tấn công nhưng không cung cấp bằng chứng xác thực.
Lỗ hổng bảo mật của X
Trong một cuộc phỏng vấn trên đài BBC hôm 11/3, ông Ciaran Martin, cựu lãnh đạo Trung tâm An ninh mạng Quốc gia Anh nhận định “có vẻ như X đã không triển khai Cloudflare đúng cách”. Cloudflare là công ty chuyên cung cấp dịch vụ bảo vệ chống DDoS. Ông Martin cũng cho biết X “đã đặt một số máy chủ bên ngoài thay vì bên trong lớp bảo vệ của Cloudflare”.
“Giống như có bốn cánh cửa, lắp khóa hiện đại vào ba cánh, nhưng lại để một cánh không khóa”, ông Martin nhận xét. Đến nay, Cloudflare hiện chưa phản hồi về phát biểu trên.
Ông David Mound, chuyên gia an ninh mạng tại SecurityScorecard Inc., cho biết hầu hết các trang web lớn đều có các biện pháp bảo vệ mạnh mẽ trước loại tấn công này, bao gồm tường lửa ứng dụng web và các công nghệ khác để ngăn chặn truy cập trái phép vào máy chủ gốc.
“Nếu máy chủ gốc của X bị lộ hoặc không có bộ lọc phù hợp, thì đây là một sai sót bảo mật cơ bản”, ông Mound nói. Ông nhấn mạnh rằng việc bảo vệ máy chủ gốc là một tiêu chuẩn bảo mật lâu đời đối với bất kỳ dịch vụ web quy mô lớn nào.
Nguồn gốc cuộc tấn công
Tỷ phú Musk cho biết trong một cuộc phỏng vấn với Fox Business hôm 10/2 rằng công ty của ông đã lần ra địa chỉ IP liên quan đến “khu vực Ukraine”. Tuy nhiên, các chuyên gia an ninh mạng đã tỏ ra hoài nghi về tuyên bố này.
Theo ông Meyer từ Nokia, phần lớn thiết bị tham gia vào cuộc tấn công đến từ Mỹ, Mexico, Tây Ban Nha, Italia và Brazil. Ông nhận định rằng các thiết bị này có thể đã bị kiểm soát từ một quốc gia khác, nơi kẻ tấn công sử dụng nhiều lớp che giấu để giấu danh tính thực sự.
Ông Jason Kikta, cựu quan chức Bộ Chỉ huy An ninh mạng Mỹ, cho biết việc giả mạo địa chỉ của lưu lượng mạng truy cập trong các cuộc tấn công kiểu này là “rất phổ biến và đơn giản".
“Những địa chỉ IP mà nạn nhân nhìn thấy trong một cuộc tấn công DDoS có giá trị tương đương với việc mô tả một tên cướp ngân hàng đang đeo mặt nạ kiểu nào. Nó có thể là một manh mối ban đầu, nhưng không thực sự hữu ích”, ông Kikta, hiện là Giám đốc An ninh thông tin tại Automox Inc., nhận xét.
Cuộc tấn công có liên quan đến mạng botnet
Ông Meyer cho biết cuộc tấn công xuất phát từ một mạng botnet – một tập hợp máy tính bị nhiễm phần mềm độc hại và bị kiểm soát bởi tin tặc. Mạng botnet này bao gồm từ 10.000 đến 20.000 địa chỉ IP, chủ yếu liên quan đến camera an ninh và các đầu ghi hình mạng, vốn có thể đã bị nhiễm phần mềm độc hại.
Nhiều thiết bị tham gia vào cuộc tấn công X được liên kết với botnet có tên “Eleven11bot.” Ông Meyer cho biết mạng botnet này đã từng thực hiện các cuộc tấn công từ chối dịch vụ nhắm vào các nhà cung cấp dịch vụ viễn thông và hạ tầng lưu trữ game. Ông đã theo dõi botnet này trong vài tuần qua.
Sau khi tỷ phú Musk mua lại Twitter vào năm 2022 và đổi tên thành X, hơn 100 nhân viên phụ trách bảo mật và quyền riêng tư đã rời khỏi công ty. Theo Bloomberg News, điều này khiến số lượng nhân sự chịu trách nhiệm bảo vệ cơ sở hạ tầng của nền tảng này khỏi các cuộc tấn công mạng và rò rỉ dữ liệu bị giảm đi khoảng một nửa.
