top of page

Cisco bị rò rỉ dữ liệu: ShinyHunters rao bán 3 triệu bản ghi Salesforce và mã nguồn GitHub

  • 4 giờ trước
  • 4 phút đọc

Vụ việc Cisco rò rỉ dữ liệu do nhóm hacker ShinyHunters thực hiện đang diễn biến cực kỳ phức tạp. Sau những tuyên bố ban đầu, nhóm này đã tung ra các bằng chứng kỹ thuật cho thấy quy mô xâm nhập không chỉ dừng lại ở các bản ghi phần mềm mà còn lan rộng sang toàn bộ hạ tầng lưu trữ đám mây của tập đoàn.

1. Bằng chứng kỹ thuật: Sự phơi nhiễm của hạ tầng AWS EC2 Volumes

Dựa trên các ảnh chụp màn hình được nhóm hacker công bố, các chuyên gia phân tích từ CyberNews và SocRadar đã ghi nhận những chi tiết gây sốc về mức độ thâm nhập vào hệ thống của Cisco.

Bài đăng tống tiền của ShinyHunters tuyên bố đã đánh cắp dữ liệu của Cisco, bao gồm hồ sơ Salesforce, kho lưu trữ GitHub và tài sản AWS.
Bài đăng tống tiền của ShinyHunters tuyên bố đã đánh cắp dữ liệu của Cisco, bao gồm hồ sơ Salesforce, kho lưu trữ GitHub và tài sản AWS.

Cụ thể, hacker đã truy cập được vào giao diện quản trị AWS EC2 Volumes console. Hình ảnh cho thấy hàng chục ổ đĩa cứng ảo (Virtual Hard Drives) đang hoạt động trên nền tảng đám mây. Đáng chú ý:

  • Quy mô lưu trữ: Có tổng cộng 5 trang danh mục ổ đĩa, ước tính con số lên tới hơn 100 ổ đĩa lưu trữ ảo (EBS Volumes).

  • Dung lượng dữ liệu: Rất nhiều trong số các ổ đĩa này chứa hàng trăm Gigabytes dữ liệu quan trọng mỗi ổ.

  • Tính thời điểm: Ngày khởi tạo và truy cập gần nhất của các ổ đĩa được ghi nhận vào ngày 16 và 17 tháng 03 năm 2026. Điều này chứng tỏ cuộc tấn công diễn ra rất gần đây và hacker vẫn duy trì được sự hiện diện trong hệ thống (Persistence) cho đến thời điểm tung tin.

Mô-đun Giám sát Mạng Tối của SOCRadar
Mô-đun Giám sát Mạng Tối của SOCRadar

Mặc dù phía Cisco chưa đưa ra xác nhận chính thức về tính xác thực của dữ liệu, nhưng các nhà nghiên cứu nhận định rằng dựa trên cấu trúc các bản chụp màn hình, khả năng vụ vi phạm này là có thật và cực kỳ nghiêm trọng.

2. 3 triệu bản ghi Salesforce và mã nguồn GitHub bị chiếm đoạt

Bên cạnh hạ tầng AWS, ShinyHunters khẳng định đã nắm giữ:

  • 3 triệu bản ghi từ Salesforce: Bao gồm thông tin khách hàng, đối tác và các dữ liệu kinh doanh nhạy cảm.

  • Mã nguồn GitHub (GitHub Repositories): Việc lộ lọt mã nguồn là rủi ro thảm họa, vì hacker có thể tìm kiếm các hardcoded credentials (thông tin đăng nhập bị ghi cứng trong code) hoặc các lỗ hổng logic để thực hiện các cuộc tấn công leo thang đặc quyền trong tương lai.

Bài đăng từ ShinyHunters
Bài đăng từ ShinyHunters

3. Phân tích rủi ro: Từ PII đến tấn công chuỗi cung ứng

Sự cố này không đơn thuần là mất mát dữ liệu mà còn tạo ra một "hiệu ứng domino" đe dọa toàn bộ hệ sinh thái khách hàng của Cisco.

Phơi nhiễm dữ liệu bí mật và PII

Việc lộ lọt Thông tin nhận dạng cá nhân (PII) của khách hàng và nhân viên là nguồn tài nguyên vô giá cho tội phạm mạng. Các dữ liệu này sẽ được sử dụng cho:

  • Kỹ thuật xã hội (Social Engineering): Thực hiện các cuộc gọi hoặc email lừa đảo cực kỳ thuyết phục dựa trên thông tin thực tế.

  • Gian lận và lừa đảo tài chính: Sử dụng thông tin định danh để chiếm đoạt tài khoản hoặc thực hiện các giao dịch trái phép.

Tạo bàn đạp cho các cuộc tấn công tiếp theo (Footholding)

Dữ liệu khách hàng bị rò rỉ cung cấp cho kẻ tấn công một "bàn đạp" (foothold) vững chắc. Khi biết rõ cấu trúc hệ thống, tên nhân viên và các dự án đang triển khai, hacker có thể lên kế hoạch cho các cuộc tấn công có mục tiêu (Targeted Attacks) vào chính các doanh nghiệp đang sử dụng sản phẩm của Cisco.

4. Giải pháp đề xuất ngăn chặn rò rỉ dữ liệu đám mây (De-xuat)

Từ góc độ chuyên gia, vụ việc Cisco cho thấy lỗ hổng trong việc quản lý tài nguyên đám mây. Để bảo vệ doanh nghiệp, chúng tôi đề xuất các biện pháp sau:

  • Quản lý bảo mật ổ đĩa EBS (AWS EBS Encryption & Access): Đảm bảo tất cả các Volume trên EC2 phải được mã hóa ở trạng thái nghỉ (at rest). Sử dụng các chính sách IAM (Identity and Access Management) chặt chẽ để giới hạn quyền truy cập vào bảng điều khiển Console.

  • Giám sát thực thể lưu trữ ảo: Sử dụng các công cụ như AWS CloudTrail và Amazon GuardDuty để phát hiện sớm các hành vi truy cập bất thường vào EC2 Volumes hoặc hành động tạo Snapshot trái phép.

  • Bảo vệ chuỗi cung ứng mã nguồn: Triển khai các công cụ quét mã nguồn (Secret Scanning) trên GitHub để phát hiện và thu hồi ngay lập tức các API Key hoặc Token bị lộ trong Repo.

    Dịch vụ tham khảo: Giải pháp giám sát an ninh mạng SOC 24/7 giúp phát hiện sớm các dấu hiệu xâm nhập hạ tầng Cloud.

  • Đào tạo nâng cao nhận thức (Security Awareness): Trước rủi ro từ Social Engineering, nhân viên cần được đào tạo để nhận diện các kịch bản lừa đảo tinh vi nhất năm 2026.

Mặc dù dữ liệu chưa bị phát tán hoàn toàn, nhưng những bằng chứng về việc kiểm soát hàng trăm ổ đĩa AWS EC2 đã đặt Cisco vào tình thế báo động đỏ. Đây là bài học đắt giá về việc quản lý cấu hình sai trên đám mây (Cloud Misconfiguration) – một trong những nguyên nhân hàng đầu dẫn đến rò rỉ dữ liệu quy mô lớn hiện nay.

-----

Nguồn tham khảo:

  • Cisco Breach: ShinyHunters claims responsibility for 3M Salesforce records - Infosec Bulletin.

  • Hackers blackmail Cisco over stolen Salesforce data and AWS infrastructure - CyberNews.

  • Trivy and the Cisco Breach: Technical Analysis - SOCRadar Blog.

  • AWS Security Best Practices for EC2 Volumes - Amazon Web Services Documentation.

Bình luận

LOGO IPSIP vietnam 1

CÔNG TY TNHH MTV IPSIP VIỆT NAM (IPSIP VIETNAM OMLLC)

​MST: 0313859600

🏢 Số SH05.01 Đường B4, Khu Saritown, Phường An Khánh, Thành phố Hồ Chí Minh, Việt Nam

​☎  +84 91 885 30 68

  • Linkedin
  • Facebook
  • TikTok
  • Email liên h��ệ
Dịch vụ nổi bật

Giải pháp cho SMEs

SOC 24/7

NOC 24/7

IT Support

An ninh mạng
Cloud

Đăng ký nhận tài liệu, tin tức an ninh mạng chuyên sâu từ IPSIP Việt Nam

bottom of page