(Bloomberg) - Mewn pennod sy’n tanlinellu pa mor agored i niwed yw rhwydweithiau cyfrifiadurol byd-eang, mae hacwyr wedi cael gafael ar gymwysterau mewngofnodi ar gyfer canolfannau data yn Asia a ddefnyddir gan rai o fusnesau mwyaf y byd, bonansa posibl ar gyfer ysbïo neu ddifrodi, yn ôl cwmni ymchwil seiberddiogelwch. .
Darllenwyd y rhan fwyaf o Bloomberg
Mae'r caches data nas adroddwyd yn flaenorol yn cynnwys e-byst a chyfrineiriau ar gyfer gwefannau cymorth cwsmeriaid ar gyfer dau o'r gweithredwyr canolfannau data mwyaf yn Asia: GDS Holdings Ltd. o Shanghai a ST Telemedia Global Data Centres o Singapore, yn ôl Resecurity Inc., sy'n darparu gwasanaethau seiberddiogelwch ac yn ymchwilio i hacwyr. Effeithiwyd ar tua 2,000 o gwsmeriaid GDS a STT GDC. Mae hacwyr wedi mewngofnodi i gyfrifon o leiaf pump ohonyn nhw, gan gynnwys prif lwyfan masnachu cyfnewid tramor a dyled Tsieina a phedwar arall o India, yn ôl Resecurity, a ddywedodd ei fod wedi ymdreiddio i’r grŵp hacio.
Nid yw'n glir beth - os unrhyw beth - a wnaeth yr hacwyr gyda'r mewngofnodion eraill. Roedd y wybodaeth yn cynnwys tystlythyrau mewn niferoedd amrywiol ar gyfer rhai o gwmnïau mwyaf y byd, gan gynnwys Alibaba Group Holding Ltd., Amazon.com Inc., Apple Inc., BMW AG, Goldman Sachs Group Inc., Huawei Technologies Co., Microsoft Corp., a Walmart Inc., yn ôl y cwmni diogelwch a channoedd o dudalennau o ddogfennau a adolygodd Bloomberg.
Wrth ymateb i gwestiynau am ganfyddiadau Resecurity, dywedodd GDS mewn datganiad bod gwefan cymorth cwsmeriaid wedi'i dorri yn 2021. Nid yw'n glir sut y cafodd yr hacwyr ddata GDC STT. Dywedodd y cwmni hwnnw nad oedd wedi dod o hyd i unrhyw dystiolaeth bod ei borth gwasanaeth cwsmeriaid wedi'i beryglu'r flwyddyn honno. Dywedodd y ddau gwmni nad oedd y nodweddion twyllodrus yn peri risg i systemau TG na data cleientiaid.
Fodd bynnag, dywedodd Resecurity a swyddogion gweithredol mewn pedwar cwmni mawr yn yr UD yr effeithiwyd arnynt fod y tystlythyrau a ddygwyd yn cynrychioli perygl anarferol a difrifol, yn bennaf oherwydd bod y gwefannau cymorth cwsmeriaid yn rheoli pwy sy'n cael mynediad corfforol i'r offer TG a gedwir yn y canolfannau data. Cadarnhaodd y swyddogion gweithredol hynny, a ddysgodd am y digwyddiadau gan Bloomberg News ac a gadarnhaodd y wybodaeth gyda’u timau diogelwch, a ofynnodd am beidio â chael eu hadnabod oherwydd nad oedd ganddynt awdurdod i siarad yn gyhoeddus am y mater.
Cofrestrwch ar gyfer ein cylchlythyr seiberddiogelwch wythnosol, y Bwletin Seiber, yma.
Mae maint y golled data a adroddwyd gan Resecurity yn amlygu'r risg gynyddol y mae cwmnïau'n ei hwynebu oherwydd eu dibyniaeth ar drydydd partïon i gartrefu data ac offer TG a helpu eu rhwydweithiau i gyrraedd marchnadoedd byd-eang. Dywed arbenigwyr diogelwch fod y mater yn arbennig o ddifrifol yn Tsieina, sy'n ei gwneud yn ofynnol i gorfforaethau bartneru â darparwyr gwasanaethau data lleol.
“Mae hon yn hunllef yn aros i ddigwydd,” meddai Michael Henry, cyn brif swyddog gwybodaeth Digital Realty Trust Inc., un o weithredwyr canolfannau data mwyaf yr Unol Daleithiau, pan gafodd Bloomberg wybod am y digwyddiadau. (Ni effeithiodd y digwyddiadau ar Digital Realty Trust). Y senario waethaf i unrhyw weithredwr canolfan ddata yw bod ymosodwyr rywsut yn cael mynediad corfforol i weinyddion cleientiaid ac yn gosod cod maleisus neu offer ychwanegol, meddai Henry. “Os gallant gyflawni hynny, gallant darfu ar gyfathrebu a masnach ar raddfa enfawr.”
Dywedodd GDS a STT GDC nad oedd ganddyn nhw unrhyw arwydd bod unrhyw beth felly wedi digwydd, ac nad oedd effaith ar eu gwasanaethau craidd.
Roedd gan hacwyr fynediad at y tystlythyrau mewngofnodi am fwy na blwyddyn cyn ei bostio ar werth ar y we dywyll y mis diwethaf, am $ 175,000, gan ddweud eu bod wedi eu llethu gan faint ohono, yn ôl Resecurity a llun o'r postiad a adolygwyd gan Bloomberg .
“Defnyddiais rai targedau,” meddai’r hacwyr yn y post. “Ond methu â thrin gan fod cyfanswm y cwmnïau dros 2,000.”
Gallai’r cyfeiriadau e-bost a’r cyfrineiriau fod wedi caniatáu i hacwyr ffugio fel defnyddwyr awdurdodedig ar y gwefannau gwasanaeth cwsmeriaid, yn ôl Resecurity. Darganfu’r cwmni diogelwch y caches data ym mis Medi 2021 a dywedodd ei fod hefyd wedi dod o hyd i dystiolaeth bod hacwyr yn ei ddefnyddio i gael mynediad at gyfrifon cwsmeriaid GDS a STT GDC mor ddiweddar â mis Ionawr, pan orfododd y ddau weithredwr canolfan ddata ailosod cyfrinair cwsmeriaid, yn ôl Resecurity.
Hyd yn oed heb gyfrineiriau dilys, byddai'r data'n dal i fod yn werthfawr - gan ganiatáu i hacwyr greu e-byst gwe-rwydo wedi'u targedu yn erbyn pobl sydd â mynediad lefel uchel i rwydweithiau eu cwmnïau, yn ôl Resecurity.
Gwrthododd y rhan fwyaf o'r cwmnïau yr effeithiwyd arnynt y cysylltodd Bloomberg News â nhw, gan gynnwys Alibaba, Amazon, Huawei a Walmart, wneud sylw. Ni ymatebodd Apple i negeseuon yn ceisio sylwadau.
Mewn datganiad, dywedodd Microsoft, “Rydym yn monitro'n rheolaidd am fygythiadau a allai effeithio ar Microsoft a phan nodir bygythiadau posibl rydym yn cymryd camau priodol i amddiffyn Microsoft a'n cwsmeriaid.” Dywedodd llefarydd ar ran Goldman Sachs, “Mae gennym ni reolaethau ychwanegol ar waith i amddiffyn rhag y math hwn o doriad ac rydym yn fodlon nad oedd ein data mewn perygl.”
Dywedodd y gwneuthurwr ceir BMW ei fod yn ymwybodol o'r mater. Ond dywedodd llefarydd ar ran y cwmni, “Ar ôl asesiad, mae’r mater yn cael effaith gyfyngedig iawn ar fusnesau BMW ac nid yw wedi achosi unrhyw niwed i gwsmeriaid BMW a gwybodaeth sy’n ymwneud â chynnyrch.” Ychwanegodd y llefarydd, “Mae BMW wedi annog GDS i wella lefel diogelwch gwybodaeth.”
GDS a STT GDC yw dau o ddarparwyr gwasanaethau “cydleoli” mwyaf Asia. Maent yn gweithredu fel landlordiaid, gan rentu lle yn eu canolfannau data i gleientiaid sy'n gosod ac yn rheoli eu hoffer TG eu hunain yno, fel arfer i fod yn agosach at gwsmeriaid a gweithrediadau busnes yn Asia. Mae GDS ymhlith y tri darparwr cydleoli gorau yn Tsieina, yr ail farchnad fwyaf ar gyfer y gwasanaeth yn y byd ar ôl yr Unol Daleithiau, yn ôl Synergy Research Group Inc. Mae Singapore yn chweched.
Mae'r cwmnïau hefyd wedi'u cydblethu: mae ffeilio corfforaethol yn dangos bod Singapore Technologies Telemedia Pte, rhiant y STT GDC, wedi caffael cyfran o 2014% yn GDS yn 40.
Dywedodd y Prif Swyddog Gweithredol ar Ddiogelwch Gene Yoo fod ei gwmni wedi datgelu’r digwyddiadau yn 2021 ar ôl i un o’i weithwyr fynd yn gudd i ymdreiddio i grŵp hacio yn Tsieina a oedd wedi ymosod ar dargedau’r llywodraeth yn Taiwan.
Yn fuan wedi hynny, rhybuddiodd GDS a STT GDC a nifer fach o gleientiaid Resecurity yr effeithiwyd arnynt, yn ôl Yoo a'r dogfennau.
Hysbysodd Resecurity GDS a STT GDC eto ym mis Ionawr ar ôl darganfod yr hacwyr yn cyrchu cyfrifon, a rhybuddiodd y cwmni diogelwch awdurdodau yn Tsieina a Singapore bryd hynny, yn ôl Yoo a'r dogfennau.
Dywedodd y ddau weithredwr canolfan ddata eu bod wedi ymateb yn brydlon pan gânt eu hysbysu am y materion diogelwch a dechrau ymchwiliadau mewnol.
Dywedodd Cheryl Lee, llefarydd ar ran Asiantaeth Seiberddiogelwch Singapore, fod yr asiantaeth “yn ymwybodol o’r digwyddiad ac yn cynorthwyo ST Telemedia ar y mater hwn.” Ni ymatebodd Tîm Technegol Ymateb i Argyfwng y Rhwydwaith Cyfrifiadurol Cenedlaethol/Canolfan Gydgysylltu Tsieina, sefydliad anllywodraethol sy'n ymdrin ag ymateb i argyfyngau seiber, i negeseuon yn ceisio sylwadau.
Cydnabu GDS fod gwefan cymorth i gwsmeriaid wedi’i thorri a dywedodd ei bod wedi ymchwilio ac wedi pennu pa mor agored i niwed oedd y wefan yn 2021.
“Mae’r cais a dargedwyd gan hacwyr yn gyfyngedig o ran cwmpas a gwybodaeth i swyddogaethau gwasanaeth nad ydynt yn hanfodol, megis gwneud ceisiadau am docynnau, amserlennu danfoniad ffisegol offer ac adolygu adroddiadau cynnal a chadw,” yn ôl datganiad cwmni. “Fel arfer mae angen dilyniant a chadarnhad all-lein ar gyfer ceisiadau a wneir trwy'r cais. O ystyried natur sylfaenol y cais, ni arweiniodd y toriad at unrhyw fygythiad i weithrediadau TG ein cwsmeriaid.”
Dywedodd STT GDC ei fod wedi dod ag arbenigwyr seiberddiogelwch allanol i mewn pan ddysgodd am y digwyddiad yn 2021. “Mae’r system TG dan sylw yn declyn tocynnau gwasanaeth cwsmeriaid” ac “nid oes ganddi unrhyw gysylltiad â systemau corfforaethol eraill nac unrhyw seilwaith data hanfodol,” meddai’r cwmni. .
Dywedodd y cwmni na chafodd ei borth gwasanaeth cwsmeriaid ei dorri yn 2021 a bod y tystlythyrau a gafwyd gan Resecurity yn “rhestr rannol a hen ffasiwn o gymwysterau defnyddwyr ar gyfer ein ceisiadau tocynnau cwsmeriaid. Mae unrhyw ddata o’r fath bellach yn annilys ac nid yw’n peri risg diogelwch yn y dyfodol.”
“Ni welwyd mynediad heb awdurdod na cholli data,” yn ôl datganiad STT GDC.
Waeth sut y gallai'r hacwyr fod wedi defnyddio'r wybodaeth, dywedodd arbenigwyr seiberddiogelwch fod y lladradau'n dangos bod ymosodwyr yn archwilio ffyrdd newydd o ymdreiddio i dargedau caled.
Mae diogelwch ffisegol offer TG mewn canolfannau data trydydd parti a'r systemau ar gyfer rheoli mynediad iddo yn cynrychioli gwendidau sy'n aml yn cael eu hanwybyddu gan adrannau diogelwch corfforaethol, meddai Malcolm Harkins, cyn brif gynnig diogelwch a phreifatrwydd Intel Corp. Unrhyw ymyrryd â'r ganolfan ddata gallai offer “gael canlyniadau dinistriol,” meddai Harkins.
Cafodd yr hacwyr gyfeiriadau e-bost a chyfrineiriau ar gyfer mwy na 3,000 o bobl yn GDS - gan gynnwys ei weithwyr ei hun a rhai ei gwsmeriaid - a mwy na 1,000 gan STT GDC, yn ôl y dogfennau a adolygwyd gan Bloomberg News.
Fe wnaeth yr hacwyr hefyd ddwyn tystlythyrau ar gyfer rhwydwaith GDS o fwy na 30,000 o gamerâu gwyliadwriaeth, y mwyafrif ohonynt yn dibynnu ar gyfrineiriau syml fel “admin” neu “admin12345,” mae'r dogfennau'n dangos. Ni wnaeth GDS fynd i'r afael â chwestiwn am yr honiad o ddwyn tystlythyrau i'r rhwydwaith camera, nac am y cyfrineiriau.
Roedd nifer y tystlythyrau mewngofnodi ar gyfer y gwefannau cymorth cwsmeriaid yn amrywio ar gyfer gwahanol gwsmeriaid. Er enghraifft, roedd 201 o gyfrifon yn Alibaba, 99 yn Amazon, 32 yn Microsoft, 16 yn Baidu Inc., 15 yn Bank of America Corp., saith yn Bank of China Ltd., pedwar yn Apple a thri yn Goldman, yn ôl y dogfennau. Dywedodd Yoo Resecurity mai dim ond un cyfeiriad e-bost dilys a chyfrinair sydd ei angen ar hacwyr i gael mynediad i gyfrif cwmni ar y porth gwasanaeth cwsmeriaid.
Ymhlith y cwmnïau eraill y cafwyd manylion mewngofnodi eu gweithwyr, yn ôl Resecurity a'r dogfennau, roedd: Bharti Airtel Ltd. yn India, Bloomberg LP (perchennog Bloomberg News), ByteDance Ltd., Ford Motor Co., Globe Telecom Inc. Yn Ynysoedd y Philipinau, Mastercard Inc., Morgan Stanley, Paypal Holdings Inc., Porsche AG, SoftBank Corp., Telstra Group Ltd. yn Awstralia, Tencent Holdings Ltd., Verizon Communications Inc. a Wells Fargo & Co.
Mewn datganiad, dywedodd Baidu, “Nid ydym yn credu bod unrhyw ddata wedi’i beryglu. Mae Baidu yn talu sylw mawr i sicrhau diogelwch data ein cwsmeriaid. Byddwn yn cadw llygad barcud ar faterion fel hyn ac yn parhau i fod yn effro i unrhyw fygythiadau sy’n dod i’r amlwg i ddiogelwch data mewn unrhyw ran o’n gweithrediadau.”
Dywedodd cynrychiolydd Porsche, “Yn yr achos penodol hwn nid oes gennym unrhyw arwydd bod unrhyw risg.” Dywedodd cynrychiolydd SoftBank fod is-gwmni Tsieineaidd wedi rhoi'r gorau i ddefnyddio GDS y llynedd. “Nid oes unrhyw ollyngiad data gwybodaeth cwsmeriaid gan y cwmni lleol o China wedi’i gadarnhau, ac ni fu unrhyw effaith ar ei fusnes a’i wasanaethau,” meddai’r cynrychiolydd.
Dywedodd llefarydd ar ran Telstra, “Nid ydym yn ymwybodol o unrhyw effaith ar y busnes yn dilyn y toriad hwn,” tra dywedodd cynrychiolydd Mastercard, “Er ein bod yn parhau i fonitro’r sefyllfa hon, nid ydym yn ymwybodol o unrhyw risgiau i’n busnes neu effaith i ein rhwydwaith neu systemau trafodion.”
Dywedodd cynrychiolydd Tencent, “Nid ydym yn ymwybodol o unrhyw effaith ar y busnes yn dilyn y toriad hwn. Rydym yn rheoli ein gweinyddion y tu mewn i ganolfannau data yn uniongyrchol, ac nid oes gan weithredwyr cyfleusterau canolfannau data unrhyw fynediad at unrhyw ddata sydd wedi'i storio ar weinyddion Tencent. Nid ydym wedi darganfod unrhyw fynediad anawdurdodedig i’n systemau TG a’n gweinyddion ar ôl ymchwiliad, sy’n parhau i fod yn ddiogel.”
Dywedodd llefarydd ar ran Wells Fargo ei fod yn defnyddio GDS ar gyfer seilwaith TG wrth gefn tan fis Rhagfyr 2022. “Nid oedd gan GDS fynediad at ddata, systemau, na rhwydwaith Wells Fargo Wells Fargo,” meddai’r cwmni. Gwrthododd y cwmnïau eraill i gyd wneud sylw neu ni wnaethant ymateb.
Dywedodd Yoo o Resecurity, ym mis Ionawr, fod gweithredwr cudd ei gwmni wedi pwyso ar yr hacwyr i ddangos a oedd ganddyn nhw fynediad at gyfrifon o hyd. Darparodd yr hacwyr sgrinluniau yn eu dangos yn mewngofnodi i gyfrifon pum cwmni ac yn llywio i wahanol dudalennau ym mhyrth ar-lein GDS a STT GDC, meddai. Caniataodd diogelwch i Bloomberg News adolygu'r sgrinluniau hynny.
Yn GDS, cafodd yr hacwyr fynediad at gyfrif ar gyfer System Masnach Cyfnewid Tramor Tsieina, cangen o fanc canolog Tsieina sy'n chwarae rhan allweddol yn economi'r wlad honno, gan weithredu prif lwyfan masnachu cyfnewid tramor a dyled y llywodraeth, yn ôl y sgrinluniau a Resecurity. Ni ymatebodd y sefydliad i negeseuon.
Yn STT GDC, cyrchodd hacwyr gyfrifon ar gyfer Cyfnewidfa Rhyngrwyd Genedlaethol India, sefydliad sy'n cysylltu darparwyr rhyngrwyd ledled y wlad, a thri arall sydd wedi'u lleoli yn India: MyLink Services Pvt., Skymax Broadband Services Pvt., a Logix InfoSecurity Pvt., y sgrinluniau yn dangos.
Wedi'i gyrraedd gan Bloomberg, dywedodd Cyfnewidfa Rhyngrwyd Genedlaethol India nad oedd yn ymwybodol o'r digwyddiad a gwrthododd sylw pellach. Ni ymatebodd unrhyw un o'r sefydliadau eraill yn India i geisiadau am sylwadau.
Pan ofynnwyd iddo am yr honiad bod hacwyr yn dal i gael mynediad at gyfrifon ym mis Ionawr gan ddefnyddio’r tystlythyrau wedi’u dwyn, dywedodd cynrychiolydd GDS, “Yn ddiweddar, fe wnaethom ganfod nifer o ymosodiadau newydd gan hacwyr gan ddefnyddio’r hen wybodaeth mynediad cyfrif. Rydym wedi defnyddio offer technegol amrywiol i rwystro'r ymosodiadau hyn. Hyd yn hyn, nid ydym wedi dod o hyd i unrhyw dorri i mewn llwyddiannus newydd gan hacwyr oherwydd ein bod yn agored i niwed yn y system.”
Ychwanegodd cynrychiolydd GDS, “Fel y gwyddom, ni ailosododd un cwsmer un o'u cyfrineiriau cyfrif i'r rhaglen hon a oedd yn perthyn i gyn-weithiwr iddynt. Dyna'r rheswm pam y gwnaethom orfodi ailosod cyfrinair ar gyfer yr holl ddefnyddwyr yn ddiweddar. Credwn fod hwn yn ddigwyddiad ynysig. Nid yw’n ganlyniad i hacwyr yn torri drwy ein system ddiogelwch.”
Dywedodd STT GDC ei fod wedi derbyn hysbysiad ym mis Ionawr am fygythiadau pellach i byrth gwasanaeth cwsmeriaid yn “ein rhanbarthau India a Gwlad Thai.” “Mae ein hymchwiliadau hyd yma yn dangos na fu unrhyw golled data nac effaith ar unrhyw un o’r pyrth gwasanaeth cwsmeriaid hyn,” meddai’r cwmni.
Ddiwedd mis Ionawr, ar ôl i GDS a STT GDC newid cyfrineiriau cwsmeriaid, gwelodd Resecurity y hacwyr yn postio'r cronfeydd data ar werth ar fforwm gwe tywyll, yn Saesneg a Tsieineaidd, yn ôl Yoo.
“Mae DBs yn cynnwys gwybodaeth cwsmeriaid, gellir eu defnyddio ar gyfer gwe-rwydo, mynediad i gabinetau, monitro archebion ac offer, archebion dwylo o bell,” meddai’r post. “Pwy all gynorthwyo gyda gwe-rwydo wedi'i dargedu?”
Darllenwyd y rhan fwyaf o Bloomberg Businessweek
© 2023 Bloomberg LP
Ffynhonnell: https://finance.yahoo.com/news/hackers-scored-data-center-logins-020028440.html