SoundCloud gặp lỗi truy cập vì bị hacker xâm nhập, ảnh hưởng 28 triệu tài khoản

Thông báo này được đưa ra sau khi nhiều người dùng, gồm cả ở Việt Nam, gặp lỗi 403 khi truy cập SoundCloud, dù đã dùng VPN (mạng riêng ảo). Thông báo lỗi có nội dung như sau:

Không thể xử lý yêu cầu.

Hệ thống phân phối Amazon CloudFront được cấu hình để chặn truy cập từ quốc gia của bạn. Hiện tại chúng tôi không thể kết nối đến máy chủ của ứng dụng hoặc trang web này. Nguyên nhân có thể do lưu lượng truy cập quá lớn hoặc do lỗi cấu hình. Vui lòng thử lại sau hoặc liên hệ với chủ sở hữu ứng dụng/trang web.

Nếu cung cấp nội dung cho khách hàng thông qua CloudFront, bạn có thể tìm các bước khắc phục sự cố và cách giúp ngăn lỗi này bằng cách tham khảo tài liệu CloudFront.

Nội dung thông báo cho biết Amazon CloudFront (dịch vụ phân phối nội dung được SoundCloud sử dụng) đã chặn quyền truy cập từ “quốc gia của bạn”, khiến người dùng không thể kết nối đến máy chủ SoundCloud để nghe nhạc, danh sách phát hay tải nội dung như bình thường.

Sự cố trên khiến cộng đồng âm nhạc thế giới lo lắng. Tại Việt Nam, nhiều người thắc mắc “Amazon CloudFront gặp sự cố kỹ thuật?”, “SoundCloud bị sập hay chặn người dùng Việt?”…

Song trong một tuyên bố gửi trang BC, SoundCloud cho biết gần đây đã phát hiện hoạt động trái phép liên quan đến bảng điều khiển dịch vụ phụ trợ và đã kích hoạt các quy trình ứng phó sự cố.

SoundCloud thừa nhận rằng kẻ tấn công đã truy cập một số dữ liệu của họ nhưng cho biết phạm vi rò rỉ là hạn chế.

"SoundCloud hiểu rằng một nhóm tấn công được cho đã truy cập một số dữ liệu hạn chế mà chúng tôi lưu giữ. Chúng tôi đã hoàn tất việc điều tra dữ liệu bị ảnh hưởng và không có dữ liệu nhạy cảm nào (như thông tin tài chính hoặc mật khẩu) bị truy cập. Dữ liệu liên quan chỉ gồm địa chỉ email và thông tin đã hiển thị công khai trên các hồ sơ SoundCloud", nền tảng phát nhạc trực tuyến nổi tiếng chia sẻ với BC.

Theo BC, vụ xâm nhập ảnh hưởng tới 20% người dùng của SoundCloud, dựa trên số liệu công khai, có thể tác động khoảng 28 triệu tài khoản.

Công ty tin rằng tất cả truy cập trái phép vào hệ thống SoundCloud đã bị chặn và không còn rủi ro đang diễn ra với nền tảng.

Hợp tác với các chuyên gia an ninh mạng bên thứ ba, SoundCloud đã thực hiện các bước bổ sung để tăng cường bảo mật, gồm cải thiện giám sát và phát hiện mối đe dọa, xem xét kiểm soát danh tính và truy cập, đồng thời đánh giá các hệ thống liên quan.

Tuy nhiên, phản ứng từ SoundCloud, gồm cả một thay đổi cấu hình, đã làm gián đoạn kết nối VPN (mạng riêng ảo) tới trang web. SoundCloud chưa cung cấp thời gian cụ thể khi nào truy cập vào trang web bằng VPN sẽ được khôi phục hoàn toàn. Hiện tại, PV Một Thế Giới vẫn gặp thông báo lỗi 403 khi truy cập trang web SoundCloud.

Sau phản ứng nêu trên, SoundCloud đã hứng chịu các cuộc tấn công từ chối dịch vụ phân tán (DoS) khiến khả năng truy cập trang web của nền tảng tạm thời bị vô hiệu hóa.

Ra đời năm 2007 tại Đức, SoundCloud là nền tảng trực tuyến nổi tiếng có hàng trăm triệu người dùng, cho phép nghe, chia sẻ và phân phối nhạc. Với SoundCloud, nghệ sĩ, producer, DJ và người sáng tạo nội dung có thể tự tải nhạc lên trực tiếp để tiếp cận người nghe trên toàn cầu. Tại Việt Nam, nhiều người sử dụng SoundCloud để nghe và chia sẻ nhạc hay khám phá nghệ sĩ mới.

Nhìn chung, SoundCloud đóng vai trò quan trọng với các ca nhạc sĩ muốn đưa sản phẩm của mình ra thị trường quốc tế.

ShinyHunters là thủ phạm tấn công mạng SoundCloud

Dù SoundCloud chưa công bố chi tiết về kẻ đứng sau vụ xâm nhập, trang BC nhận được thông tin rằng thủ phạm là nhóm hacker ShinyHunters.

Nguồn tin cho biết ShinyHunters đang tống tiền SoundCloud sau khi bị cáo buộc đánh cắp một cơ sở dữ liệu chứa thông tin người dùng.

ShinyHunters cũng chịu trách nhiệm về vụ xâm nhập dữ liệu PornHub gần đây, BC đưa tin.

Được thành lập hồi 2020, ShinyHunters gây chú ý ngay năm đầu hoạt động khi chiếm đoạt hơn 200 triệu bản ghi của 13 công ty lớn trên thế giới. Nhóm hacker này thường tập trung tấn công đánh cắp dữ liệu trên nền tảng đám mây hoặc ứng dụng web của nạn nhân để tống tiền.

Thay vì cố gắng che giấu dấu vết, ShinyHunters công khai lượng dữ liệu đã đánh cắp và công bố trên các diễn đàn ngầm, sau đó rao bán. Những vụ hack liên tục mà ShinyHunters thực hiện và nhận trách nhiệm tạo nên nỗi hoang mang trong cộng đồng an ninh mạng thế giới.

Cách thức quen thuộc của ShinyHunters là xâm nhập hệ thống nạn nhân qua lỗ hổng đã biết hoặc social engineering (kỹ nghệ xã hội, hình thức lừa đảo dựa trên thao túng tâm lý).

Hồi tháng 9, một báo cáo từ trang web DataBreaches cho biết ShinyHunters khai thác thành công một lỗ hổng N-day (còn gọi là Zero-day cũ) trong phần mềm đã hết hỗ trợ tại Trung tâm Thông tin Tín dụng Quốc gia Việt Nam (CIC), chiếm đoạt khoảng 3 tỉ bản ghi toàn hệ thống, trong đó có 160 triệu bản ghi chứa thông tin cá nhân người Việt.

DataBreaches là trang web chuyên đưa tin, theo dõi và phân tích các vụ rò rỉ dữ liệu, tấn công mạng và sự cố an ninh thông tin trên toàn cầu.

Trước đó, Google Threat Intelligence Group (nhóm tình cảnh báo ShinyHunters thực hiện chiêu trò gọi điện giả danh nhân viên kỹ thuật để lừa nạn nhân cài đặt ứng dụng giả mạo lên nền tảng Salesforce. Khi đó, nạn nhân sẽ nhập một “mã kết nối” và vô tình cấp quyền cho phần mềm độc hại để lấy toàn bộ dữ liệu trong hệ thống đám mây của mình.

Nếu nạn nhân không đáp ứng yêu cầu tiền chuộc, ShinyHunters lập tức tung dữ liệu ra chợ đen.

Trong vụ tấn công nhắm vào Snowflake Cloud hồi giữa 2024 (hướng tới Ticketmaster, Santander…), nhóm này thậm chí đã đòi các công hàng trăm nghìn đến hơn một triệu USD tiền chuộc để xóa dữ liệu, nếu không sẽ công khai bán thông tin đó.

Một số chuyên gia nhận định ShinyHunters còn hoạt động như dịch vụ tống tiền, tức sẵn sàng rao bán dữ liệu bị đánh cắp từ các nhóm hacker khác và chia phần trăm lợi nhuận cho "đối tác".

ShinyHunters thường tập trung vào các dữ liệu nhạy cảm và hệ thống đám mây lớn, sử dụng kết hợp nhiều kỹ thuật. Theo các cuộc điều tra, ShinyHunters thường dò tìm lỗ hổng trên dịch vụ đám mây hoặc phần mềm dưới dạng dịch vụ hoặc lợi dụng cấu hình kém để đột nhập.

Các chuyên gia tại hãng an ninh mạng Thycotic (Mỹ) nhận xét rằng ShinyHunters “thường nhắm vào các cấu hình sai lầm trên điện toán đám mây, tìm kiếm lỗ hổng để đánh cắp thông tin nhạy cảm, sau đó sẽ dùng dữ liệu đó để tấn công chéo nơi khác”.

Ngoài ra, việc ShinyHunters áp dụng kỹ thuật lừa đảo qua điện thoại (vishing) như trên Salesforce càng cho thấy thủ đoạn tinh vi, giả danh hỗ trợ kỹ thuật và thiết lập phần mềm độc hại trên nền tảng doanh nghiệp.

Mục tiêu của ShinyHunters đa phần là các tổ chức giáo dục, tài chính, bán lẻ, hãng hàng không… sử dụng dịch vụ đám mây.

Để kiếm tiền, ShinyHunters tích cực sử dụng các diễn đàn dark web như RaidForums và BreachForums, rao bán dữ liệu đánh cắp được nhằm tăng uy tín.

Ngoài ra, ShinyHunters còn thiết lập liên kết gián tiếp với nhóm Scattered Spider để hình thành mạng lưới tội phạm mạng quốc tế. Sự hợp tác này giúp ShinyHunters mở rộng phạm vi, phối hợp trong các chiến dịch lớn và khai thác dữ liệu chiến lược hiệu quả hơn, đồng thời cho thấy các nhóm tội phạm mạng hiện nay hoạt động theo một hệ sinh thái phức tạp, khó kiểm soát.

Scattered Spider là tên được đặt không chính thức cho nhóm tội phạm mạng gồm phần lớn là nam giới trẻ tuổi, chủ yếu từ Mỹ, Anh và Tây Âu, hoạt động phân tán và phi tập trung, nổi lên từ khoảng năm 2022. Hôm 20.8 vừa, Noah Urban (thành viên 20 tuổi của Scattered Spider) bị kết án 10 năm tù ở Mỹ, liên quan đến hàng loạt vụ tấn công mạng lớn và trộm tiền mã hóa.

Allan Liska, nhà phân tích tình báo của hãng an ninh mạng Recorded Future (Mỹ), nói: "Sự chồng chéo giữa các cuộc tấn công đã biết của Scattered Spider và ShinyHunters cho thấy có sự giao thoa giữa hai nhóm này".

Các chuyên gia khác nói ShinyHunters và Scattered Spider dường như đang hoạt động đồng bộ, nhắm vào một ngành công nghiệp cùng lúc, khiến việc xác định cuộc tấn công trở nên khó khăn hơn.

Danh tính phần lớn thành viên ShinyHunters vẫn được giữ bí mật vì nhóm này hoạt động ẩn danh trên dark web (web tối) và diễn đàn hacker quốc tế. Tuy nhiên, một số cuộc điều tra hé lộ ShinyHunters có liên hệ với cộng đồng hacker ở châu Á, đặc biệt là Pakistan và Indonesia. Một số chuyên gia an ninh mạng cho rằng một số thành viên ShinyHunters có thể từng tham gia các diễn đàn rao bán dữ liệu ngầm từ khu vực này.

Năm 2021, Séraphin Ranson bị bắt ở Ma Rốc, sau đó dẫn độ về Pháp. Anh bị cáo buộc có liên hệ với ShinyHunters trong các vụ bán dữ liệu đánh cắp, theo báo Le Monde và Cybersecurity News.

Đến năm 2022, cảnh sát Pháp điều tra một số nghi phạm khác có liên quan đến việc ShinyHunters phát tán dữ liệu trên RaidForums.