Người tuyên bố có 49 triệu hồ sơ khách hàng của Dell nói với TechCrunch rằng anh ta đã ép buộc một cổng thông tin trực tuyến của công ty và thu thập dữ liệu khách hàng, bao gồm cả địa chỉ thực, trực tiếp từ máy chủ của Dell.
TechCrunch đã xác minh rằng một số dữ liệu được thu thập khớp với thông tin cá nhân của khách hàng Dell.
Hôm thứ Năm, Dell đã gửi email cho khách hàng thông báo rằng nhà sản xuất máy tính đã gặp phải sự cố vi phạm dữ liệu bao gồm tên khách hàng, địa chỉ thực và thông tin đặt hàng của Dell.
“Chúng tôi tin rằng không có rủi ro đáng kể nào đối với khách hàng của chúng tôi dựa trên loại thông tin liên quan,” Dell viết trong email, nhằm cố gắng hạ thấp tác động của vi phạm, ngụ ý rằng họ không coi địa chỉ của khách hàng là “rất nhạy cảm” thông tin.
Kẻ đe dọa cho biết anh ta đã đăng ký với nhiều tên khác nhau trên một cổng thông tin cụ thể của Dell với tư cách là “đối tác”. Ông nói, đối tác đề cập đến một công ty bán lại các sản phẩm hoặc dịch vụ của Dell. Sau khi Dell phê duyệt các tài khoản đối tác của mình, Menelik cho biết anh đã ép buộc các thẻ dịch vụ khách hàng, được tạo thành từ bảy chữ số chỉ có số và phụ âm. Anh ấy cũng nói rằng “bất kỳ loại đối tác nào” đều có thể truy cập vào cổng mà anh ấy được cấp quyền truy cập.
“[I] đã gửi hơn 5.000 yêu cầu mỗi phút tới trang chứa thông tin nhạy cảm này. Tin hay không thì tùy, tôi cứ làm như vậy gần 3 tuần mà Dell chẳng để ý gì cả. Gần 50 triệu yêu cầu…Sau khi nghĩ rằng mình đã có đủ dữ liệu, tôi đã gửi nhiều email đến Dell và thông báo về lỗ hổng. Họ phải mất gần một tuần để vá lại tất cả”, Menelik nói với TechCrunch.
Menelik, người đã chia sẻ ảnh chụp màn hình của một số email anh ấy đã gửi vào giữa tháng 4, cũng nói rằng tại một số thời điểm, anh ấy đã ngừng thu thập dữ liệu và không có được cơ sở dữ liệu đầy đủ về dữ liệu khách hàng. Người phát ngôn của Dell xác nhận với TechCrunch rằng công ty đã nhận được email của kẻ đe dọa.
Kẻ đe dọa đã liệt kê cơ sở dữ liệu bị đánh cắp về dữ liệu của khách hàng Dell trên một diễn đàn hack nổi tiếng. Danh sách diễn đàn được báo cáo đầu tiên bởi Daily Dark Web.
TechCrunch xác nhận rằng kẻ đe dọa có dữ liệu khách hàng hợp pháp của Dell bằng cách chia sẻ một số tên và thẻ dịch vụ của khách hàng – với sự cho phép của họ – những người đã nhận được email thông báo vi phạm từ Dell. Trong một trường hợp, kẻ đe dọa đã tìm thấy thông tin cá nhân của khách hàng bằng cách tìm kiếm tên của khách hàng trong hồ sơ bị đánh cắp. Trong một trường hợp khác, anh ta có thể tìm thấy hồ sơ tương ứng của một nạn nhân khác bằng cách tìm kiếm thẻ dịch vụ phần cứng cụ thể theo đơn đặt hàng mà cô ấy đã thực hiện.
Trong các trường hợp khác, Menelik không thể tìm thấy thông tin và nói rằng ông không biết làm cách nào Dell xác định được những khách hàng bị ảnh hưởng. “Đánh giá bằng cách kiểm tra những cái tên mà bạn cung cấp, có vẻ như họ đã gửi thư này cho những khách hàng không bị ảnh hưởng”, kẻ đe dọa cho biết.
Dell chưa cho biết địa chỉ vật lý thuộc về ai. Phân tích của TechCrunch về một mẫu dữ liệu được thu thập cho thấy các địa chỉ dường như có liên quan đến người mua thiết bị Dell ban đầu, chẳng hạn như một doanh nghiệp mua một mặt hàng cho một nhân viên ở xa. Trong trường hợp người tiêu dùng mua hàng trực tiếp từ Dell, TechCrunch nhận thấy nhiều địa chỉ thực tế đó cũng tương quan với địa chỉ nhà của người tiêu dùng hoặc địa điểm khác nơi họ giao hàng.
Dell đã không tranh chấp những phát hiện của chúng tôi khi đưa ra bình luận.
Khi TechCrunch gửi một loạt câu hỏi cụ thể tới Dell dựa trên những gì kẻ đe dọa nói, một phát ngôn viên giấu tên của công ty nói rằng “trước khi nhận được email của kẻ đe dọa, Dell đã biết và điều tra vụ việc, thực hiện các quy trình phản hồi của chúng tôi và thực hiện các biện pháp ngăn chặn. bước.” Dell đã không cung cấp bằng chứng cho tuyên bố này.
“Hãy nhớ rằng kẻ đe dọa này là tội phạm và chúng tôi đã thông báo cho cơ quan thực thi pháp luật. Người phát ngôn viết: “Chúng tôi không tiết lộ bất kỳ thông tin nào có thể ảnh hưởng đến tính toàn vẹn của cuộc điều tra đang diễn ra của chúng tôi hoặc bất kỳ cuộc điều tra nào của cơ quan thực thi pháp luật”.