Sân bay quốc tế San Francisco của Mỹ (SFO) nằm cách trung tâm thành phố San Francisco 21 km về phía nam. Sân bay này khai thác các chuyến bay đến khắp châu Mỹ và là một cửa ngõ chính đến hơn 50 thành phố lớn của châu Âu, châu Á và châu Đại Dương với 45 hãng hàng không quốc tế.
Đại diện SFO cho biết hai trang web liên kết SFO đã bị xâm phạm hồi tháng 3/2020. Cụ thể, vụ xâm phạm đã ảnh hưởng đến trang web SFOConnect.com (cung cấp thông tin cho lực lượng lao động của SFO) và trang web SFOConstruction.com (thông tin về các dự án xây dựng sân bay, hồ sơ dự thầu và các hợp đồng).
Trong một thông báo trực tuyến được đăng trong tuần vừa qua, SFO cho biết sự cố có thể đã ảnh hưởng đến những cá nhân từng truy cập hai trang web bằng trình duyệt Internet Explorer được cài đặt trên các thiết bị Windows cá nhân.
Thông thường, trong một kịch bản điển hình, khi một vụ xâm phạm trang web xảy ra, tin tặc sẽ sử dụng mã độc để đánh cắp thông tin tài khoản web khi người dùng đăng nhập vào trang web. Tuy nhiên, thông báo do SFO đưa ra cho biết những kẻ tấn công đã đánh cắp thông tin đăng nhập của thiết bị, chứ không phải thông tin đăng nhập trên trang web.
Theo đó, có vẻ như những kẻ tấn công đã truy cập được tên người dùng và mật khẩu của những người bị ảnh hưởng, sau đó sử dụng chúng để đăng nhập vào các thiết bị cá nhân của họ (các thiết bị đã truy cập các trang web bị xâm nhập).
Thông báo cũng cho biết mã độc đã được gỡ và cả hai trang web đã ngoại tuyến ngay sau khi xâm phạm được phát hiện. Đến nay, SFOConnect.com đã hoạt động trở lại, nhằm cung cấp thông tin cho khách trong mùa dịch Covid-19, còn SFOConstruction.com vẫn đang được bảo trì. SFO cũng cảnh báo người dùng có khả năng bị ảnh hưởng cần thay đổi mật khẩu Windows của họ.
Trước đó, vào ngày 23/3 vừa qua, SFO đã thiết lập lại tất cả các mật khẩu email và mật khẩu mạng liên quan đến SFO.
Colin Bastable, Giám đốc điều hành của Lucy Security, cho SC Media biết khi giám sát một trang web đen gần đây, anh ta đã phát hiện thấy khoảng 8.000 thông tin bị xâm phạm từ cuối tháng 2, trong đó có một vài địa chỉ email flysfo.com. Có lẽ một trong số này đã mở cửa cho phép mã độc xâm nhập vào các trang web của SFO.
Theo đánh giá sơ bộ của Bastable, những kẻ tấn công có thể đã đánh cắp thông tin đăng nhập thiết bị của người dùng khi họ truy cập trang web bị xâm nhập bằng cách tạo ra một biểu mẫu đặc biệt yêu cầu khách truy cập trang web nhập thông tin đăng nhập thiết bị của họ.
