Nhóm đe dọa ShadowByt3s đã tuyên bố chịu trách nhiệm về một cuộc tấn công mạng mới nhắm vào Starbucks, được cho là đã đánh cắp 10GB mã nguồn độc quyền và firmware vận hành. Vụ rò rỉ dữ liệu này bao gồm các thông tin nhạy cảm có khả năng ảnh hưởng nghiêm trọng đến hoạt động của công ty.
Chi tiết về Cuộc tấn công mạng và Kỹ thuật Khai thác
Dữ liệu được báo cáo là đã bị thu thập từ một vùng lưu trữ Amazon S3 có cấu hình sai, được đặt tên là “sbux-assets”. Sự cố này là một phần của chiến dịch lớn hơn nhằm mục tiêu vào các lỗ hổng bảo mật trên nền tảng đám mây.
Các mối đe dọa mạng từ cấu hình sai trên đám mây là một rủi ro đáng kể. Để giảm thiểu các rủi ro này, các tổ chức cần tuân thủ các hướng dẫn bảo mật nghiêm ngặt. Thông tin chi tiết về các kiến trúc tham chiếu và thực tiễn tốt nhất cho bảo mật đám mây có thể tìm thấy tại CISA Cloud Security Technical Reference Architecture.
Các bên liên quan và Kênh Threat Intelligence
Diễn biến từ Diễn đàn Dark Web
Một tác nhân đe dọa hoạt động dưới biệt danh “BlackVortex1” đã đăng tải trên một diễn đàn dark web, tuyên bố đã đánh cắp tài sản trí tuệ mà theo mô tả là “thứ làm nên Starbucks”.
Nhóm ShadowByt3s khẳng định họ đang tích cực quét và khai thác các cấu hình đám mây sai để thu thập dữ liệu nhạy cảm của các tập đoàn. Vụ rò rỉ dữ liệu này đã được các nền tảng giám sát an ninh mạng, bao gồm VECERT, gắn cờ là đang lưu hành trên các kênh tình báo về mối đe dọa mạng kể từ ngày 1 tháng 4 năm 2026.
Indicators of Compromise (IOCs)
- Tên nhóm đe dọa: ShadowByt3s
- Biệt danh tác nhân đe dọa: BlackVortex1
- Tên vùng lưu trữ S3 bị cấu hình sai: sbux-assets
Dữ liệu Bị đánh cắp và Mức độ Ảnh hưởng
Công nghệ Vận hành (OT) và Mã nguồn
Theo bằng chứng bị xâm phạm từ tác nhân đe dọa, dữ liệu bị đánh cắp bao gồm công nghệ vận hành (OT) cực kỳ nhạy cảm. Đây là các bộ điều khiển kỹ thuật số cho các máy móc vật lý tại cửa hàng của Starbucks. Vụ rò rỉ dữ liệu này đặc biệt nghiêm trọng vì liên quan trực tiếp đến hoạt động cốt lõi.
Các tệp bị rò rỉ được báo cáo chứa:
- Mã nguồn (Source Code) và Firmware cho các hệ thống máy móc độc quyền.
- Firmware cho máy pha cà phê thông minh (Smart Coffee Machine).
- Firmware cho máy bán hàng tự động (Vending Machine).
- Mô-đun quản lý năng lượng (Power Management Modules).
- Thông số kỹ thuật phần cứng (Hardware Specifications).
Tiện ích Quản lý Nội bộ Bị ảnh hưởng
Ngoài firmware máy vật lý, vụ rò rỉ dữ liệu còn được cho là đã làm lộ nhiều tiện ích quản lý dựa trên web nội bộ của Starbucks. Những tiện ích này bao gồm:
- Mã nguồn cho một giao diện người dùng web tập trung (“New Web UI”) được sử dụng để quản lý máy móc và phần cứng trên các khu vực quốc tế.
- Cổng thông tin quản lý kho hàng chuyên dụng (b4-inv) để theo dõi chuỗi cung ứng toàn cầu.
- Các tiện ích giám sát vận hành được kỹ thuật viên sử dụng để đánh giá tình trạng và hiệu suất của máy móc.
Yêu cầu Tống tiền và Hạn chót
ShadowByt3s đã đưa ra thời hạn tống tiền là 17:00 ngày 5 tháng 4 năm 2026. Nhóm này đe dọa sẽ công khai toàn bộ dữ liệu nếu Starbucks không trả tiền chuộc. Đây là một áp lực lớn đối với Starbucks sau vụ rò rỉ dữ liệu nhạy cảm.
Sự kiện Bảo mật Trước đây và So sánh
Vụ đánh cắp tài sản trí tuệ này diễn ra không lâu sau một sự cố bảo mật riêng biệt được Starbucks tiết lộ vào tháng 3 năm 2026. Khi đó, một chiến dịch lừa đảo thu thập thông tin xác thực đã làm hệ thống bị xâm nhập và ảnh hưởng đến 889 tài khoản “Partner Central” của nhân viên. Vụ rò rỉ dữ liệu trước đó chủ yếu làm lộ thông tin tài chính và số an sinh xã hội của nhân viên.
Tuy nhiên, vụ việc mới này hoàn toàn tập trung vào cơ sở hạ tầng doanh nghiệp và tài sản vận hành, cho thấy một hướng tấn công khác biệt và nguy hiểm hơn đối với hoạt động kinh doanh cốt lõi của Starbucks. Việc bảo vệ các tài sản này là cực kỳ quan trọng để duy trì hoạt động và tránh các mối đe dọa mạng trong tương lai.
