10/04/2014 11:41

Nhiều tài khoản giao dịch trực tuyến bị hacker đe dọa

Các chuyên gia cho rằng trong ngày 8-4 đã có khoảng 15 website e-banking của các ngân hàng và cổng thanh toán của VN bị các hacker tấn công , thông qua lỗ hổng bảo mật OpenSSL Heartbleed.

Nhiều tài khoản giao dịch trực tuyến bị hacker đe dọa

Các chuyên gia khuyến cáo người dùng nên tạm thời ngừng các giao dịch trực tuyến qua các cổng thanh toán và e-banking - Ảnh: Ngọc Thắng

Với quy mô nói trên, các chuyên gia nhận định số lượng thông tin nhạy cảm liên quan đến thẻ, tài khoản đăng nhập bị đánh cắp là không thể ước lượng được.

Trước đó, lỗi OpenSSL Heartbleed, được cho là có khả năng đe dọa hàng triệu tài khoản giao dịch trực tuyến qua các cổng thanh toán và website ngân hàng (NH), đã được công bố trên diễn đàn lớn nhất thế giới Reddit và trang Heartbleed.com vào tối 7-4.

Theo ông Nguyễn Hồng Phúc, chuyên gia thuộc diễn đàn bảo mật HVA Online, lỗi OpenSSL Heartbleed được giới chuyên môn đánh giá là cực kỳ nguy hiểm do liên quan đến hạ tầng cơ sở của hệ thống bảo mật. “Lỗi này nằm ở nền tảng mã hóa cơ bản nhất nên nếu hệ thống bị dính lỗi này thì coi như các lớp mã hóa khác đều bị phá vỡ”, ông Phúc nói.

Hướng dẫn tấn công trên mạng

Hiện các giao dịch trên internet được bảo vệ an toàn dựa trên giao thức mã hóa bảo mật kết nối SSL/TLS. Nền tảng này giúp mã hóa các kết nối internet, để các dữ liệu từ người dùng được đưa lên máy chủ không bị can thiệp ở giữa. Tuy nhiên, lỗi OpenSSL Heartbleed cho phép các tin tặc truy cập vào bộ nhớ đệm của OpenSSL - nơi chứa các dữ liệu nhạy cảm đã được giải mã như thông tin thẻ NH, thẻ tín dụng, thông tin đăng nhập như username và mật khẩu. Sau khi đánh cắp được thông tin, tin tặc có thể đánh cắp tiền khỏi tài khoản đồng thời sử dụng cơ sở dữ liệu cá nhân của người dùng để khai thác sau này.

"Khuyến cáo duy nhất được hầu hết các chuyên gia uy tín trong giới bảo mật quốc tế đưa ra lúc này là người dùng và cộng đồng cần tạm ngừng mọi giao dịch trực tuyến qua các cổng thanh toán và e-banking cho đến khi các cổng thanh toán và các cổng e-banking chính thức khẳng định website của họ an toàn"

Sự nguy hiểm của lỗi OpenSSL Heartbleed còn nằm ở chỗ chỉ vài giờ sau khi được công bố thì các mã khai thác sơ khai nhắm vào lỗi này đã được tin tặc đưa lên mạng. Đến chiều 8-4, các công cụ khai thác trọn vẹn và đầy đủ đã xuất hiện trên internet. “Các công cụ này cho phép những người có kiến thức sơ đẳng cũng có thể sử dụng để tấn công vào bất cứ hệ thống nào có lỗ hổng”, ông Phúc cho biết.

Nên tạm dừng thanh toán trực tuyến

Theo đại diện của HVA Online, việc khắc phục lỗi không khó do bản vá đã được đưa lên mạng ngay trong tối 7.4, nhưng với các hệ thống lớn, việc xử lý đòi hỏi nhiều thời gian. Trong ngày 8-4, giới chuyên môn đã xác định được một loạt các cuộc tấn công vào nhiều website lớn trên thế giới, trong đó có Yahoo.com. Bản thân Yahoo cũng mất khoảng 24 giờ mới có thể hoàn thành việc khắc phục lỗ hổng này.

Theo HVA Online, các chuyên gia bảo mật của VN nhận được thông tin về lỗi ngay trong đêm 7-4 và liên tục theo dõi các lỗi này để cập nhật cho cộng đồng quản trị hệ thống. Ngày 8-4, HVA Online ghi nhận một số trang dịch vụ trực tuyến lớn đã vá lỗi ngay trong buổi sáng. Chiều 8-4, khi công cụ khai thác bắt đầu phổ biến thì các báo cáo cho thấy khoảng 15 website e-banking của các NH và cổng thanh toán của VN đã bị tấn công. Số lượng các thông tin nhạy cảm như thông tin thẻ và thông tin đăng nhập bị đánh cắp theo HVA Online là không thể ước lượng được.

Cũng theo HVA Online, trong sáng qua (9-4), phần lớn trang chủ e-banking của các NH đều đã được vá, nhưng toàn bộ hệ thống e-banking của các NH được vá chưa thì chưa thể xác định. Theo ông Phúc, thông thường một NH có thể mất từ 24 - 48 giờ để cập nhật bản vá lỗi cho các lớp thiết bị vòng ngoài. Tuy nhiên, do hệ thống hạ tầng của các NH là rất lớn, các giao dịch nội bộ hay giao dịch ra ngoài đều được mã hóa nên việc khắc phục lỗi ở lớp bên trong có thể mất nhiều thời gian hơn.

Các cổng thanh toán được HVA Online xác nhận đã vá xong hầu hết ngay trong chiều 8-4 như smartlink, 123pay, paygate, sohapay… Đến tối 8.4 vẫn còn báo cáo từ chuyên gia bảo mật là cổng như nganluong.vn, onepay.vn chưa vá lỗi. Theo khuyến cáo của các chuyên gia bảo mật, các NH nên ngay lập tức cập nhật OpenSSL lên phiên bản mới nhất, tái khởi động (bắt buộc) hệ thống và thay đổi chứng chỉ số SSL ngay lập tức trên toàn bộ hệ thống có sử dụng OpenSSL. Vì lỗi này không chỉ mở cửa khả năng khai thác trên môi trường web mà mọi môi trường có sử dụng thư viện OpenSSL đều bị ảnh hưởng.

Theo ông Phúc, khuyến cáo duy nhất được hầu hết các chuyên gia uy tín trong giới bảo mật quốc tế đưa ra lúc này là người dùng và cộng đồng cần tạm ngừng mọi giao dịch trực tuyến qua các cổng thanh toán và e-banking cho đến khi các cổng thanh toán và các cổng e-banking chính thức khẳng định website của họ an toàn. Ông Phúc cũng khuyến cáo những người có sử dụng các dịch vụ e-banking hoặc các cổng thanh toán trực tuyến từ thời điểm 7-4 đến nay nên thay đổi lại mật khẩu vì có khả năng thông tin tài khoản đã bị lộ ra ngoài mà không biết.

Kiểm tra lại hệ thống bảo mật

Ông Nghiêm Sỹ Thắng, Phó tổng giám đốc NH TMCP Liên Việt (LienVietPostbank) phụ trách lĩnh vực công nghệ thông tin, thẻ và NH điện tử, khẳng định các trang web thanh toán trên toàn hệ thống LienVietPostBank vẫn an toàn, chưa thấy có dấu hiệu bị tấn công, nhưng “chúng tôi sẽ cho rà soát lại một cách kỹ lưỡng nhất, nếu thấy có lỗ hổng sẽ lập tức có khuyến cáo tới khách hàng”.

Phó tổng giám đốc Vietcombank Đào Minh Tuấn nhìn nhận: “Lỗ hổng mới cũng rất nghiêm trọng nên chúng tôi sẽ lập tức cho kiểm tra lại toàn bộ hệ thống hạ tầng mạng để ngăn chặn khả năng hacker tấn công”, ông Tuấn nói, đồng thời khuyến cáo khách hàng nên cẩn trọng khi sử dụng thông tin trên các trang web giao dịch trực tuyến.

Giám đốc Trung tâm công nghệ thông tin của BIDV, ông Nguyễn Xuân Hòa cũng cho biết: “Chúng tôi có ký hợp đồng với A70 (Cục Kỹ thuật nghiệp vụ - Tổng cục An ninh) và bên BKAV để rà soát thường xuyên. Đội ngũ kỹ thuật của NH cũng có theo dõi và xử lý, kiểm soát tấn công. Thời gian qua chúng tôi đã phát hiện, ngăn chặn được nhiều trường hợp tấn công vào OpenSSL của hệ thống BIDV”.

Anh Vũ

 

Theo Trường Sơn (Thanh Niên)
Diễn viên Die Hard 2, Art Evans qua đời

Diễn viên Die Hard 2, Art Evans qua đời

Giải trí 17:45

(NLĐO)- Diễn viên Art Evans, nổi tiếng với vai diễn trong phim "A solider's story" và Die Hard 2, vừa qua đời ở tuổi 82.

Lộ diện chủ đầu tư dự án 6.000 tỉ đồng ở Vân Phong

Lộ diện chủ đầu tư dự án 6.000 tỉ đồng ở Vân Phong

Kinh tế 17:41

(NLĐO) - Khu đô thị mới cao cấp Cổ Mã - Khu kinh tế Vân Phong tỉnh Khánh Hòa đã có chủ đầu tư là Công ty TNHH Mặt Trời Sông Hàn

GSK tổ chức diễn đàn khoa học toàn cầu về quản lý sức khỏe hô hấp

GSK tổ chức diễn đàn khoa học toàn cầu về quản lý sức khỏe hô hấp

Nhịp sống 17:38

Sự kiện quy tụ chuyên gia y tế từ 17 quốc gia để bàn về thách thức trong điều trị bệnh hô hấp, đặc biệt là hen, COPD và bệnh do virus hợp bào hô hấp (RSV)

Thanh tra vào cuộc vụ tự ý bán tài sản khi cưỡng chế ở Nha Trang

Thanh tra vào cuộc vụ tự ý bán tài sản khi cưỡng chế ở Nha Trang

Thời sự 17:34

(NLĐO) - UBND TP Nha Trang (tỉnh Khánh Hòa) giao thanh tra thành phố khẩn trương báo cáo vụ việc đơn vị thi công tự ý bán tài sản trong quá trình cưỡng chế

TP HCM: Xây dựng đội ngũ cán bộ lãnh đạo nhiệm kỳ mới dám làm, dám chịu trách nhiệm

TP HCM: Xây dựng đội ngũ cán bộ lãnh đạo nhiệm kỳ mới dám làm, dám chịu trách nhiệm

Thời sự 17:28

(NLĐO) - Phó Bí thư Thường trực Thành ủy TP HCM Nguyễn Hồ Hải ghi nhận, đánh giá cao nỗ lực, quyết tâm của ngành Tổ chức xây dựng Đảng TP HCM trong năm 2024

Gần 3,4 triệu người sẽ nhận cùng lúc 2 tháng lương hưu, trợ cấp

Gần 3,4 triệu người sẽ nhận cùng lúc 2 tháng lương hưu, trợ cấp

Thời sự 17:04

(NLĐO) - Gần 3,4 triệu người sẽ được nhận liền 2 tháng lương hưu và trợ cấp BHXH hằng tháng trước Tết Nguyên đán Ất Tỵ 2025

Bà Rịa - Vũng Tàu chỉ định Bí thư, Phó Bí thư cho huyện mới sau sáp nhập

Bà Rịa - Vũng Tàu chỉ định Bí thư, Phó Bí thư cho huyện mới sau sáp nhập

Chính trị 17:01

(NLĐO) - Ông Trần Thượng Chí, Giám đốc Sở Giao thông Vận tải, được chỉ định giữ chức Bí thư huyện ủy Long Đất kể từ ngày 1-1-2025.