10/04/2014 11:41

Nhiều tài khoản giao dịch trực tuyến bị hacker đe dọa

Các chuyên gia cho rằng trong ngày 8-4 đã có khoảng 15 website e-banking của các ngân hàng và cổng thanh toán của VN bị các hacker tấn công , thông qua lỗ hổng bảo mật OpenSSL Heartbleed.

Nhiều tài khoản giao dịch trực tuyến bị hacker đe dọa

Các chuyên gia khuyến cáo người dùng nên tạm thời ngừng các giao dịch trực tuyến qua các cổng thanh toán và e-banking - Ảnh: Ngọc Thắng

Với quy mô nói trên, các chuyên gia nhận định số lượng thông tin nhạy cảm liên quan đến thẻ, tài khoản đăng nhập bị đánh cắp là không thể ước lượng được.

Trước đó, lỗi OpenSSL Heartbleed, được cho là có khả năng đe dọa hàng triệu tài khoản giao dịch trực tuyến qua các cổng thanh toán và website ngân hàng (NH), đã được công bố trên diễn đàn lớn nhất thế giới Reddit và trang Heartbleed.com vào tối 7-4.

Theo ông Nguyễn Hồng Phúc, chuyên gia thuộc diễn đàn bảo mật HVA Online, lỗi OpenSSL Heartbleed được giới chuyên môn đánh giá là cực kỳ nguy hiểm do liên quan đến hạ tầng cơ sở của hệ thống bảo mật. “Lỗi này nằm ở nền tảng mã hóa cơ bản nhất nên nếu hệ thống bị dính lỗi này thì coi như các lớp mã hóa khác đều bị phá vỡ”, ông Phúc nói.

Hướng dẫn tấn công trên mạng

Hiện các giao dịch trên internet được bảo vệ an toàn dựa trên giao thức mã hóa bảo mật kết nối SSL/TLS. Nền tảng này giúp mã hóa các kết nối internet, để các dữ liệu từ người dùng được đưa lên máy chủ không bị can thiệp ở giữa. Tuy nhiên, lỗi OpenSSL Heartbleed cho phép các tin tặc truy cập vào bộ nhớ đệm của OpenSSL - nơi chứa các dữ liệu nhạy cảm đã được giải mã như thông tin thẻ NH, thẻ tín dụng, thông tin đăng nhập như username và mật khẩu. Sau khi đánh cắp được thông tin, tin tặc có thể đánh cắp tiền khỏi tài khoản đồng thời sử dụng cơ sở dữ liệu cá nhân của người dùng để khai thác sau này.

"Khuyến cáo duy nhất được hầu hết các chuyên gia uy tín trong giới bảo mật quốc tế đưa ra lúc này là người dùng và cộng đồng cần tạm ngừng mọi giao dịch trực tuyến qua các cổng thanh toán và e-banking cho đến khi các cổng thanh toán và các cổng e-banking chính thức khẳng định website của họ an toàn"

Sự nguy hiểm của lỗi OpenSSL Heartbleed còn nằm ở chỗ chỉ vài giờ sau khi được công bố thì các mã khai thác sơ khai nhắm vào lỗi này đã được tin tặc đưa lên mạng. Đến chiều 8-4, các công cụ khai thác trọn vẹn và đầy đủ đã xuất hiện trên internet. “Các công cụ này cho phép những người có kiến thức sơ đẳng cũng có thể sử dụng để tấn công vào bất cứ hệ thống nào có lỗ hổng”, ông Phúc cho biết.

Nên tạm dừng thanh toán trực tuyến

Theo đại diện của HVA Online, việc khắc phục lỗi không khó do bản vá đã được đưa lên mạng ngay trong tối 7.4, nhưng với các hệ thống lớn, việc xử lý đòi hỏi nhiều thời gian. Trong ngày 8-4, giới chuyên môn đã xác định được một loạt các cuộc tấn công vào nhiều website lớn trên thế giới, trong đó có Yahoo.com. Bản thân Yahoo cũng mất khoảng 24 giờ mới có thể hoàn thành việc khắc phục lỗ hổng này.

Theo HVA Online, các chuyên gia bảo mật của VN nhận được thông tin về lỗi ngay trong đêm 7-4 và liên tục theo dõi các lỗi này để cập nhật cho cộng đồng quản trị hệ thống. Ngày 8-4, HVA Online ghi nhận một số trang dịch vụ trực tuyến lớn đã vá lỗi ngay trong buổi sáng. Chiều 8-4, khi công cụ khai thác bắt đầu phổ biến thì các báo cáo cho thấy khoảng 15 website e-banking của các NH và cổng thanh toán của VN đã bị tấn công. Số lượng các thông tin nhạy cảm như thông tin thẻ và thông tin đăng nhập bị đánh cắp theo HVA Online là không thể ước lượng được.

Cũng theo HVA Online, trong sáng qua (9-4), phần lớn trang chủ e-banking của các NH đều đã được vá, nhưng toàn bộ hệ thống e-banking của các NH được vá chưa thì chưa thể xác định. Theo ông Phúc, thông thường một NH có thể mất từ 24 - 48 giờ để cập nhật bản vá lỗi cho các lớp thiết bị vòng ngoài. Tuy nhiên, do hệ thống hạ tầng của các NH là rất lớn, các giao dịch nội bộ hay giao dịch ra ngoài đều được mã hóa nên việc khắc phục lỗi ở lớp bên trong có thể mất nhiều thời gian hơn.

Các cổng thanh toán được HVA Online xác nhận đã vá xong hầu hết ngay trong chiều 8-4 như smartlink, 123pay, paygate, sohapay… Đến tối 8.4 vẫn còn báo cáo từ chuyên gia bảo mật là cổng như nganluong.vn, onepay.vn chưa vá lỗi. Theo khuyến cáo của các chuyên gia bảo mật, các NH nên ngay lập tức cập nhật OpenSSL lên phiên bản mới nhất, tái khởi động (bắt buộc) hệ thống và thay đổi chứng chỉ số SSL ngay lập tức trên toàn bộ hệ thống có sử dụng OpenSSL. Vì lỗi này không chỉ mở cửa khả năng khai thác trên môi trường web mà mọi môi trường có sử dụng thư viện OpenSSL đều bị ảnh hưởng.

Theo ông Phúc, khuyến cáo duy nhất được hầu hết các chuyên gia uy tín trong giới bảo mật quốc tế đưa ra lúc này là người dùng và cộng đồng cần tạm ngừng mọi giao dịch trực tuyến qua các cổng thanh toán và e-banking cho đến khi các cổng thanh toán và các cổng e-banking chính thức khẳng định website của họ an toàn. Ông Phúc cũng khuyến cáo những người có sử dụng các dịch vụ e-banking hoặc các cổng thanh toán trực tuyến từ thời điểm 7-4 đến nay nên thay đổi lại mật khẩu vì có khả năng thông tin tài khoản đã bị lộ ra ngoài mà không biết.

Kiểm tra lại hệ thống bảo mật

Ông Nghiêm Sỹ Thắng, Phó tổng giám đốc NH TMCP Liên Việt (LienVietPostbank) phụ trách lĩnh vực công nghệ thông tin, thẻ và NH điện tử, khẳng định các trang web thanh toán trên toàn hệ thống LienVietPostBank vẫn an toàn, chưa thấy có dấu hiệu bị tấn công, nhưng “chúng tôi sẽ cho rà soát lại một cách kỹ lưỡng nhất, nếu thấy có lỗ hổng sẽ lập tức có khuyến cáo tới khách hàng”.

Phó tổng giám đốc Vietcombank Đào Minh Tuấn nhìn nhận: “Lỗ hổng mới cũng rất nghiêm trọng nên chúng tôi sẽ lập tức cho kiểm tra lại toàn bộ hệ thống hạ tầng mạng để ngăn chặn khả năng hacker tấn công”, ông Tuấn nói, đồng thời khuyến cáo khách hàng nên cẩn trọng khi sử dụng thông tin trên các trang web giao dịch trực tuyến.

Giám đốc Trung tâm công nghệ thông tin của BIDV, ông Nguyễn Xuân Hòa cũng cho biết: “Chúng tôi có ký hợp đồng với A70 (Cục Kỹ thuật nghiệp vụ - Tổng cục An ninh) và bên BKAV để rà soát thường xuyên. Đội ngũ kỹ thuật của NH cũng có theo dõi và xử lý, kiểm soát tấn công. Thời gian qua chúng tôi đã phát hiện, ngăn chặn được nhiều trường hợp tấn công vào OpenSSL của hệ thống BIDV”.

Anh Vũ

 

Theo Trường Sơn (Thanh Niên)
Giấy tờ đất thất lạc khó hiểu

Giấy tờ đất thất lạc khó hiểu

Chuyện pháp đình 10:00

Một số giấy tờ trong hồ sơ chuyển nhượng QSDĐ không còn lưu giữ ở cơ quan quản lý hay cấp chính quyền nào đã tạo ra tình huống pháp lý đặc biệt

Cận cảnh công viên bỏ hoang nhiều năm, nơi Chủ tịch Hà Nội "lệnh" bắn pháo hoa Tết 2025

Cận cảnh công viên bỏ hoang nhiều năm, nơi Chủ tịch Hà Nội "lệnh" bắn pháo hoa Tết 2025

Thời sự 09:57

(NLĐO)- Dự án Công viên hồ Phùng Khoang "đắp chiếu" gây lãng phí gần chục năm, Chủ tịch UBND TP Hà Nội yêu cầu phải đưa vào hoạt động trước Tết Nguyên đán 2025

Tặng sổ tiết kiệm cho trẻ có cha mẹ tử vong do bão số 3

Tặng sổ tiết kiệm cho trẻ có cha mẹ tử vong do bão số 3

Công đoàn - Công nhân 09:53

(NLĐO) - Tổng LĐLĐ Việt Nam vừa có Quyết định về việc tặng sổ tiết kiệm cho trẻ em mồ côi là con đoàn viên, người lao động tử vong do bão số 3 (Yagi)

Tuấn Hưng dắt tay bà xã Hương Baby làm vedette tại ''Bước chân di sản" 2

Tuấn Hưng dắt tay bà xã Hương Baby làm vedette tại ''Bước chân di sản" 2

Giải trí 09:52

(NLĐO)- Ca sĩ Tuấn Hưng và bà xã Hương Baby nổi bật khi trình diễn áo dài trong bộ sưu tập "Ký ức Hà Nội" tối 22-11

Tây Ban Nha: Phát hiện răng của 3 người không thuộc loài chúng ta

Tây Ban Nha: Phát hiện răng của 3 người không thuộc loài chúng ta

Khoa học 09:50

(NLĐO) - Phần còn lại của một người trưởng thành, một thiếu niên và một đứa bé không thuộc loài chúng ta đã lộ ra trong một hang động ở công viên Serinyà.

Soi tỉ số trận Manchester City – Tottenham: Khuất phục Gà trống

Soi tỉ số trận Manchester City – Tottenham: Khuất phục Gà trống

Thể thao 09:49

(NLĐO) - Tottenham luôn là đối thủ khó chơi với Manchester City nhưng để thoát khỏi cơn khủng hoảng hiện thời, thầy trò Pep Guardiola phải thắng bằng mọi giá.

Phép tính đơn giản nhất dự đoán nguy cơ đột quỵ, gan nhiễm mỡ

Phép tính đơn giản nhất dự đoán nguy cơ đột quỵ, gan nhiễm mỡ

Sức khỏe 09:45

(NLĐO) - Theo các nhà khoa học Iceland, giảm được một chỉ số duy nhất có thể giúp bạn giảm đáng kể nguy cơ đột quỵ, đau tim, tiểu đường, gan nhiễm mỡ...