Sau 3 ngày xảy ra lỗi bảo mật OpenSSL Heart Bleed (một giao thức bảo mật thông dụng cho tài khoản trực tuyến), các dịch vụ trực tuyến lớn trên thế giới đang bắt tay vá lỗi và phục hồi hệ thống. Trong khi đó, tại Việt Nam một số nguồn tin cho biết hơn chục website thanh toán trực tuyến đã bị hacker tấn công, đánh cắp một số lượng thông tin tài khoản khách hàng.
Một số lượng tài khoản tại Việt Nam có thể đã bị đánh cắp bởi lỗi bảo mật OpenSSL Heart Bleed.
15 website e-banking bị tấn công
Thông tin ban đầu, lỗi OpenSSL Heart Bleed được công bố rộng rãi trên Internet thông qua các trang diễn đàn bảo mật lớn nhất thế giới là Reddit và trang Heart Bleed.com vào tối 7-4.
Trao đổi với phóng viên Báo SGGP, chuyên giao bảo mật của diễn đàn HVAOnline.net (một trong những website về hacking lớn và lâu đời nhất tại Việt Nam), cho biết ngay trong chiều 8-4, khi các công cụ khai thác trọn vẹn và đầy đủ được các hacker đưa lên mạng, tình trạng khai thác lỗi đã xảy ra trên diện rộng và tràn lan. Do các cộng cụ vá lỗi chưa được cập nhật, liên tiếp các dịch vụ trực tuyến lớn trên thế giới đã bị tấn công, như: yahoo.com, xda-developers.com, stackoverflow.com, adf.ly, fbi.gov, cia.gov…
Cùng thời gian này, các chuyên gia bảo mật Việt Nam cũng nhận được các thông tin chi tiết về lỗi và đưa ra cảnh báo cho cộng đồng các quản trị hệ thống. Theo ghi nhận sơ bộ, ngay trong sáng 8-4, trang chủ Công ty cổ phần VNG đã được vá đầu tiên. Tiếp đó, các cổng thanh toán cũng đã thực hiện vá lỗi như smartlink, 123pay, paygate, sohapay… trong khi nganluong.vn, onepay.vn cũng bắt tay vào thực hiện công việc này.
Tuy nhiên, trong quá trình theo dõi liên tục các báo cáo, cho thấy khoảng 15 website e-banking của các ngân hàng và cổng thanh toán Việt Nam đã bị tấn công. Số lượng các thông tin nhạy cảm như thông tin thẻ và thông tin đăng nhập bị đánh cắp là không thể ước lượng được.
Ông Võ Đỗ Thắng, chuyên gia bảo mật của Trung tâm Đào tạo Athena, cho biết đến 12 giờ 10-4, các ngân hàng nhìn chung đã tiến hành rà soát và fix lỗi OpenSSL Heart Bleed. Tuy nhiên, các công ty chứng khoán cho phép giao dịch trực tuyến thì vẫn còn bị lỗi này.
Cảnh báo mất an toàn
Các chuyên gia bảo mật lý giải, quá trình giao dịch trực tuyến được bảo vệ an toàn trong quá trình trung chuyển qua Internet nhờ giao thức mã hóa bảo mật kết nối SSL/TLS. Khi xảy ra lỗi, các hacker có thể truy cập vào bộ nhớ đệm của OpenSSL - nơi chứa các dữ liệu nhạy cảm đã được giải mã như thông tin thẻ ngân hàng, thẻ tín dụng; thông tin đăng nhập như username và mật khẩu.
Khi chiếm được, hacker có thể thực hiện những giao dịch trực tuyến như người sử dụng chính thức. Nếu không kịp thời vá lỗi, thì lỗi này sẽ khiến Internet trở thành một “miền tây hoang dã” để hacker khai thác.
Ông Võ Đỗ Thắng cũng cho biết, hệ thống giao dịch trực tuyến tại Việt Nam hiện được chia thành các nhóm dịch vụ. Việc mất an toàn xảy ra theo nhiều cấp độ khác nhau và không phải ai cũng bị ảnh hưởng.
Chẳng hạn, đối với các giao dịch trực tuyến thông qua thẻ ATM đăng ký dịch vụ Internet Banking, do khi thực hiện phải kết hợp cả mật khẩu và OTP (mật mã nhắn vào điện thoại di động), nên khả năng mất tiền sẽ không xảy ra. Tuy nhiên, đối với các giao dịch quốc tế sử dụng thẻ Visa, Master Card để đặt khách sạn, mua hàng hóa từ nước ngoài… nguy cơ họ bị hacker chiếm đoạt phiên đăng nhập, chiếm quyền điều khiển là rất lớn. Ngay các nhóm khách hàng công ty chứng khoán cho phép giao dịch trực tuyến cũng được xếp vào nhóm nguy hiểm do độ xác thực yếu.
Để đảm bảo an toàn, ông Nguyễn Hồng Phúc cùng đội ngũ chuyên gia của diễn đàn HVAOnline.net đưa ra cảnh báo, các kỹ sư của các ngân hàng cần lập tức cập nhật OpenSSL lên phiên bản mới nhất, tái khởi động (bắt buộc) lại các hệ thống và thay đổi các chứng chỉ số SSL trên toàn bộ hệ thống có sử dụng OpenSSL. Vì lỗi này không chỉ mở cửa khả năng khai thác trên môi trường web mà mọi môi trường có sử dụng thư viện OpenSSL đều bị ảnh hưởng.
Để tránh mất tiền, người sử dụng cần ngưng ngay mọi giao dịch trực tuyến qua các cổng thanh toán và e-banking cho đến khi các cổng thanh toán và các cổng e-banking này có thông báo chính thức về việc họ đã vá lỗi, vì lỗi này cực kỳ nghiêm trọng và rất dễ bị khai thác bởi các hacker.
TƯỜNG HÂN
Cẩn trọng khi giao dịch trực tuyến
Ngày 10-4, Công ty An ninh mạng Bkav đã ra thông báo, hướng dẫn kiểm tra lỗ hổng OpenSSL trong giao dịch trực tuyến. Theo đó, lỗ hổng OpenSSL là rất nghiêm trọng trong hệ thống giao dịch trực tuyến toàn cầu đã đặt hàng triệu người sử dụng vào nguy cơ mất thông tin, mất tiền khi tham gia thanh toán trực tuyến. Trong khi nhiều hệ thống chưa được vá lỗi, người sử dụng tại Việt Nam có thể kiểm tra một trang web có an toàn để giao dịch hay không bằng công cụ được Bkav cung cấp tại địa chỉ Bkav.com.vn/sslScan.
Bkav cho biết, lỗ hổng nằm trong phần mềm OpenSSL, là thư viện mà các website quan trọng thường dùng để mã hóa dữ liệu, như các website ebanking, thương mại điện tử hay những dịch vụ e-mail như Yahoo, Google… Nhiều cơ quan doanh nghiệp cũng sử dụng OpenSSL để mã hóa dữ liệu, cho phép nhân viên có thể truy cập vào các ứng dụng nội bộ của cơ quan, làm việc từ xa qua internet.
Khai thác lỗ hổng OpenSSL, tội phạm mạng có thể chiếm được phiên giao dịch của người dùng để thực hiện chuyển tiền vào tài khoản khác nếu website là dịch vụ ebanking, truy cập hộp thư của người dùng nếu là dịch vụ e-mail. Chúng cũng có thể truy cập vào mạng nội bộ của cơ quan mà không cần tài khoản đăng nhập.
Bkav khuyến cáo, trong những ngày tới, khi các hệ thống còn chưa được vá lỗi đầy đủ, trước khi tiến hành các giao dịch trực tuyến quan trọng, người dùng cần kiểm tra xem website có lỗ hổng hay không bằng cách truy cập địa chỉ Bkav.com.vn/sslScan. Đối với quản trị viên hệ thống, cần kiểm tra website nếu sử dụng OpenSSL phiên bản từ 1.0.1 đến 1.0.1f và 1.0.2beta1 phải cập nhật ngay lên phiên bản mới nhất 1.0.1g.
TRẦN BÌNH
Nhiều ngân hàng không bị ảnh hưởng
Trước thông tin có khoảng 15 website e-banking của một số ngân hàng và cổng thanh toán tại Việt Nam đã bị các hacker tấn công, thông qua lỗ hổng bảo mật của thư viện OpenSSL có tên gọi Heart Bleed, ngày 10-4 nhiều ngân hàng đã lên tiếng khẳng định không bị ảnh hưởng bởi lỗ hổng bảo mật này.
Theo đại diện của VietinBank, ngay khi thông tin này được công bố, ngân hàng đã tiến hành kiểm tra đánh giá và mời chuyên gia của Bkav, công ty hàng đầu Việt Nam về an ninh bảo mật để độc lập kiểm tra, đánh giá hệ thống các website của Vietinbank đối với lỗi bảo mật trên. Trên cơ sở các kết quả kiểm tra, VietinBank khẳng định hệ thống VietinBank hoàn toàn không bị ảnh hưởng bởi lỗ hổng bảo mật OpenSSL Heart Bleed.
Trong khi đó, đại diện Vietcombank cũng cho biết sau khi rà soát và đã kiểm tra lại toàn bộ hệ thống hạ tầng mạng, Vietcombank khẳng định không gặp phải những lỗi này. Vietcombank khuyến cáo khách hàng khi sử dụng dịch vụ ngân hàng trực tuyến tuyệt đối không thực hiện gián tiếp thông qua các đường link nhận được từ email/tin nhắn hoặc trên trang web nào đó tạo ra, mà phải truy cập trực tiếp vào trang chủ của Vietcombank.
Ngân hàng Techcombank cũng cho biết, hiện không sử dụng phiên bản phần mềm bị lỗi OpenSSL. Ngân hàng này cho biết, khách hàng hoàn toàn yên tâm về tính an toàn, bảo mật và tin cậy của dịch vụ ngân hàng điện tử e-banking của Techcombank. Hệ thống Internet Banking của Techcombank không sử dụng giải pháp OpenSSL do vậy không bị ảnh hưởng bởi lỗ hổng bảo mật này.
BẢO MINH
