"Người sử dụng nên tạm ngừng giao dịch trực tuyến qua các cổng thanh toán và e-banking trong vài ngày tới. Với những người đã sử dụng hai hình thức này, thì trong khoảng thời gian từ ngày 7/4 đến nay nên thay đổi lại mật khẩu, vì có khả năng thông tin tài khoản đã bị lộ ra ngoài là rất lớn". Đây là khuyến cáo của chuyên gia an ninh mạng Nguyễn Minh Đức (Tập đoàn FPT) trước những nguy cơ mất an toàn thông tin do lỗ hổng OpenSSL Heartbleed gây ra.
Trao đổi với phóng viên báo Kinh tế & Đô thị, ông Nguyễn Minh Đức cho biết: Lỗ hổng trong OpenSSL - thư viện để mã hóa các giao dịch giữa máy tính của người sử dụng với máy chủ. OpenSSL vốn là thư viện dùng để bảo mật, mã hóa, đảm bảo sự an toàn thông tin nhưng lại có lỗ hổng khiến tin tặc (hacker) có thể đọc được bộ nhớ trên máy chủ của công ty cung cấp dịch vụ. Khi đọc các bộ nhớ trên máy chủ, tin tặc có thể lấy cắp được username, mật khẩu và lịch sử các giao dịch, cơ sở dữ liệu cá nhân của người sử dụng. Một chuyên gia của Google đã phát hiện ra lỗ hổng này và báo cho OpenSSL. Ngay sau đó, OpenSSL đã đưa ra bản “vá” và thông báo lỗi vào ngày 7/4. Tuy nhiên, mã khai thác đã rò rỉ và bị tin tặc lợi dụng để tấn
công các máy chủ trên toàn thế giới.
Ông có thể nói rõ hơn về mức độ nghiêm trọng của lỗ hổng này?
- Đây là lỗ hổng đặc biệt nguy hiểm của OpenSSL bởi tin tặc chỉ cần gửi gói tin độc hại đến máy chủ là có thể đọc được luôn dữ liệu trên bộ nhớ mà không cần nạn nhân phải click vào đường link hay mở hộp file. Hơn nữa, đối tượng nhắm tới của tin tặc là các trang thông tin cung cấp dịch vụ thanh toán, ngân hàng điện tử, thương mại điện tử, do đó, toàn bộ thông tin đăng nhập và cơ sở dữ liệu của những người đã giao dịch trên trang đó có nguy cơ bị lộ ra ngoài. Không chỉ các trang thanh toán mà các máy chủ email có sử dụng OpenSSL và một số dịch vụ chat (Zalo, Viber…), mạng xã hội hoạt động trên nền di động cũng có nguy cơ bị đánh cắp thông tin.
Có bao nhiêu máy chủ đã bị ảnh hưởng bởi lỗ hổng OpenSSL Heartbleed?
- Theo báo cáo của Net Crast, có khoảng 500.000 máy chủ trên khắp thế giới thuộc phiên bản OpenSSL bị lỗi, trong đó có những nhà cung cấp dịch vụ lớn như Yahoo, Cloud…
Hiện chưa có con số thống kê chính thức, nhưng khả năng có khoảng hơn chục ngân hàng trong nước bị ảnh hưởng. Theo tôi được biết, hầu hết các ngân hàng đã khắc phục được lỗ hổng, còn lại một số ngân hàng tiếp tục khắc phục trong ngày 10/4. Ngoài ra, còn nhiều hệ thống khác đang chạy phiên bản OpenSSL, thống kê sơ bộ có khoảng 2.000 máy chủ nằm trong dải bị lỗi có thể bị ảnh hưởng. Đó là các cổng thông tin, máy chủ mail, web giao dịch…
Ông có khuyến cáo nào dành cho các quản trị mạng và người sử dụng vào thời điểm này?
- Mặc dù nguy hiểm, nhưng lỗ hổng này không khó khắc phục. Đối với người quản trị cần phải cập nhật OpenSSL lên phiên bản mới nhất, tái khởi động hệ thống và thay đổi chứng chỉ số SSL ngay lập tức trên toàn bộ hệ thống có sử dụng OpenSSL. Vì lỗi này không chỉ mở cửa khả năng khai thác trên môi trường web mà mọi môi trường có sử dụng thư viện OpenSSL đều bị ảnh hưởng.
Ở Việt Nam, các nhà cung cấp dịch vụ không có "thói quen" công khai về sự cố và thời hạn khắc phục sự cố của mình mà thường âm thầm tự "vá" lỗ hổng nên người sử dụng không thể biết chắc lúc nào giao dịch là an toàn. Bởi vậy, tạm thời mọi người nên ngừng giao dịch trong vài ngày. Với các giao dịch tại ngân hàng trong ngày 10/4 có thể thực hiện bình thường nhưng cẩn thận hơn thì nên đợi thêm 1 - 2 ngày tới.
Trường hợp đã giao dịch từ ngày 7/4 đến nay thì cần lưu ý đổi mật khẩu vì trong quá trình giao dịch ngân hàng, giao dịch chứng khoán điện tử, đặt khách sạn, mua vé máy bay… bằng phương thức thanh toán trực tuyến, mật khẩu của bạn được lưu trên máy chủ, tin tặc có thể đã khai thác, lấy trộm mật khẩu.
Xin cảm ơn ông!
Kinhtedothi - Khách hàng giao dịch bằng thẻ ATM tại cây rút tiền của Vietcombank. Ảnh: Khánh Linh |
| Ngày 10/4, trả lời phóng viên báo Kinh tế & Đô thị, đại diện Ví điện tử nganluong.vn cho biết: Ngay trong đêm nhận được thông tin về lỗi bảo mật trong OpenSSL, nganluong.vn đã rà soát, nâng cấp và đảm bảo hệ thống của mình sẽ không thể bị khai thác từ lỗ hổng này. Quá trình khắc phục lỗi bảo mật của nganluong.vn diễn ra trong vòng 15 phút kể từ khi nhận được thông báo của các tổ chức bảo mật, và hiện hệ thống không còn bị dính lỗi này. Do đó, khách hàng có thể hoàn toàn yên tâm khi giao dịch thanh toán trực tuyến tại nganluong.vn. Để đảm bảo an toàn giao dịch và an ninh tài chính, các khách hàng chỉ nên giao dịch thông qua các Cổng thanh toán - ví điện tử đáp ứng các tiêu chuẩn bảo mật của ngành công nghiệp thẻ thanh toán thế giới (PCI - DSS) và được Ngân hàng Nhà nước cấp phép. |
