Người dùng nên tạm ngưng giao dịch qua mạng vì lỗi bảo mật

Ảnh hưởng đến những website ngân hàng và cổng thanh toán sử dụng Open SSL

Trong ngày 7/4, giới bảo mật quốc tế xôn xao với thông tin về lỗi Open SSL Heartbleed. Theo các chuyên gia, đây là một lổ hỗng bảo mật tồn tại trên rất nhiều website giao dịch trực tuyến của các nước, trong đó có Việt Nam, dẫn đến việc tài khoản ngân hàng của người dùng đặt trong trạng thái bị đe dọa và có thể bị kẻ gian lén lút sử dụng để thanh toán những khoản chi mờ ám. Bên cạnh đó, tin tặc cũng có thể lợi dụng lỗ hổng này để đánh cắp nhiều thông tin tài chính quan trọng nhằm phục vụ cho các mục đích khác.

Theo ông Võ Đỗ Thắng, Giám đốc Trung tâm đào tạo quản trị mạng & An ninh mạng quốc tế Athena, phần lớn website ngân hàng và cổng thanh toán trực tuyến trên thế giới, trong đó có Việt Nam, hiện nay sử dụng Open SSL. Lỗi bảo mật trên chỉ tồn tại trong một số phiên bản của OpenSSL.

Lỗ hổng bảo mật tồn tại trong những hệ thống dùng phiên bản OpenSSL cũ chưa được vá lỗi. Ảnh: HBT.

Định nghĩa về OpenSSL, chuyên gia này giải thích như sau: Khi người dùng thực hiện các giao dịch trên Internet (thanh toán, chuyển tiền, mua hàng qua mạng,...), những giao dịch này được giữ bí mật bằng giao thức bảo mật SSL/TLS. Để thiết kế các hệ thống giao dịch trực tuyến tích hợp SSL/TSL, các lập trình viên thường sử dụng thư viện lập trình mã hóa nguồn mở OpenSSL. Lỗ hổng "Open SSL Heartbleed" tồn tại trong những phiên bản OpenSSL cũ và các chủ website có dịch vụ giao dịch (ngân hàng, cổng thanh toán) chưa kịp cập nhật bản vá mới sẽ nằm trong danh sách mục tiêu của tin tặc. Khi đó, nếu người dùng đăng nhập và thanh toán trực tuyến trên các website chứa lỗ hổng đang bị hacker khai thác, tất cả mọi dữ liệu nhạy cảm như thông tin thẻ, thông tin đăng nhập từ trình duyệt,...của người dùng đều rơi vào tay hacker.

Sau khi được giới bảo mật công bố vào ngày 7/4, nhiều website tồn tại lỗ hổng Open SSL Heartbleed chưa kịp vá lỗi đã trở thành mục tiêu của tin tặc. Giới hacker đã công bố thêm những đoạn mã độc và các công cụ hỗ trợ khai thác điểm yếu của các webiste dính lỗi. Trên nhiều diễn đàn hacker, danh sách các website bị tấn công và nằm trong diện dễ bị tổn thương lên đến hàng chục ngàn. Trong đó cũng có một số website của Việt Nam.

"Người dùng trong nước ít bị ảnh hưởng"

Trao đối Zing.vn, ông Võ Đỗ Thắng cho biết tuy nhiều website ngân hàng và cổng thanh toán trực tuyến ở Việt Nam bị dính lỗi, những người chỉ dùng tài khoản và thẻ ngân hàng nội địa sẽ ít bị ảnh hưởng. Lý do là các giao dịch trực tuyến trong nước thường có thêm bước xác thực qua số điện thoại (OPT) nên dù tin tặc có chiếm được quyền truy cập tài khoản cũng sẽ gặp khó khăn khi không sở hữu được SIM điện thoại của nạn nhân. "Những người dùng sở hữu các thẻ thanh toán quốc tế như Visa, Master Card,... không nhất thiết phải xác thực qua số điện thoại mới cần lo lắng và tạm ngưng các giao dịch trực tuyến", ông Thắng cho biết.

Không hoàn toàn đồng ý với quan điểm trên, anh Nguyễn Hồng Phúc, một chuyên gia bảo mật từ diễn đàn hacker Việt Nam HVA Online cho rằng những tài khoản ngân hàng trong nước vẫn có nguy cơ bị chiếm dụng. "Tuỳ điều kiện và cách triển khai OPT (tin nhắn xác thực) của từng ngân hàng mà hacker có thể khai thác được lỗ hổng này", anh Phúc khẳng định.

Theo báo cáo từ các công cụ kiểm tra lổ hổng OpenSSL được công bố trên Github.com và một số diễn đàn bảo mật, khoảng 15 website ngân hàng trực tuyến (ebanking) và cổng thanh toán tại Việt Nam đã bị tấn công. Trang ITC News cho biết đến ngày 9/4, phần lớn các cổng thanh toán và ebanking ngân hàng tại Việt Nam đã tạm ngưng các dịch vụ khách hàng và cập nhật các bản vá thành công. Việc làm này được các đơn vị trên thực hiện "âm thầm" và chưa có thông báo chính đến với người dùng.

Theo ông Võ Đỗ Thắng, các ngân hàng cần cập nhật bản vá mới nhất của OpenSSL và đưa ra thông báo chính thức, rõ ràng đến người dùng để họ hiểu hơn về lỗi bảo mật này. Đồng thời, người dùng sở hữu tài khoản ngân hàng cũng hạn chế và tốt nhất là tạm ngưng việc giao dịch qua mạng để tránh rủi ro. Trong khi đó, trang Lifehacker khuyến cáo người dùng đổi ngay mật khẩu đăng nhập vào tài khoản ngân hàng của mình sau khi ngân hàng thông báo khắc phục xong sự cố.

Theo Zingnews