Nhiều website ngân hàng và cổng thanh toán trên thế giới hiện chứa lỗ hổng bảo mật nghiêm trọng. Để tránh rủi ro, các chuyên gia khuyên người dùng tạm ngưng giao dịch trực tuyến.
| Ảnh hưởng đến những website ngân hàng và cổng thanh toán sử dụng Open SSL Trong ngày 7/4, giới bảo mật quốc tế xôn xao với thông tin về lỗi Open SSL Heartbleed. Theo các chuyên gia, đây là một lổ hỗng bảo mật tồn tại trên rất nhiều website giao dịch trực tuyến của các nước, trong đó có Việt Nam, dẫn đến việc tài khoản ngân hàng của người dùng đặt trong trạng thái bị đe dọa và có thể bị kẻ gian lén lút sử dụng để thanh toán những khoản chi mờ ám. Bên cạnh đó, tin tặc cũng có thể lợi dụng lỗ hổng này để đánh cắp nhiều thông tin tài chính quan trọng để phục vụ cho các mục đích khác. Theo ông Võ Đỗ Thắng, Giám đốc Trung tâm đào tạo quản trị mạng & An ninh mạng quốc tế Athena, phần lớn website ngân hàng và cổng thanh toán trực tuyến trên thế giới, trong đó có Việt Nam, hiện nay sử dụng Open SSL. Lỗi bảo mật trên chỉ tồn tại trong một số phiên bản của OpenSSL.
Định nghĩa về OpenSSL, chuyên gia này giải thích như sau: Khi người dùng thực hiện các giao dịch trên Internet (thanh toán, chuyển tiền, mua hàng qua mạng,...), những giao dịch này được giữ bí mật bằng giao thức bảo mật SSL/TLS. Để thiết kế các hệ thống giao dịch trực tuyến tích hợp SSL/TSL, các lập trình viên thường sử dụng thư viện lập trình mã hóa nguồn mở OpenSSL. Lỗ hổng "Open SSL Heartbleed" tồn tại trong những phiên bản OpenSSL cũ và các chủ website có dịch vụ giao dịch (ngân hàng, cổng thanh toán) chưa kịp cập nhật bản vá mới sẽ nằm trong danh sách những nạn nhân tiềm năng của hacker. Sau khi được giới bảo mật công bố vào ngày 7/4, nhiều website tồn tại lỗ hổng Open SSL Heartbleed chưa kịp vá lỗi đã trở thành mục tiêu của tin tặc. Giới hacker đã công bố thêm những đoạn mã độc và các công cụ hỗ trợ khai thác điểm yếu của các webiste dính lỗi. Trên nhiều diễn đàn hacker, danh sách các website bị tấn công và nằm trong diện dễ bị tổn thương lên đến hàng chục ngàn. Trong đó cũng có một số website của Việt Nam. Người dùng trong nước ít bị ảnh hưởng Trao đối Zing.vn, ông Võ Đỗ Thắng cho biết tuy nhiều website ngân hàng và cổng thanh toán trực tuyến ở Việt Nam bị dính lỗi, những người chỉ dùng tài khoản và thẻ ngân hàng nội địa sẽ ít bị ảnh hưởng. Lý do là các giao dịch trực tuyến trong nước thường có thêm bước xác thực qua số điện thoại (OTP) nên dù tin tặc có chiếm được quyền truy cập tài khoản cũng sẽ gặp khó khăn khi không sở hữu được SIM điện thoại của nạn nhân. "Chỉ những người dùng sở hữu các thẻ thanh toán quốc tế như Visa, Master Card,... không cần xác thực qua số điện thoại mới cần phải lo lắng và hạn chế các giao dịch trực tuyến đến khi có thông tin chính thức từ các ngân hàng", ông Thắng cho biết. Theo báo cáo từ các công cụ kiểm tra lổ hổng OpenSSL được công bố trên Github.com, khoảng 15 website ngân hàng trực tuyến (ebanking) và cổng thanh toán tại Việt Nam bị tấn công thành công. Trang ITC News cho biết đến ngày 9/4, phần lớn các cổng thanh toán và ebanking ngân hàng tại Việt Nam đã tạm ngưng các dịch vụ khách hàng và cập nhật các bản vá thành công. Việc làm này được các ngân hàng và cổng thanh toán thực hiện "âm thầm" và chưa có thông báo chính đến với người dùng. Theo ông Võ Đỗ Thắng, các ngân hàng cần cập nhật bản vá mới nhất của OpenSSL và đưa ra thông báo chính thức, rõ ràng đến người dùng để họ hiểu hơn về lỗi bảo mật này. Đồng thời, người dùng sở hữu tài khoản ngân hàng cũng hạn chế và tốt nhất là tạm ngưng việc giao dịch qua mạng để tránh rủi ro. Duy Tín |
0 nhận xét:
Đăng nhận xét