Nên ngưng ngay các giao dịch trực tuyến!

Tin mới

10/04/2014 22:49

Lỗi bảo mật OpenSSL HeartBleed có nguy cơ đe dọa nghiêm trọng việc thanh toán trực tuyến qua các cổng thanh toán và ngân hàng tại Việt Nam

Khi khai thác lỗ hổng OpenSSL HeartBleed, hacker có thể chiếm được phiên giao dịch của người dùng để thực hiện chuyển tiền vào tài khoản khác nếu website là dịch vụ e-banking, truy cập hộp thư của người dùng nếu là dịch vụ e-mail. Chúng cũng có thể truy cập vào mạng nội bộ của cơ quan, tổ chức nào đó mà không cần tài khoản đăng nhập.

Ông Võ Đỗ Thắng, Giám đốc Trung tâm Đào tạo An ninh mạng Athena TP HCM, cho biết: “Athena được biết các ngân hàng sáng 10-4 đã tiến hành rà soát và fix lỗi OpenSSL HeartBleed. Tuy nhiên, các công ty chứng khoán cho phép giao dịch trực tuyến thì vẫn còn bị dính lỗi này (tính đến 12 giờ ngày 10-4). Lỗi OpenSSL HeartBleed hiện xảy ra đối với phiên bản OpenSSL 1.0.x. Khi khách hàng giao dịch, thông tin giao dịch như tên, mật khẩu của người dùng sẽ được lưu vào vùng nhớ của ứng dụng SSL. Lỗi OpenSSL HeartBleed cho phép hacker lấy thông tin từ vùng nhớ lưu trữ này và hacker có thể chiếm được phiên đăng nhập hoặc chiếm quyền điều khiển của một người dùng bất kỳ. Khi chiếm được, hacker có thể thực hiện các giao dịch trực tuyến như người dùng chính thức và dễ dàng ăn cắp tiền của người khác".

Theo Ban Quản trị Diễn đàn Bảo mật HVA Việt Nam, do tình trạng mã khai thác của lỗi OpenSSL HeartBleed đang tràn lan và nhiều hacker đã triển khai thành mã khai thác tự động trên diện rộng nên người dùng cần tạm ngưng việc giao dịch trực tuyến trên tất cả các cổng thanh toán và tất cả các ngân hàng trực tuyến cho đến khi các ngân hàng và các cổng này thông báo đã vá lỗi. Theo ghi nhận của HVA, hiện có nhiều cổng thanh toán và ngân hàng đang dính lỗi mà chưa vá, các thông tin thẻ có thể bị thu thập dễ dàng.

Trong khi nhiều hệ thống chưa được vá lỗi, người sử dụng tại Việt Nam có thể kiểm tra một trang web có an toàn để giao dịch hay không bằng công cụ được Công ty An ninh mạng Bkav vừa cung cấp tại địa chỉ Bkav.com.vn/sslScan. Ông Ngô Tuấn Anh, Phó Chủ tịch phụ trách an ninh mạng Bkav, cho biết: “Lỗ hổng OpenSSL đang ảnh hưởng đến các website trên toàn thế giới, kể cả những trang uy tín như Yahoo! hay Flickr. Tất cả website sử dụng giao thức https và OpenSSL đều có nguy cơ bị tấn công trong khi nhiều cổng giao dịch trực tuyến, website e-banking tại Việt Nam sử dụng thư viện này”. Bkav khuyến cáo trong vài ngày tới, khi các hệ thống còn chưa được vá lỗi đầy đủ, trước khi tiến hành các giao dịch trực tuyến quan trọng, người dùng cần kiểm tra xem website có lỗ hổng hay không bằng cách truy cập địa chỉ Bkav.com.vn/sslScan. Đối với quản trị viên hệ thống, cần kiểm tra website nếu sử dụng OpenSSL phiên bản từ 1.0.1 đến 1.0.1f và 1.0.2beta1 phải cập nhật ngay lên phiên bản mới nhất 1.0.1g.

Theo một nguồn tin, việc vá lỗi tại các cổng thanh toán như ngân hàng đang tiến hành rất gấp rút vì ngân hàng thường có đội ngũ chuyên gia công nghệ, an ninh mạng rất hùng hậu. Tuy nhiên, những cổng thanh toán điện tử của các công ty thì do thiếu nhân sự nên công tác fix lỗi không biết khi nào mới hoàn thành. Khả năng mất tiền trong các giao dịch quốc tế tại thời điểm này là rất lớn. Do đó, người dùng nên cẩn thận khi sử dụng thẻ quốc tế như Visa, MasterCard để thực hiện giao dịch online. Các ngân hàng cần có thông báo và làm rõ cho khách hàng biết những nguy cơ từ lỗ hổng bảo mật này, đã vá lỗi hay chưa và mức độ ảnh hưởng, để khách hàng không phải lo khi tiến hành các giao dịch; cũng nên có những cảnh báo đến các giao dịch trực tuyến quốc tế đối với khách hàng của mình. Một giải pháp nữa là khách hàng nên đăng ký dịch vụ Prepaid  (phải có tiền trong thẻ thì mới giao dịch được) của Visa, MastesCard, khi đó người dùng sẽ kiểm soát được mức chi tiêu.

Hôm 7-4, trang diễn đàn lớn nhất thế giới Reddit và trang Heartbleed.com đã công bố lỗi OpenSSL HeartBleed. Đây là một lỗi bảo mật rất nguy hiểm và rất nhiều ngân hàng, cổng thanh toán tại Việt Nam cũng gặp lỗi này.

 

CHÁNH TRUNG
Bình luận

Đăng nhập với tài khoản:

Đăng nhập để ý kiến của bạn xuất bản nhanh hơn
 
 
Hoặc nhập thông tin của bạn

Mới nhất Hay nhất