Các chuyên gia bảo mật trên thế giới vừa phát hiện một lỗi bảo mật nghiêm trọng trên giao thức bảo mật SSL của Internet có tên OpenSSL Heart Bleed, đe dọa hàng triệu tài khoản giao dịch trực tuyến qua các cổng thanh toán và website ngân hàng.
Nghiêm trọng
Anh Nguyễn Hồng Phúc, một chuyên gia thuộc diễn đàn bảo mật HVA Online cho biết, trên một diễn đàn bảo mật uy tín của Mỹ, một kỹ sư đã công bố phát hiện ra lỗi nghiêm trọng này vào chiều 7/4.
Đến ngày hôm sau, các chuyên gia trên thế giới đã xác nhận sự tồn tại của lỗ hổng trên.
SSL là tiêu chuẩn an ninh công nghệ toàn cầu tạo ra một liên kết được mã hóa giữa máy chủ web và trình duyệt, đảm bảo tất cả các dữ liệu trao đổi giữa máy chủ web và trình duyệt luôn được bảo mật và an toàn. Đây là một chuẩn được sử dụng cho hàng triệu trang web trong việc bảo vệ các giao dịch trực tuyến (bắt đầu bằng HTTPS thay vì HTTP như thông thường).
Ngay sau khi lỗi OpenSSL Heart Bleed được công bố, rất nhiều đoạn mã khai thác được tin tặc viết ra để khai thác lỗi này. Và, đã có rất nhiều phương thức khai thác thành công được đưa lên Internet vào chiều 8/4.
Anh Phúc cho hay, sau khi chạy các đoạn mã khai thác này, hacker có thể truy cập được vào máy chủ và đọc được dữ liệu nhạy cảm đang lưu đệm trên bộ nhớ của máy chủ.
Trong khi đó, lúc người dùng bấm nút thanh toán trực tuyến, dữ liệu nhạy cảm như thông tin thẻ, thông tin đăng nhập từ trình duyệt gửi lên thông qua kết nối mã hóa HTTPS sẽ được máy chủ giải mã và lưu vào bộ nhớ đệm (RAM) của máy chủ và thông qua lỗi hacker sẽ đọc được các dữ liệu nhạy cảm này.
Sau khi đánh cắp được thông tin, hacker có thể rút tiền khỏi tài khoản cũng như tận dụng những cơ sở dữ liệu cá nhân của người dùng phục vụ mục đích khai thác sau này.
Tạm ngưng giao dịch
Sẽ rất khó để đưa ra con số thiệt hại cụ thể trên toàn thế giới cũng như ở Việt Nam, song anh Phúc cho biết vài website ngân hàng, cổng thanh toán trực tuyến nổi tiếng ở Việt Nam đã có dấu hiệu mắc lỗi giao thức OpenSSL Heart Bleed.
Với việc chia sẻ cho báo chí, giới chuyên gia bảo mật kỳ vọng các ngân hàng, cổng thanh toán ở Việt Nam sẽ có cái nhìn chính xác hơn về lỗ hổng này và có các phương án kịp thời để bảo đảm an toàn cho người dùng.
Vị chuyên gia này cũng khuyến cáo, người dùng cần tạm dừng các hoạt động giao dịch trực tuyến cho tới khi các ngân hàng, cổng thanh toán ra thông báo chính thức khẳng định website của họ an toàn.
Bên cạnh đó, một điều nguy hại là với lỗi bảo mật nghiêm trọng này chính là việc người dùng không hề hay biết dữ liệu của họ bị đánh cắp và quản trị của các website cũng không thấy có dấu vết bị xâm nhập.
Bởi vậy, quản trị của các tổ chức ngân hàng, cổng thanh toán, trang web an ninh cao, cần kiểm tra ngay các máy chủ của tổ chức mình có khả năng bị lỗi này hay không để tìm cách ứng phó kịp thời.
Một trong số các công cụ để kiểm tra khả năng bị lỗi OpenSSL Heartbleed là http://filippo.io/Heartbleed