Một trong những lỗ hổng bảo mật nguy hiểm nhất Thế Giới, Heartbleed hay còn gọi là “Trái tim rỉ máu” đã bị phát hiện. Bài viết là thông tin tổng hợp về Heartbleed cùng những cảnh báo quan trọng.
Heartbleed- “Trái tim rỉ máu” là gì và nguy cơ đe dọa bảo mật thông tin?
Đối với người dùng thông thường, khái niệm OpenSSL có vẻ xa lạ nhưng thực tế, đây chính là biểu tượng ổ khóa nhỏ quen thuộc trên thanh địa chỉ bên cạnh HTTPS hiển thị người dùng truy cập vào các trang có chứng chỉ mã hóa như giao dịch trực tuyến…
Khi trình duyệt truy cập các trang thanh toán trực tuyến bằng thẻ, các trang đăng nhập an toàn…, dữ liệu của người dùng sẽ được xử lý thông qua giao thức web an toàn HTTPS. Để sử dụng giao thức này, thư viện lập trình mã hóa nguồn mở OpenSSL thường được các lập trình viên sử dụng. Tuy nhiên, lỗ hổng của thư viện này đã khiến lỗi OpenSSL Heartbleed xảy ra và các hacker đã lợi dụng nó để truy cập nhiều thông tin bảo mật quan trọng như thẻ ngân hàng, một số tài khoản truy cập như Facebook, Gmail… khi người dùng tiến hành các giao dịch trực tuyến.
Các chuyên gia cho rằng trong ngày 8/4 vừa qua đã có khoảng 15 website e-banking của các ngân hàng và cổng thanh toán Việt Nam bị các hacker tấn công thông qua lỗ hổng bảo mật OpenSSL Heartbleed.
Người dùng cần làm gì?
Khuyến cáo duy nhất được hầu hết các chuyên gia uy tín trong giới bảo mật quốc tế đưa ra lúc này là người dùng và cộng đồng cần tạm ngừng mọi giao dịch trực tuyến qua các cổng thanh toán và e-banking cho đến khi các cổng thanh toán và các cổng e-banking chính thức khẳng định website của họ an toàn. Đặc biệt nên hạn chế sử dụng các loại thẻ credit như Visa, Master, hoặc đi làm lại thẻ nếu có thông báo bị tấn công từ các ngân hàng.
Mashable mới đây cũng đưa ra danh sách những tài khoản dịch vụ mà người dùng nên ngay lập tức thay đổi mật khẩu nhằm bảo mật thông tin như Facebook, Tumblr, Google, Yahoo/ Yahoo Mail, Gmail, DropBox…
Danh sách các Ngân hàng Việt Nam an toàn
Theo Báo điện tử GenK, một số Ngân hàng lớn của Việt Nam đã đưa ra lời khẳng định an toàn tới người dùng là:
Techcombank: Không bị lỗi bảo mật
Đại diện ngân hàng Techcombank cho biết Techcombank không nằm trong số 15 ngân hàng bị hacker tấn công qua lỗ hổng bảo mật OpenSSL Heartbleed. Giao dịch trực tuyến của Techcombank vẫn an toàn.
NamABank: Giao dịch trực tuyến của Nam Á an toàn
Ông Nguyễn Bình Phương, Phó Tổng giám đốc Ngân hàng Nam Á cho biết Nam Á cũng không nằm trong số 15 ngân hàng bị hacker.
“Giao dịch trực tuyến của NamABank vẫn an toàn, khách hàng có thể yên tâm sử dụng giao dịch trực tuyến. Chúng tôi cũng vẫn đang theo dõi chặt chẽ và nếu phát hiện ra bất cứ lỗ hổng nào sẽ có khuyến cáo tới khách hàng ngay lập tức”, ông Phương nói.
LienVietPostBank: Trang web của ngân hàng vẫn an toàn
Ông Nghiêm Sỹ Thắng, Phó tổng giám đốc LienVietPostbank phụ trách lĩnh vực công nghệ thông tin, thẻ và ngân hàng điện tử, khẳng định: các trang web thanh toán trên toàn hệ thống LienVietPostBank vẫn an toàn, chưa thấy có dấu hiệu bị tấn công, nhưng sẽ cho rà soát lại một cách kỹ lưỡng nhất, nếu thấy có lỗ hổng sẽ lập tức có khuyến cáo tới khách hàng.
Vietcombank: Khách hàng nên cẩn trọng khi sử dụng thông tin trên các web giao dịch trực tuyến
Phó tổng giám đốc Vietcombank Đào Minh Tuấn nhìn nhận: Lỗ hổng mới cũng rất nghiêm trọng nên chúng tôi sẽ lập tức cho kiểm tra lại toàn bộ hệ thống hạ tầng mạng để ngăn chặn khả năng hacker tấn công”, đồng thời khuyến cáo khách hàng nên cẩn trọng khi sử dụng thông tin trên các trang web giao dịch trực tuyến.
BIDV: Đội ngũ kỹ thuật của ngân hàng có theo dõi và xử lý, kiểm soát tấn công
Báo Thanh niên dẫn lời Giám đốc Trung tâm công nghệ thông tin của BIDV, ông Nguyễn Xuân Hòa cho biết: “Chúng tôi có ký hợp đồng với A70 (Cục Kỹ thuật nghiệp vụ – Tổng cục An ninh) và bên BKAV để rà soát thường xuyên. Đội ngũ kỹ thuật của ngân hàng cũng có theo dõi và xử lý, kiểm soát tấn công. Thời gian qua chúng tôi đã phát hiện, ngăn chặn được nhiều trường hợp tấn công vào OpenSSL của hệ thống BIDV”.
Maritimebank: Không sử dụng tiêu chuẩn bảo mật Open SLL
Lãnh đạo Maritimebank cho biết, hiện tại Maritimebank đang sử dụng tiêu chuẩn bảo mật SSL Cert của Verisign mà không phải tiêu chuẩn bảo mật Open SLL nên không bị ảnh hưởng bởi lỗ hổng bảo mật OpenSSL Hearbleed của các chuyên gia bảo mật.
Maritimebank sẽ gửi email và đăng thông cáo báo chí cho khác hàng để xác nhận việc hệ thống ebanking của ngân hàng hoàn toàn an toàn và ko bị ảnh hưởng bởi lỗ hổng bảo mật trên.
Dương Linh
Theo Mashable/ CNET/ GenK