Các nhà nghiên cứu tại hãng bảo mật Codenomicon và Google Security đã tìm ra lỗi được gọi là HeartBleed (trái tim rỉ máu). HeartBleed được đánh giá là một trong các lỗ hổng bảo mật nghiêm trọng nhất từng được phát hiện.
Lỗ hổng nằm trong phần mềm OpenSSL, là thư viện mà những website quan trọng thường dùng để mã hóa dữ liệu, như giao dịch ngân hàng, thương mại điện tử hay các dịch vụ e-mail… Nhiều doanh nghiệp cũng sử dụng OpenSSL để mã hóa thông tin và cho phép nhân viên truy cập vào các ứng dụng nội bộ của cơ quan, làm việc từ xa qua Internet.
 |
| Theo chuyên gia Nguyễn Minh Đức, Ban Công nghệ FPT, vì lỗ hổng nằm trong việc xử lý TLS Heartbeat extension (RFC6520) của OpenSSL. Nguyên lý hoạt động của RFC này là để client/server kiểm tra xem bạn của mình có còn sống hay không (kiểm tra nhịp tim - Heartbeat). Do lỗi ở tính năng kiểm tra heartbeat, nên người ta văn vẻ gọi lỗ hổng là Heartbleed - Quả tim máu. |
Khai thác lỗ hổng OpenSSL, tội phạm mạng có thể chiếm được phiên giao dịch của người dùng để thực hiện chuyển tiền vào tài khoản khác nếu website là dịch vụ e-banking, hay truy cập hộp thư của người dùng nếu là dịch vụ e-mail. Kẻ xấu cũng có thể truy cập vào mạng nội bộ của cơ quan mà không cần tài khoản đăng nhập. Đáng ngại hơn, lỗ hổng này đã tồn tại được khoảng 2 năm.
"Nếu một trang dính lỗi, hacker có thể nắm được các dữ liệu của bạn, như mật mã, thông tin tài khoản ngân hàng và các thông tin cá nhân khi bạn điền chúng trên trang web đó", Michael Coates, Giám đốc bảo mật thuộc Shape Security (Mỹ), nói.
Ngày 9/4, Bộ an ninh Nội địa Mỹ khuyến cáo các doanh nghiệp ở nước này kiểm tra lại toàn bộ hệ thống máy chủ để loại trừ lỗi. "Khi đóng vai hacker để kiểm tra mức độ an toàn bảo mật, chúng tôi đã thâm nhập được vào hệ thống của chính mình từ bên ngoài mà không để lại dấu vết", đại diện của Codenomicon cho biết.
Hiện chưa có thống kê bao nhiêu website dính lỗi, nhưng giới chuyên gia cho hay, hai máy chủ web phổ biến nhất là Apache và nginx đang sử dụng OpenSSL. Phát ngôn viên của Yahoo thừa nhận dịch vụ của họ có nguy cơ bị khai thác nhưng hãng này đã nhanh chóng sửa lỗi trên các dịch vụ Search, Mail, Finance, Flickr, Tumblr... Google và Facebook đã khắc phục lỗi trước thời điểm lỗ hổng HeartBleed được công khai.
Chia sẻ với VnExpress, ông Ngô Tuấn Anh, Phó chủ tịch phụ trách an ninh mạng Bkav, cho biết, lỗ hổng OpenSSL đang ảnh hưởng đến các website trên toàn thế giới, kể cả những trang uy tín như Yahoo, Flickr. Các website sử dụng giao thức HTTPS và OpenSSL đều có nguy cơ bị tấn công.
Trong khi đó, rất nhiều cổng giao dịch trực tuyến và website ebanking tại Việt Nam đang sử dụng thư viện OpenSSL này. "Những ngày này, khi các hệ thống còn chưa được vá lỗi đầy đủ, trước khi tiến hành các giao dịch trực tuyến quan trọng, người dùng có thể truy cập Bkav.com.vn/sslScan để kiểm tra xem website có lỗ hổng hay không", ông Tuấn khuyến cáo.
(Theo VnExpress)
![[Product Day x Techtalk] sẵn sàng cho ‘cú hích’ sản phẩm 'made by FPT’](https://i.chungta.vn/2024/05/04/51981712567748-1714797802_360x216.jpg)
Ý kiến
()