Các chuyên gia cho rằng trong ngày 8/4 đã có khoảng 15 website e-banking của các ngân hàng và cổng thanh toán của VN bị các hacker tấn công, thông qua lỗ hổng bảo mật OpenSSL Heartbleed.
Với quy mô nói trên, các chuyên gia nhận định số lượng thông tin nhạy cảm liên quan đến thẻ, tài khoản đăng nhập bị đánh cắp là không thể ước lượng được.
Trước đó, lỗi OpenSSL Heartbleed, được cho là có khả năng đe dọa hàng triệu tài khoản giao dịch trực tuyến qua các cổng thanh toán và website ngân hàng (NH), đã được công bố trên diễn đàn lớn nhất thế giới Reddit và trang Heartbleed.com vào tối 7/4.
Theo ông Nguyễn Hồng Phúc, chuyên gia thuộc diễn đàn bảo mật HVA Online, lỗi OpenSSL Heartbleed được giới chuyên môn đánh giá là cực kỳ nguy hiểm do liên quan đến hạ tầng cơ sở của hệ thống bảo mật. “Lỗi này nằm ở nền tảng mã hóa cơ bản nhất nên nếu hệ thống bị dính lỗi này thì coi như các lớp mã hóa khác đều bị phá vỡ”, ông Phúc nói.
Hướng dẫn tấn công trên mạng
Hiện các giao dịch trên internet được bảo vệ an toàn dựa trên giao thức mã hóa bảo mật kết nối SSL/TLS. Nền tảng này giúp mã hóa các kết nối internet, để các dữ liệu từ người dùng được đưa lên máy chủ không bị can thiệp ở giữa.
Tuy nhiên, lỗi OpenSSL Heartbleed cho phép các tin tặc truy cập vào bộ nhớ đệm của OpenSSL - nơi chứa các dữ liệu nhạy cảm đã được giải mã như thông tin thẻ NH, thẻ tín dụng, thông tin đăng nhập như username và mật khẩu. Sau khi đánh cắp được thông tin, tin tặc có thể đánh cắp tiền khỏi tài khoản đồng thời sử dụng cơ sở dữ liệu cá nhân của người dùng để khai thác sau này.
Nên tạm dừng thanh toán trực tuyến
Theo đại diện của HVA Online, việc khắc phục lỗi không khó do bản vá đã được đưa lên mạng ngay trong tối 7/4, nhưng với các hệ thống lớn, việc xử lý đòi hỏi nhiều thời gian. Trong ngày 8/4, giới chuyên môn đã xác định được một loạt các cuộc tấn công vào nhiều website lớn trên thế giới, trong đó có Yahoo.com. Bản thân Yahoo cũng mất khoảng 24 giờ mới có thể hoàn thành việc khắc phục lỗ hổng này.
Theo HVA Online, các chuyên gia bảo mật của VN nhận được thông tin về lỗi ngay trong đêm 7/4 và liên tục theo dõi các lỗi này để cập nhật cho cộng đồng quản trị hệ thống. Ngày 8/4, HVA Online ghi nhận một số trang dịch vụ trực tuyến lớn đã vá lỗi ngay trong buổi sáng. Chiều 8/4, khi công cụ khai thác bắt đầu phổ biến thì các báo cáo cho thấy khoảng 15 website e-banking của các NH và cổng thanh toán của VN đã bị tấn công. Số lượng các thông tin nhạy cảm như thông tin thẻ và thông tin đăng nhập bị đánh cắp theo HVA Online là không thể ước lượng được.
Cũng theo HVA Online, trong sáng qua (9/4), phần lớn trang chủ e-banking của các NH đều đã được vá, nhưng toàn bộ hệ thống e-banking của các NH được vá chưa thì chưa thể xác định. Theo ông Phúc, thông thường một NH có thể mất từ 24 - 48 giờ để cập nhật bản vá lỗi cho các lớp thiết bị vòng ngoài. Tuy nhiên, do hệ thống hạ tầng của các NH là rất lớn, các giao dịch nội bộ hay giao dịch ra ngoài đều được mã hóa nên việc khắc phục lỗi ở lớp bên trong có thể mất nhiều thời gian hơn.
Các cổng thanh toán được HVA Online xác nhận đã vá xong hầu hết ngay trong chiều 8/4 như smartlink, 123pay, paygate,… Đến tối 8.4 vẫn còn báo cáo từ chuyên gia bảo mật là cổng như nganluong.vn, onepay.vn chưa vá lỗi. Theo khuyến cáo của các chuyên gia bảo mật, các NH nên ngay lập tức cập nhật OpenSSL lên phiên bản mới nhất, tái khởi động (bắt buộc) hệ thống và thay đổi chứng chỉ số SSL ngay lập tức trên toàn bộ hệ thống có sử dụng OpenSSL. Vì lỗi này không chỉ mở cửa khả năng khai thác trên môi trường web mà mọi môi trường có sử dụng thư viện OpenSSL đều bị ảnh hưởng.
Theo ông Phúc, khuyến cáo duy nhất được hầu hết các chuyên gia uy tín trong giới bảo mật quốc tế đưa ra lúc này là người dùng và cộng đồng cần tạm ngừng mọi giao dịch trực tuyến qua các cổng thanh toán và e-banking cho đến khi các cổng thanh toán và các cổng e-banking chính thức khẳng định website của họ an toàn. Ông Phúc cũng khuyến cáo những người có sử dụng các dịch vụ e-banking hoặc các cổng thanh toán trực tuyến từ thời điểm 7/4 đến nay nên thay đổi lại mật khẩu vì có khả năng thông tin tài khoản đã bị lộ ra ngoài mà không biết.
Kiểm tra lại hệ thống bảo mật
Ông Nghiêm Sỹ Thắng, Phó tổng giám đốc NH TMCP Liên Việt (LienVietPostbank) phụ trách lĩnh vực công nghệ thông tin, thẻ và NH điện tử, khẳng định các trang web thanh toán trên toàn hệ thống LienVietPostBank vẫn an toàn, chưa thấy có dấu hiệu bị tấn công, nhưng “chúng tôi sẽ cho rà soát lại một cách kỹ lưỡng nhất, nếu thấy có lỗ hổng sẽ lập tức có khuyến cáo tới khách hàng”.
Phó tổng giám đốc Vietcombank Đào Minh Tuấn nhìn nhận: “Lỗ hổng mới cũng rất nghiêm trọng nên chúng tôi sẽ lập tức cho kiểm tra lại toàn bộ hệ thống hạ tầng mạng để ngăn chặn khả năng hacker tấn công”, ông Tuấn nói, đồng thời khuyến cáo khách hàng nên cẩn trọng khi sử dụng thông tin trên các trang web giao dịch trực tuyến.
Giám đốc Trung tâm công nghệ thông tin của BIDV, ông Nguyễn Xuân Hòa cũng cho biết: “Chúng tôi có ký hợp đồng với A70 (Cục Kỹ thuật nghiệp vụ - Tổng cục An ninh) và bên BKAV để rà soát thường xuyên. Đội ngũ kỹ thuật của NH cũng có theo dõi và xử lý, kiểm soát tấn công. Thời gian qua chúng tôi đã phát hiện, ngăn chặn được nhiều trường hợp tấn công vào OpenSSL của hệ thống BIDV”./.