Sáng 10/4, một số trang tin điện tử đưa tin liên quan đến việc 15 ngân hàng tại Việt Nam bị ảnh hưởng bởi lo ngại lộ thông tin giao dịch online sử dụng Open SSL Heartbleed. Với quy mô nói trên, các chuyên gia nhận định số lượng thông tin nhạy cảm liên quan đến thẻ, tài khoản đăng nhập bị đánh cắp là không thể ước lượng được.
ảnh: VnExpress |
Các chuyên gia uy tín trong giới bảo mật quốc tế đưa ra lời khuyên lúc này là người dùng và cộng đồng cần tạm ngừng mọi giao dịch trực tuyến qua các cổng thanh toán và e-banking cho đến khi các cổng thanh toán và các cổng e-banking chính thức khẳng định website của họ an toàn.
Ý kiến của một số ngân hàng Việt khẳng định về vấn đề này:
ACB: Các giao dịch online của ACB bảo mật và an toàn
Ông Nguyễn Thanh Toại, người phát ngôn của ACB cho biết: “ACB đã kiểm tra hệ thống và khẳng định rằng hệ thống giao dịch online của ACB không bị ảnh hưởng, nhờ vào công tác cập nhật liên tục hệ thống tường lửa bảo mật (firewall)”.
Chủ động hơn, ngay trong ngày, ACB sẽ tiến hành cập nhật OPEN SSL lên phiên bản v.1.0.1g nhằm tăng cường bảo mật thông tin giao dịch.
MB không phát hiện lỗi về lỗ hổng trongOpenSSL
Liên quan đến thông tin nhiều website thanh toán tại Việt Nam bị tấn công do lỗ hổng trong OpenSSL (Heartbleed), MB đã thực hiện kiểm tra trang giao dịch trực tuyến của MB và xin khẳng định không phát hiện lỗi bảo mật liên quan đến OpenSSL.
Ngân hàng điện tử - eMB hiện đang được MB sử dụng theo giao thức OpenSSL do VeriSign phát hành. Đây là một trong những thương hiệu dẫn đầu trong nền công nghiệp xác thực và được tin cậy nhất trên internet.
Website ebanking của MB tuân thủ nghiêm ngặt các tiêu chuẩn bảo mật trong nước và quốc tế. Mọi động thái nâng cấp, bổ sung tính năng tiện ích lên website này đều trải qua quá trình Pentest – Kiểm tra bảo mật được tiến hành bởi đơn vị thứ 3 có uy tín về bảo mật.
Nhóm an ninh mạng của MB luôn cập nhật các thông tin bảo mật, thông tin lỗ hổng bảo mật, và tiến hành các bước rà soát, nâng cấp các cấu phần bảo mật đường truyền lẫn ứng dụng theo khuyến nghị của các tổ chức an ninh mạng quốc tế và trong nước.
Ngoài ra, MB đang áp dụng giải pháp bảo mật người dùng qua hai lớp: mật khẩu tĩnh và mật khẩu dùng một lần - OTP (One Time Password) đối với giao dịch internet banking cũng như giao dịch thanh toán trực tuyến. OTP được sinh ra ngẫu nhiên và chỉ có giá trị trên một lần sử dụng. Điều này giúp loại bỏ nguy cơ mật khẩu bị ăn cắp và sử dụng lại.
Bên cạnh đó, dịch vụ thông báo số dư tự động qua SMS – SMS Banking của MB giúp khách hàng ngay lập tức phát hiện ra giao dịch tài khoản trái phép. Việc liên tục khuyến nghị khách hàng về các hình thức bảo vệ các thông tin truy cập website như thường xuyên đổi password, giao dịch riêng tư, đưa ra các tình huống để khách hàng phòng tránh các chiêu thức tặng thưởng, lừa đảo, đánh cắp thông tin truy cập, thông tin phục vụ giao dịch trực tuyến...
Vì vậy, một lần nữa, MB xin khẳng định, các giao dịch trực tuyến của MB không bị ảnh hưởng do lỗ hổng trong OpenSSL (Heartbleed).
Phòng Ngân hàng Điện tử luôn tiếp nhận mọi phản ánh từ khách hàng, các kênh chăm sóc khách hàng 247 cũng như chi nhánh/phòng giao dịch về các nguy cơ mất an toàn hoặc các nguy cơ tấn công từ bên ngoài. Khách hàng có thể yêu cầu khóa ngay dịch vụ/tài khoản qua hotline của Trung tâm Chăm sóc khách hàng 24/7: 1900545426/ 0437674050.
Tuy nhiên, để tăng cường tính bảo mật và đảm bảo an toàn tối đa cho khách hàng, MB sẽ tiếp tục đẩy mạnh công tác rà soát trong giai đoạn hiện nay, đồng thời, sẽ nghiên cứu, cân nhắc tiến hành thực hiện nâng cấp theo bản vá SSL.
Nhân dịp nay, MB cũng xin cung cấp cho khách hàng một số lưu ý khi giao dịch trực tuyến, nhất là trong thời điểm hiện nay. Cụ thể:
- Không đăng nhập tài khoản online cho đến khi website đó công bố đã khắc phục và cập nhật bản vá. Đừng ngần ngại tạm ngưng giao dịch trong giai đoạn này.
- Chỉ nên thay đổi mật khẩu email và tài khoản ngân hàng sau khi công ty cung cấp dịch vụ đã cập nhật bản vá.
- Kiểm tra email, tin nhắn SMS thông báo số dư tự động được gửi từ ngân hàng, chú ý đến những dấu hiệu bất thường đối với tài khoản.
- Không click vào bất kỳ liên kết (link) nào, hay tập tin đính kèm bên trong các email thông báo về bảo mật liên quan đến lỗi bảo mật Heartbleed.
BIDV: Đội ngũ kỹ thuật của ngân hàng có theo dõi và xử lý, kiểm soát tấn công
Báo Thanh niên dẫn lời Giám đốc Trung tâm công nghệ thông tin của BIDV, ông Nguyễn Xuân Hòa cho biết: “Chúng tôi có ký hợp đồng với A70 (Cục Kỹ thuật nghiệp vụ - Tổng cục An ninh) và bên BKAV để rà soát thường xuyên.
Đội ngũ kỹ thuật của ngân hàng cũng có theo dõi và xử lý, kiểm soát tấn công. Thời gian qua chúng tôi đã phát hiện, ngăn chặn được nhiều trường hợp tấn công vào OpenSSL của hệ thống BIDV”.
Vietcombank: Khách hàng nên cẩn trọng khi sử dụng thông tin trên các web giao dịch trực tuyến
Ông Đào Minh Tuấn – Phó tổng giám đốc Ngân hàng TMCP Ngoại thương Việt Nam (Vietcombank) cho biết, ngân hàng đã nhận được cảnh báo từ bộ phận an ninh nội địa Mỹ và cơ quan chức năng của Việt Nam về lỗi này.
"Ngay lập tức Vietcombank đã rà soát, kiểm tra lại hệ thống bảo mật của mình. Sau khi rà soát, tới thời điểm này chúng tôi chưa phát hiện thấy vấn đề gì khả nghi” – ông Tuấn nói.
Phó tổng giám đốc Vietcombank nói thêm, Open SSL chỉ là một giao thức trong hàng chuỗi giao thức bảo mật giao dịch, thanh toán trực tuyến. Đây là giao thức thông thường nhất về sercurity (bảo mật), đối với ngân hàng để đảm bảo an toàn cho các giao dịch trực tuyến thì phải sử dụng nhiều giao thức, lớp bảo mật khác nhau.
Ngân hàng LienVietPostbank vẫn an toàn
Ông Nghiêm Sỹ Thắng, Phó tổng giám đốc NH TMCP Liên Việt (LienVietPostbank) phụ trách lĩnh vực công nghệ thông tin, thẻ và NH điện tử, khẳng định các trang web thanh toán trên toàn hệ thống LienVietPostBank vẫn an toàn, chưa thấy có dấu hiệu bị tấn công, nhưng “chúng tôi sẽ cho rà soát lại một cách kỹ lưỡng nhất, nếu thấy có lỗ hổng sẽ lập tức có khuyến cáo tới khách hàng”.
Phó tổng giám đốc Vietcombank Đào Minh Tuấn nhìn nhận: “Lỗ hổng mới cũng rất nghiêm trọng nên chúng tôi sẽ lập tức cho kiểm tra lại toàn bộ hệ thống hạ tầng mạng để ngăn chặn khả năng hacker tấn công”, ông Tuấn nói, đồng thời khuyến cáo khách hàng nên cẩn trọng khi sử dụng thông tin trên các trang web giao dịch trực tuyến.
Giám đốc Trung tâm công nghệ thông tin của BIDV, ông Nguyễn Xuân Hòa cũng cho biết: “Chúng tôi có ký hợp đồng với A70 (Cục Kỹ thuật nghiệp vụ - Tổng cục An ninh) và bên BKAV để rà soát thường xuyên. Đội ngũ kỹ thuật của NH cũng có theo dõi và xử lý, kiểm soát tấn công. Thời gian qua chúng tôi đã phát hiện, ngăn chặn được nhiều trường hợp tấn công vào OpenSSL của hệ thống BIDV”./.