Ngân hàng Việt Nam an toàn trước "Trái tim rỉ máu"Làm gì để giao dịch trên mạng an toàn trước HeartbleedBéo bở thị trường mua bán lỗ hổng phần mềm
Phóng to |
Nhiều chuyên gia an ninh mạng khuyến cáo về nguy cơ bị đánh cắp thông tin cá nhân trong các giao dịch trực tuyến - Ảnh: Thanh Đạm |
Những NH không sử dụng phần mềm này cũng cho biết vẫn tổ chức kiểm tra và theo dõi chặt chẽ. Lỗ hổng trong phần mềm OpenSSL, thư viện mà các website quan trọng thường dùng để mã hóa dữ liệu, đang đe dọa các website NH trực tuyến (ebanking), thương mại điện tử hay những dịch vụ email như Yahoo, Google…
Chưa bị ảnh hưởng bởi lỗi bảo mật?
Ngân hàng trong nước đã khắc phục lỗ hổng Tối 10-4, NH Nhà nước ra thông cáo cho biết sau khi nhận được thông tin các website ebanking bị tấn công thông qua lỗ hổng bảo mật bởi OpenSSL Heartbleed, các NH thương mại đã triển khai ngay việc rà soát và cập nhật phiên bản OpenSSL mới. Đến thời điểm hiện nay, việc rà soát và khắc phục lỗ hổng OpenSSL của các NH đã hoàn tất, và các hệ thống thông tin của ngành NH vẫn hoạt động bình thường. Do đó, khách hàng có thể yên tâm sử dụng các dịch vụ NH. Tuy nhiên, NH Nhà nước cũng khuyến cáo khách hàng thực hiện đúng quy định của NH về việc quản lý, thay đổi mã khóa giao dịch và sử dụng các dịch vụ kiểm soát giao dịch, số dư tài khoản để giám sát tài khoản của mình và phản hồi ngay cho NH đối với các thông báo về các giao dịch không phải do mình thực hiện. |
Chiều 10-4, trao đổi với chúng tôi về thông tin khoảng 15 website ebanking của các NH và cổng thanh toán của VN bị các hacker tấn công thông qua lỗ hổng bảo mật OpenSSL Heartbleed, ông Đoàn Thanh Hải, phó cục trưởng Cục Công nghệ tin học NH (NH Nhà nước), cho biết NH Nhà nước vừa yêu cầu các NH thương mại báo cáo nhanh về việc có hay không bị ảnh hưởng bởi lỗi bảo mật OpenSSL Heartbleed, cũng như mức độ thiệt hại khi bị hacker tấn công. NH Nhà nước cũng yêu cầu các NH tập trung rà soát hệ thống kỹ thuật và nâng cấp OpenSSL lên phiên bản mới nhất.
Trong khi đó, hàng loạt NH thương mại đều lên tiếng khẳng định không bị ảnh hưởng bởi lỗ hổng bảo mật của OpenSSL Heartbleed. “Sau khi có thông tin phiên bản OpenSSL bị lỗi, VietinBank đã kiểm tra, sau đó tiếp tục nhờ Công ty CP Bkav kiểm tra một lần nữa nhưng không phát hiện bị hacker tấn công” - ông Trần Công Quỳnh Lân, giám đốc Trung tâm công nghệ thông tin VietinBank, nói.
Phó tổng giám đốc Vietcombank Đào Minh Tuấn cũng khẳng định không phát hiện lỗi bảo mật Heartbleed nhưng vẫn theo dõi chặt chẽ, cử lực lượng trực chiến chứ không thể chủ quan. Tuy nhiên, ông Tuấn cho biết trong ngày 10-4, NH này đã cảnh báo khách hàng lưu ý khi sử dụng dịch vụ trực tuyến, đặc biệt “không truy cập hệ thống NH điện tử thông qua các đường link hay email mà phải vào trực tiếp trang chủ của Vietcombank để không bị dẫn dắt vào các trang web giả mạo khác. Định kỳ khách hàng cũng nên thay đổi mật khẩu để bảo mật thông tin” - ông Tuấn nói.
Ông Nguyễn Thanh Toại, phó tổng giám đốc ACB, cho biết đã kiểm tra và hệ thống giao dịch online của ACB không bị ảnh hưởng do liên tục cập nhật hệ thống tường lửa bảo mật (firewall). Trong ngày 10-4, ACB cũng tiến hành cập nhật OpenSSL lên phiên bản v.1.0.1g nhằm tăng cường bảo mật thông tin giao dịch.
Trong khi đó, nhiều NH khác như Sacombank, TPBank… cho biết không áp dụng công nghệ OpenSSL nên không bị ảnh hưởng bởi lỗi bảo mật Heartbleed, nhưng cũng kiểm tra thường xuyên và theo dõi hệ thống một cách chặt chẽ.
Khuyến cáo với người dùng
Ông Ngô Tuấn Anh, phó chủ tịch phụ trách an ninh mạng Bkav, cho biết: “Lỗ hổng OpenSSL đang ảnh hưởng đến các website trên toàn thế giới, kể cả những trang uy tín như Yahoo hay Flickr. Tất cả các website sử dụng giao thức HTTPS và OpenSSL đều có nguy cơ bị tấn công, đặc biệt nhiều cổng giao dịch trực tuyến, website ebanking tại Việt Nam sử dụng thư viện này”.
Theo các chuyên gia của Trung tâm an ninh mạng Athena, qua lỗ hổng này, người dùng sử dụng các loại thẻ quốc tế như Visa, Master để tiến hành đặt khách sạn, mua các hàng hóa ở nước ngoài… rất dễ bị chiếm đoạt phiên đăng nhập, chiếm quyền điều khiển. Đặc biệt, “nhiều website của các công ty chứng khoán có thể bị tội phạm mạng xâm nhập thay đổi lệnh mua/bán cổ phiếu của các nhà đầu tư. Hay các nhóm khách hàng công ty chứng khoán cho phép giao dịch online với độ xác thực yếu cũng được xếp vào nhóm nguy hiểm và nguy cơ thực hiện các lệnh mua/bán không mong muốn hoàn toàn có thể xảy ra”.
Trước nguy cơ mất thông tin, mất tiền khi tham gia thanh toán trực tuyến này, các chuyên gia an ninh mạng khuyến cáo người dùng nên hạn chế, thậm chí tạm ngưng tiến hành các giao dịch trực tuyến có liên quan đến tài khoản NH nếu không thật sự cần thiết. Theo khuyến cáo của Công ty an ninh mạng Bkav: “Trong vài ba ngày tới, khi các hệ thống còn chưa được vá lỗi đầy đủ, trước khi tiến hành các giao dịch trực tuyến, người dùng cần kiểm tra xem website có lỗ hổng hay không bằng cách truy cập địa chỉ Bkav.com.vn/sslScan. Đối với quản trị viên hệ thống, cần kiểm tra website nếu sử dụng OpenSSL phiên bản từ 1.0.1 đến 1.0.1f và 1.0.2beta1 phải cập nhật ngay lên phiên bản mới nhất 1.0.1g”.
Tuy nhiên theo ông Võ Đỗ Thắng - giám đốc Trung tâm Athena, không phải ai cũng bị, do đó người dùng nên bình tĩnh, không hoang mang. Chẳng hạn, với thẻ quốc tế, người dùng nên cẩn thận khi thực hiện giao dịch online. Một giải pháp nữa là khách hàng nên đăng ký dịch vụ Prepaid (phải có tiền trong thẻ thì mới giao dịch được) của thẻ Visa, Master để kiểm soát được mức chi tiêu. Khi có giao dịch thì nộp tiền vào thẻ và chỉ nộp vừa đủ để thực hiện giao dịch.
Hơn 500.000 máy chủ và 600 triệu website có nguy cơ bị khai thác lỗ hổng Theo các chuyên gia an ninh mạng, lỗ hổng này nằm trong quá trình xử lý TLS Heartbeat extension của phần mềm OpenSSL, được đặt tên là Heartbleed (tạm dịch: trái tim rỉ máu) để hình tượng hóa việc các thông tin bảo mật có thể bị đánh cắp dễ dàng. Theo thông tin từ các trang công nghệ thế giới, “trái tim rỉ máu” đang ảnh hưởng trực tiếp đến mạng Internet toàn cầu. Cụ thể hiện có khoảng 500.000 máy chủ và hơn 600 triệu website sử dụng OpenSSL có nguy cơ bị khai thác lỗ hổng. |
Tối đa: 1500 ký tự
Hiện chưa có bình luận nào, hãy là người đầu tiên bình luận