Ngân hàng Việt Nam an toàn trước "Trái tim rỉ máu"Làm gì để giao dịch trên mạng an toàn trước HeartbleedBéo bở thị trường mua bán lỗ hổng phần mềm

Phóng to

Nhiều chuyên gia an ninh mạng khuyến cáo về nguy cơ bị đánh cắp thông tin cá nhân trong các giao dịch trực tuyến - Ảnh: Thanh Đạm

Những NH không sử dụng phần mềm này cũng cho biết vẫn tổ chức kiểm tra và theo dõi chặt chẽ. Lỗ hổng trong phần mềm OpenSSL, thư viện mà các website quan trọng thường dùng để mã hóa dữ liệu, đang đe dọa các website NH trực tuyến (ebanking), thương mại điện tử hay những dịch vụ email như Yahoo, Google…

Chưa bị ảnh hưởng bởi lỗi bảo mật?

Chiều 10-4, trao đổi với chúng tôi về thông tin khoảng 15 website ebanking của các NH và cổng thanh toán của VN bị các hacker tấn công thông qua lỗ hổng bảo mật OpenSSL Heartbleed, ông Đoàn Thanh Hải, phó cục trưởng Cục Công nghệ tin học NH (NH Nhà nước), cho biết NH Nhà nước vừa yêu cầu các NH thương mại báo cáo nhanh về việc có hay không bị ảnh hưởng bởi lỗi bảo mật OpenSSL Heartbleed, cũng như mức độ thiệt hại khi bị hacker tấn công. NH Nhà nước cũng yêu cầu các NH tập trung rà soát hệ thống kỹ thuật và nâng cấp OpenSSL lên phiên bản mới nhất.

Trong khi đó, hàng loạt NH thương mại đều lên tiếng khẳng định không bị ảnh hưởng bởi lỗ hổng bảo mật của OpenSSL Heartbleed. “Sau khi có thông tin phiên bản OpenSSL bị lỗi, VietinBank đã kiểm tra, sau đó tiếp tục nhờ Công ty CP Bkav kiểm tra một lần nữa nhưng không phát hiện bị hacker tấn công” - ông Trần Công Quỳnh Lân, giám đốc Trung tâm công nghệ thông tin VietinBank, nói.

Phó tổng giám đốc Vietcombank Đào Minh Tuấn cũng khẳng định không phát hiện lỗi bảo mật Heartbleed nhưng vẫn theo dõi chặt chẽ, cử lực lượng trực chiến chứ không thể chủ quan. Tuy nhiên, ông Tuấn cho biết trong ngày 10-4, NH này đã cảnh báo khách hàng lưu ý khi sử dụng dịch vụ trực tuyến, đặc biệt “không truy cập hệ thống NH điện tử thông qua các đường link hay email mà phải vào trực tiếp trang chủ của Vietcombank để không bị dẫn dắt vào các trang web giả mạo khác. Định kỳ khách hàng cũng nên thay đổi mật khẩu để bảo mật thông tin” - ông Tuấn nói.

Ông Nguyễn Thanh Toại, phó tổng giám đốc ACB, cho biết đã kiểm tra và hệ thống giao dịch online của ACB không bị ảnh hưởng do liên tục cập nhật hệ thống tường lửa bảo mật (firewall). Trong ngày 10-4, ACB cũng tiến hành cập nhật OpenSSL lên phiên bản v.1.0.1g nhằm tăng cường bảo mật thông tin giao dịch.

Trong khi đó, nhiều NH khác như Sacombank, TPBank… cho biết không áp dụng công nghệ OpenSSL nên không bị ảnh hưởng bởi lỗi bảo mật Heartbleed, nhưng cũng kiểm tra thường xuyên và theo dõi hệ thống một cách chặt chẽ.

Khuyến cáo với người dùng

Ông Ngô Tuấn Anh, phó chủ tịch phụ trách an ninh mạng Bkav, cho biết: “Lỗ hổng OpenSSL đang ảnh hưởng đến các website trên toàn thế giới, kể cả những trang uy tín như Yahoo hay Flickr. Tất cả các website sử dụng giao thức HTTPS và OpenSSL đều có nguy cơ bị tấn công, đặc biệt nhiều cổng giao dịch trực tuyến, website ebanking tại Việt Nam sử dụng thư viện này”.

Theo các chuyên gia của Trung tâm an ninh mạng Athena, qua lỗ hổng này, người dùng sử dụng các loại thẻ quốc tế như Visa, Master để tiến hành đặt khách sạn, mua các hàng hóa ở nước ngoài… rất dễ bị chiếm đoạt phiên đăng nhập, chiếm quyền điều khiển. Đặc biệt, “nhiều website của các công ty chứng khoán có thể bị tội phạm mạng xâm nhập thay đổi lệnh mua/bán cổ phiếu của các nhà đầu tư. Hay các nhóm khách hàng công ty chứng khoán cho phép giao dịch online với độ xác thực yếu cũng được xếp vào nhóm nguy hiểm và nguy cơ thực hiện các lệnh mua/bán không mong muốn hoàn toàn có thể xảy ra”.

Trước nguy cơ mất thông tin, mất tiền khi tham gia thanh toán trực tuyến này, các chuyên gia an ninh mạng khuyến cáo người dùng nên hạn chế, thậm chí tạm ngưng tiến hành các giao dịch trực tuyến có liên quan đến tài khoản NH nếu không thật sự cần thiết. Theo khuyến cáo của Công ty an ninh mạng Bkav: “Trong vài ba ngày tới, khi các hệ thống còn chưa được vá lỗi đầy đủ, trước khi tiến hành các giao dịch trực tuyến, người dùng cần kiểm tra xem website có lỗ hổng hay không bằng cách truy cập địa chỉ Bkav.com.vn/sslScan. Đối với quản trị viên hệ thống, cần kiểm tra website nếu sử dụng OpenSSL phiên bản từ 1.0.1 đến 1.0.1f và 1.0.2beta1 phải cập nhật ngay lên phiên bản mới nhất 1.0.1g”.

Tuy nhiên theo ông Võ Đỗ Thắng - giám đốc Trung tâm Athena, không phải ai cũng bị, do đó người dùng nên bình tĩnh, không hoang mang. Chẳng hạn, với thẻ quốc tế, người dùng nên cẩn thận khi thực hiện giao dịch online. Một giải pháp nữa là khách hàng nên đăng ký dịch vụ Prepaid (phải có tiền trong thẻ thì mới giao dịch được) của thẻ Visa, Master để kiểm soát được mức chi tiêu. Khi có giao dịch thì nộp tiền vào thẻ và chỉ nộp vừa đủ để thực hiện giao dịch.