Hacker có thể đánh cắp được thông tin, có thể rút tiền khỏi tài khoản vì lỗi OpenSSL Heart Bleed

Trước lỗi bảo mật nghiêm trọng trên giao thức bảo mật SSL của Internet có tên OpenSSL Heart Bleed, có khả năng đe dọa hàng triệu tài khoản giao dịch trực tuyến qua các cổng thanh toán và website ngân hàng, một số chuyên gia bảo mật trong nước đã khuyến cáo người dùng nên tạm ngưng các giao dịch trực tuyến.

Ngày 7/4, trên một diễn đàn bảo mật uy tín của Mỹ, một kỹ sư đã công bố phát hiện ra lỗi nghiêm trọng OpenSSL Heart Bleed. Ngay hôm sau, 8/4, các chuyên gia trên thế giới đã xác nhận sự tồn tại của lỗ hổng trên. 

SSL là tiêu chuẩn an ninh công nghệ toàn cầu tạo ra một liên kết được mã hóa giữa máy chủ web và trình duyệt, đảm bảo tất cả các dữ liệu trao đổi giữa máy chủ web và trình duyệt luôn được bảo mật và an toàn. Đây là một chuẩn được sử dụng cho hàng triệu trang web trong việc bảo vệ các giao dịch trực tuyến. 

Ngay sau khi lỗi OpenSSL Heart Bleed được công bố, rất nhiều đoạn mã khai thác được tin tặc viết ra để khai thác lỗi này. Đã có rất nhiều phương thức khai thác thành công được đưa lên Internet vào chiều 8/4.

Trả lời báo chí, anh Nguyễn Hồng Phúc, chuyên gia diễn đàn an ninh mạng HVAOnline.net cho biết, khi chạy các đoạn mã khai thác trên, hacker có thể truy cập được vào máy chủ và đọc được dữ liệu nhạy cảm đang lưu đệm trên bộ nhớ của máy chủ.

Khi người dùng bấm nút thanh toán trực tuyến, dữ liệu nhạy cảm như thông tin thẻ, thông tin đăng nhập từ trình duyệt gửi lên thông qua kết nối mã hóa sẽ được máy chủ giải mã và lưu vào bộ nhớ đệm của máy chủ, và thông qua lỗi thì hacker sẽ đọc được các dữ liệu nhạy cảm này. 

Nhờ đó, hacker có thể đánh cắp được thông tin, có thể rút tiền khỏi tài khoản cũng như tận dụng những cơ sở dữ liệu cá nhân của người dùng phục vụ mục đích khai thác sau này.

Trong khi đó, trong thông cáo phát đi sáng nay của công ty an ninh mạng Bkav, ông Ngô Tuấn Anh, Phó chủ tịch Bkav cho biết, lỗ hổng nằm trong phần mềm OpenSSL là thư viện mà các website quan trọng thường dùng để mã hóa dữ liệu, như các website ebanking, thương mại điện tử hay những dịch vụ e-mail như Yahoo, Google…

Nhiều cơ quan doanh nghiệp cũng sử dụng OpenSSL để mã hóa dữ liệu, cho phép nhân viên có thể truy cập vào các ứng dụng nội bộ của cơ quan, làm việc từ xa qua Internet. 

Theo ông Tuấn Anh, khai thác lỗ hổng OpenSSL, tội phạm mạng có thể chiếm được phiên giao dịch của người dùng để thực hiện chuyển tiền vào tài khoản khác nếu website là dịch vụ ngân hàng điện tử, truy cập hộp thư của người dùng nếu là dịch vụ e-mail. Tội phạm mạng cũng có thể truy cập vào mạng nội bộ của cơ quan mà không cần tài khoản đăng nhập. 

“Lỗ hổng OpenSSL đang ảnh hưởng đến các website trên toàn thế giới, kể cả những trang uy tín như Yahoo hay Flickr. Tất cả các website sử dụng giao thức HTTPS và OpenSSL đều có nguy cơ bị tấn công trong khi nhiều cổng giao dịch trực tuyến, website e-banking tại Việt Nam sử dụng thư viện này”, ông Tuấn Anh cho biết.

Theo anh Nguyễn Hồng Phúc, mối nguy hiểm là người dùng không hề biết dữ liệu của họ bị đánh cắp và quản trị của các website cũng không thấy có dấu vết bị xâm nhập. Vì thế, anh Phúc khuyến cáo người dùng cần tạm dừng các hoạt động giao dịch trực tuyến cho tới khi các ngân hàng, cổng thanh toán ra thông báo chính thức khẳng định website của họ an toàn.

Với lỗ hổng nghiệm trọng này, các chuyên gia bảo mật cho rằng, quản trị của các tổ chức ngân hàng, cổng thanh toán, trang web an ninh cao, cần kiểm tra ngay các máy chủ của tổ chức mình có khả năng bị lỗi này hay không để tìm cách ứng phó kịp thời.

“Những ngày tới, khi các hệ thống còn chưa được vá lỗi đầy đủ, trước khi tiến hành các giao dịch trực tuyến quan trọng, người dùng cần kiểm tra xem website có lỗ hổng hay không. Riêng đối với quản trị viên hệ thống, cần kiểm tra website nếu sử dụng OpenSSL phiên bản từ 1.0.1 đến 1.0.1f và 1.0.2beta1 phải cập nhật ngay lên phiên bản mới nhất 1.0.1g”, ông Ngô Tuấn Anh cũng khuyến cáo.