Bảo mật web

Xuất hiện lỗ hổng bảo mật web của các ngân hàng Việt Nam

01/08/2014  | 
Khi giới bảo mật web quốc tế xôn xao với thông tin về lỗi Open SSL Heartbleed hồi tháng 4, thì ở Việt Nam, các thiết kế web ngân hàng cũng dính phải lỗ hổng này. Điều này khiến cho các ngân hàng lo lắng và thực hiện gấp việc vá lỗi trên các website.

trai tim ri mau
Lỗ hổng bảo mật web "trái tim rỉ máu"


Đe dọa thanh toán trực tuyến toàn cầu


Hôm 7/4, các nhà nghiên cứu dịch vụ [internet] vừa phát hiện lỗ hổng bảo mật nghiêm trọng trong phần mềm bảo mật web OpenSSL. SSL là công nghệ mã hóa phổ biến, cho phép người dùng bảo vệ dữ liệu mà họ truyền tải qua Internet. Phần lớn [website] mã hóa SSL đều dựa theo gói phần mềm nguồn mở có tên OpenSSL.

Các nhà nghiên cứu đã tìm ra lỗ hổng nghiêm trọng trong phần mềm này khi cho phép công khai liên lạc của người dùng. Đáng chú ý, nó đã tồn tại được khoảng 2 năm. Lỗi bảo mật trên có tên gọi Heart Bleed (Trái tim rỉ máu) nơi mà hacker có thể xâm nhập để ăn cắp thông tin.

Tuy chưa có thống kê cụ thể về số lượng thiết kế web bị ảnh hưởng bởi lỗ hổng thông tin này nhưng các chuyên gia lưu ý 2 máy chủ web phổ biến nhất là Apache và Nginx đang sử dụng OpenSSL. Chỉ riêng hai máy chủ đã đại diện cho khoảng 2/3 website. Ngoài ra, SSL cũng được dùng bởi các phần mềm Internet khác chat hay các dịch vụ email.

Hiện rất nhiều website đang tích cực thực hiện việc vá lỗi này. Bởi theo các chuyên gia khi lỗi này được công bố thì cũng sẽ có nhiều hacker tìm cách lấy dữ liệu hay công khai cách ăn cắp dữ liệu từ chính lỗ hổng này.

lo hong bao mat
Lỗ hổng bảo mật web HearBleed gây ảnh hưởng đến nhiều ngân hàng Việt Nam


Website ngân hàng Việt cũng chịu ảnh hưởng


Ông Võ Đỗ Thắng, Giám đốc Trung tâm đào tạo quản trị mạng & An ninh mạng quốc tế Athena cho biết: tuy nhiều thiết kế website ngân hàng và cổng thanh toán trực tuyến ở Việt Nam bị dính lỗi, những người chỉ dùng tài khoản và thẻ ngân hàng nội địa sẽ ít bị ảnh hưởng.Bởi hiện tại hầu hết giao dịch trực tuyến trong nước thường có thêm bước xác thực qua số điện thoại (OTP) nên dù tin tặc có chiếm được quyền truy cập tài khoản cũng sẽ gặp khó khăn khi không sở hữu được SIM điện thoại của nạn nhân. Tuy vậy những người dùng sở hữu các thẻ thanh toán quốc tế như Visa, Master Card,... không cần xác thực qua số điện thoại thì cũng cần chú ý và hạn chế các giao dịch trực tuyến đến khi có thông tin chính thức từ các ngân hàng.

Sau khi có thông tin về lỗ hổng bảo mật nêu trên nhiều ngân hàng tại Việt Nam cũng đã ngưng phần lớn các cổng thanh toán và ebanking ngân hàng để thực hiện việc vá lỗi.

Trao đổi với Thanh Niên, ông Nghiêm Sỹ Thắng, giám đốc Ngân hàng TMCP Liên Việt (LienVietPostbank) phụ trách lĩnh vực công nghệ thông tin, thẻ và ngân hàng điện tử cho biết: toàn hệ thống website của ngân hàng sẽ lập tức được rà soát vào ngày mai để kiểm tra xem đã bị hacker tấn công hay không.

Phó tổng giám đốc Vietcombank Đào Minh Tuấn cũng nhận định: "OpenSSL đang được sử dụng rất phổ biến. Ngay tại Vietcombank cũng đang sử dụng, nhưng đây chỉ là một trong nhiều giao thức để bảo mật các dịch vụ thanh toán, giao dịch trực tuyến trên mạng. Ông Tuấn cũng có khuyến cáo các khách hàng cũng nên cẩn trọng khi sử dụng các thông tin trên các trang web giao dịch trực tuyến. Nếu phát hiện có sự tấn công, phá hoại của hacker, Vietcombank sẽ xử lý và thông báo tới khách hàng."

Có thể thấy hacker ngày càng thông minh và tinh vi hơn, do vậy mỗi doanh nghiệp cần phải bảo vệ thiết kế web của mình một cách tốt nhất. Hãy xem qua những hướng dẫn bảo mật web của Vivicorp để có thể bảo mật web site an toàn và tốt hơn. 

Like Tạp Chí Web
comments powered by Disqus