Cảnh báo: Phát hiện lỗ hổng bảo mật đe dọa thanh toán trực tuyến toàn cầu
29/03/2021 |
Các chuyên gia bảo mật thế giới đã đưa ra khuyến cáo người dùng internet không nên thực hiện giao dịch trực tuyến vào lúc này sau khi một lỗ hổng trong OpenSSL vừa được phát hiện đe dọa các trang web trên toàn thế giới
Các chuyên gia nhận định đây là một trong những lỗi bảo mật nghiêm trọng nhất từng được phát hiện trong vài năm gần đây.Lỗi bảo mật này được đặt tên là “Heartbleed” (tạm dịch: Trái tim rỉ máu) bởi các nhà nghiên cứu thuộc tập đoàn Google và hãng bảo mật Codenomicon (Phần Lan).
Lỗ hổng nằm trong phần mềm OpenSSL, là thư viện mà những website quan trọng thường dùng để mã hóa dữ liệu, như giao dịch ngân hàng, thương mại điện tử hay các dịch vụ e-mail…
Khai thác lỗ hổng OpenSSL, tội phạm mạng có thể chiếm được phiên giao dịch của người dùng để thực hiện chuyển tiền vào tài khoản khác nếu website là dịch vụ ebanking, hay truy cập hộp thư của người dùng nếu là dịch vụ e-mail. Kẻ xấu cũng có thể truy cập vào mạng nội bộ của cơ quan mà không cần tài khoản đăng nhập. Đáng ngại hơn, lỗ này đã tồn tại được khoảng 2 năm.
“Chúng tôi đã thử vào vai tin tặc để kiểm tra khả năng bảo mật của một số dịch vụ trực tuyến của chúng tôi. Chúng tôi đã thâm nhập được vào hệ thống của chính mình từ bên ngoài mà không hề để lại dấu vết gì”, Codenomicon thông báo.
Các chuyên gia bảo mật máy tính cảnh báo thông tin mà Codenomicon đưa ra đồng nghĩa với việc các nạn nhân có thể đã không biết được liệu dữ liệu của họ có bị thâm nhập hay chưa vì lỗi bảo mật này đã tồn tại khoảng 2 năm.
“Nếu một trang web bị lỗi bảo mật, thì tôi có thể biết được các dữ liệu của bạn, chẳng hạn như mật mã, thông tin tài khoản ngân hàng và các thông tin cá nhân, khi bạn gửi chúng cho trang web này”, ông Michael Coates, Giám đốc về bảo mật sản phẩm của Công ty bảo mật Shape Security (Mỹ), lý giải.
Ông Chris Eng, Phó giám đốc phụ trách nghiên cứu của hãng bảo mật phần mềm Veracode, ước tính rằng có đến hàng trăm ngàn trang web và hệ thống máy chủ của các nhà cung cấp dịch vụ email trên toàn thế giới đang cần được “vá” lỗ hổng bảo mật càng sớm càng tốt trong giai đoạn tin tặc sẽ gấp rút tìm cách khai thác Heartbleed sau khi nó được công bố công khai.
Trang tin công nghệ Ars Technica (Mỹ) đã đưa tin cho biết Mark Loman một nhà nghiên cứu bảo mật đang sống tại Hà Lan, tuyên bố đã dùng một công cụ hack tải miễn phí trên mạng internet để lấy dữ liệu từ máy chủ Yahoo Mail.
Một phát ngôn viên của Yahoo thừa nhận dịch vụ email trực tuyến của tập đoàn này dễ bị tấn công, nhưng vị này cũng nói thêm rằng Yahoo đã cho vá lỗi bảo mật trực tuyến.