Bảo mật chứng khoán làm "kinh hãi"...hacker

Hiện trạng bảo mật của các website CK VN có thực sự nghiêm trọng như báo chí đã đăng?

Tôi là một nhà đầu tư chứng khoán cũng là một chuyên gia về bảo mật thông tin. Dân trong nghề ai cũng nhớ dạo trước có một trang web đố vui trúng thưởng mà người thường thì không cách nào có cơ hội trúng thưởng vì thực tế hacker đã tấn công trực tiếp vào cơ sở dữ liệu lưu thông tin của các trò chơi này. Ông nào cũng cố gắng đẩy mình lên đầu bảng, đấu đá bằng kỹ thuật hacking. Rốt cục giải thưởng đều rơi hết vào tay những gương mặt "đen".

Tuy nhiên, đó chỉ là vài ba giải thưởng lặt vặt chưa tới 1 triệu đồng không đáng, nhưng chuyện chứng khoán này có giá trị hàng chục tỉ đồng và dĩ nhiên là không ai muốn mạo hiểm theo cách đó. Vậy là, theo thói quen "nghề nghiệp", tôi bắt đầu kiểm tra thử xem nơi mình gửi tài sản vào có an toàn không.

Đầu tiên 2 công ty CK "đại gia": là Sàn Giao dịch CK TP HCM www.vse.org.vn, và Sàn giao dịch Hà Nội www.hastc.org.vn.

VSE (www.vse.org.vn) có vài điểm yếu nhỏ nhưng không sao, còn HASTC thì mới đụng vào đã có bug rồi: SQL injection mà có Error 500 thì ngay cả một hacker "non tay" cũng có thể tận dụng được.

Tôi nhanh chóng cố định table chứa user/pass quản trị website và list ra được thế này:

nguyennghia:r31s28t29u30614t29r31

Ng Manh Dung:n31k28012o28q30614r31

hoang:~46Y63U63i30614r31a14412

thanhbinh:q30u30r31t29t29614r31t29

BSToan:d13e14f15

Thai Ly:p29H46t29614g28h29012

NhuNX:d13e14f15

tuannm:h29i30614r31r31q30

Thử cho user: NhuNX password là 123. Login vào: http://www.hastc.org.vn/admin/admin.asp.

Và thật ngạc nhiên là tài khoản này lại chấp nhận password và hoạt động một cách dễ dàng. Mở ra trước mắt tôi là toàn bộ những công cụ cần thiết cho một người quản lý hệ thống: Từ tạo tin bài mới, quản lý tin bài, quản lý thành viên đến quản lý bảng điện tử, tổ chức đăng ký giao dịch...

Thế là ta có thể thay đổi nội dung trang website này rồi.

Không mất công như HASTC, trang web của công ty CK, Ngân hàng Đầu tư và Phát triển lại mắc một lỗi bảo mật hết sức...ngô nghê.

Thử vào http://www1.bsc.com.vn:8080/names.nsf, tôi không thể tưởng tượng nổi khi mà user/pass của tài khoản đăng nhập lại "phơi bày" ngay trên trang web.

Để tăng cường dịch vụ khách hàng và triển khai một số dịch vụ trực tuyến tư vấn dành cho 05 đối tượng khách hàng khác nhau, BSC áp dụng chế độ kiểm tra tên truy cập và mật khẩu để phân loại khách hàng như sau:

- Level1: Khách hàng thông thường chỉ đọc và xem tin.

- Level2: Khách hàng loại 1 ( Vốn < 0.5 tỷ ; sử dụng Internet Trading )

- Level3: Khách hàng loại 2 ( Vốn > 0.5 tỷ ; sử dụng Internet Trading )

- Level4: Đại lý trong nước và nước ngoài

- Level5: Các quỹ, tổ chức và tổng công ty có ký hợp đồng với BSC.

Hiện nay đang trong quá trình triển khai và nâng cấp, BSC chỉ cung cấp tạm thời cho đối tượng là Level1

Ghi chú

+ Tên và mật khẩu cho người dùng cấp 1 :

Tên truy cập = BSCLevel1

Mật khẩu = bsc1

Cũng may là trong quá trình triển khai nên không có khách hàng nào vốn > 0.5 tỉ hết;

Thử login vào bằng tài khoản: BSCLevel1/bsc1, tôi đã truy cập được vào toàn bộ cơ sở dữ liệu config của Domino server. Nhanh chóng, tôi tìm kiếm các file id - file dùng để đăng nhập vào Domino server. Người quản trị Domino phải lưu ý delete những file này vì dùng những file này hacker có thể xâm nhập vào hệ thống qua Notes client. Tất nhiên những file này thường được có password nhưng bạn dùng chương trình passware có thế crack được và sau khi crack được password thì có thể quản lý được nội dung của site bsc rồi.

Nhưng chưa hết, BCS còn có 1 ứng dụng chứng khoán ảo (hình như đã dẹp từ lâu mà vẫn còn để đó). Lại vẫn là lỗi truy vấn SQL injection, để từ đó có thể tìm ra được danh sách khách hàng, và các thông tin giao dịch.

Khá thất vọng về bảo mật của những "Đại gia" CK trên, tôi tìm đến website của SSC, ủy ban Chứng Khoán Nhà nước hòng tìm được chút hy vọng và niềm tin cuối cùng vào công tác bảo mật của cơ quan CK đầu ngành này.

Tuy nhiên, mọi hy vọng đã bị phụt tắt khi cuối cùng, sau một thời gian kiểm tra, tôi cũng đã "list" ra được tất cả các table có trên database của SSC, trong đó đặc biệt quan trọng là table USER. Chịu khó khai thác một chút là có thể từ đây quản trị được cả site này. Thiết nghĩ, SSC lời nói ngàn vàng, chỉ 1 động tĩnh nhỏ cũng có thể làm chao đảo thị trường CK như chơi mà bảo mật kiểu này thì khác gì để ngỏ cho hacker...lũng đoạn?

Trong quy trình giao dịch CK, đâu là khâu dễ bị tấn công nhất?

Công ty CK vẫn là khâu trọng yếu khi đây là nơi nhận lệnh, nhập lệnh và chuyển lệnh của các nhà đầu tư. Điều gì sẽ xảy ra nếu như hệ thống thông tin của công ty CK bị tấn công, đột nhập cơ sở dữ liệu. Với những lỗ hổng bảo mật của các "đại gia" CK như vừa kể ra trên đây, việc hacker xâm nhập vào, nắm bắt và thay đổi được thông tin của các công ty niêm yết, các nhà đầu tư hay chỉnh sửa nội dung cổng thông tin của Công ty CK để tung ra các tin đồn thất thiệt gây nguy hại đến thị trường là những việc hòan tòan có thể làm được.

Liệu hacker có thể can thiệp vào việc đặt lệnh mua và bán của các nhà đầu tư?

ở VN hiện nay, việc đặt lệnh online chưa phổ biến với các công ty CK, duy nhất đến thời điểm hiện giờ chỉ có "đại gia" VCBS, công ty CK Ngân hàng Ngoại thương VN, tiến hành phương thức giao dịch trực tuyến qua website: www.vcbs.com.vn.

Thực tế, khi có lỗ hổng, hacker cũng sẽ không quá khó khăn trong việc khai thác, xâm nhập vào dữ liệu lệnh giao dịch CK và kết quả giao dịch. Từ đây, hacker hoàn toàn có thể đặt lệnh giao dịch CK giả hoặc thay đổi dữ liệu giao dịch.

Với những trường hợp máy tính của công ty CK bị tấn công, hacker có thể dùng máy tính đó nhập lệnh giả vào sàn giao dịch gây náo loạn thị trường.

Đây quả thực không phải là dự đoán cho một nguy cơ quá xa vời khi thực tế thị trường CK thế giới đã là một bằng chứng "nhãn tiền" cho điều này. Mới đây, ủy ban CK Mỹ SEC đã phong tỏa một loạt tài khoản với tổng giá trị lên đến 732.941 USD, được nghi ngờ là bắt nguồn từ những giao dịch phạm pháp của các hacker nước ngoài. Theo đó, hacker đã tấn công vào cơ sở dữ liệu của 7 công ty môi giới chứng khoán online, ăn cắp tên và mật khẩu một số tài khoản chứng khoán.

Từ đó, hacker đặt lệnh bán toàn bộ những cổ phiếu blue-chip trong danh mục đầu tư của những tài khoản bị tấn công này rồi quay ra ngoài sàn, đặt lệnh thật , mua lại những cổ phiếu này với giá thấp. Chưa hết, cũng từ những tài khoản bị hack, chúng đặt lệnh mua vào những cổ phiếu giá rẻ với khối lượng lớn, tạo cầu ảo, định hướng sai lệch thị trường và trục lợi.

Tóm lại, việc tấn công vào cơ sở dữ liệu của hệ thống chứng khoán Việt Nam hiện tại không khó. Thử tưởng tượng xem điều gì sẽ xảy ra nếu có 1 đại gia hay 1 qũy đầu tư có vốn kết hợp với một hacker khôn ngoan là có trục lợi từ việc nắm bắt thông tin mua bán của các nhà đầu tư, thay đổi kết quả giao dịch, phát lệnh mua bán giả, .vv. Hay cao tay hơn thì cài cửa sau (backdoor) vào các hệ thống để chờ lúc các công ty chứng khoán được nhập lệnh trực tiếp lên sàn thì ra tay?

Nhẹ nhàng hơn, nếu hacker là một chú học trò thích "quậy" , xóa sạch dữ liệu 1 ngày thì thiệt hại do ngưng trệ giao dịch có thể lên tới hàng tỉ đồng.

TTCK rất cần sự công bằng mà một trong khía cạnh của nó là phải bảo đảm an toàn thông tin cho tất cả các nhà đầu tư để chắc chắn rằng không một ai có thể dùng mưu mẹo bằng kỹ thuật có thể chiếm ưu thế hơn tất cả những nhà đầu tư khác.

Thủ tướng Chính phủ mới đây yêu cầu nâng cấp cơ sở hạ tầng cho TTCK - trong đó tất nhiên có cả hạ tầng thông tin. Thiết nghĩ, điều này phải đi đôi với việc nâng cấp về bảo mật thông tin. Nếu không, dù là một hacker, có lẽ thà nhập số liệu bằng tay, nhà đầu tư chân chính mới cảm thấy an toàn.

Mộc Lan