Cổng thông tin tìm kiếm tiếng Việt “socbay.com” đêm 7/6 vừa qua đã bị tin tặc tấn công chiếm quyền điều khiển tên miền và thay đổi giao diện trang chủ. Hiện website đã chuyển sang hoạt động ở tên miền “socbay.vn”.
Lãnh đạo của Naiscorp – công ty sở hữu socbay.com – xác nhận vụ tấn công diễn ra vào lúc 23 giờ 33 phút ngày 7/6/2009 đồng thời khẳng định ngay sau khi phát hiện vụ tấn công công ty đã xúc tiến ngay các biện pháp để lấy lại tên miền.
Đến đầu giờ chiều hôm nay (9/6) tên miền “socbay.com” vẫn chưa trở lại hoạt động bình thường, người sử dụng phải vào địa chỉ socbay.vn. Khi truy cập socbay.com người dùng vẫn nhận được thông báo lỗi không tìm được trang web. Trước đó trong ngày hôm qua (8/6) có nhiều lúc “socbay.com” còn bị chuyển hướng sang nhiều tên miền lạ như “singerpictures.com”.
Trang socbay.com bị thay đổi giao diện.
Một thành viên của Diễn đàn tin học (ddth.com) cho biết nếu “socbay.com” được mua trực tuyến và chưa có hợp đồng cụ thể với nhà cung cấp dịch vụ nước ngoài thì nguy cơ bị mất tên miền là khá lớn. Tên miền chỉ có thể được lấy lại trong trường hợp tìm ra thủ phạm.
Cùng lúc đó ông Nguyễn Xuân Tài – Tổng Giám đốc Naiscorp – đã lên tiếng khẳng định công ty có đủ bằng chứng pháp lý cần thiết để lấy lại tên miền.
Chưa thể trở lại hoạt động bình thường.
Ảnh chụp màn hình lúc 16 giờ 40 phút ngày 9/6
Nguyên nhân bị hack
Hầu như tất cả mọi nguồn thông tin tính đến thời điểm này đều khẳng định việc mất quyền kiểm soát “socbay.com” bắt nguồn từ việc Naiscorp mất tài khoản hòm thư điện tử Gmail quản lý tên miền này.
Không chỉ đối với dịch vụ tên miền và nhiều dịch vụ thương mại điện tử hiện nay đều yêu cầu khách hàng phải có một địa chỉ email xác thực để quản lý tài khoản. Nói cách khách email giống như một mã số bí mật chứng thực bảo mật cho người dùng trong mọi trường hợp giao dịch.
Bị chuyển hướng sang website khác.
Trong trường hợp của “socbay.com” sau khi đoạt được email quản lý, tin tặc đã dùng chính email này để thay đổi mật khẩu tài khoản quản trị tên miền. Từ đó chúng sẽ xâm nhập thay đổi các thông tin cần thiết của tên miền, phá hoại trang web, thay đổi giao diện…
Vấn đề được quan tâm nhất hiện nay là làm thế nào mà tin tặc có thể lấy được tài khoản Gmail quản trị tên miền “socbay.com” từ phía Naiscorp để thực hiện hành vi tấn công.
Phía Naiscrop cho biết tin tặc đã lợi dụng tính năng lấy lại mật khẩu (password recovery) của Gmail để đánh cắp mật khẩu tài khoản email quản trị tên miền. Một lãnh đạo công ty cho biết tính năng lấy lại mật khẩu của Gmail tương đối sơ hở có thể cho phép người dùng lấy lại mật khẩu mà không cần phải trả lời câu hỏi bí mật.
Một thành viên của “socbay.com” cho biết công ty cũng sử dụng chính chức năng lấy lại mật khẩu của Gmail để khôi phục quyền kiểm soát email từ tay tin tặc. Sau đó công ty còn nhận được 4 thư thông báo có người muốn thay đổi mật khẩu tài khoản Gmail quản trị tên miền.
Liệu có phải Gmail lỏng lẻo?
Trong đó rất nhiều thành viên của cộng đồng Diễn đàn tin học tỏ ra băn khoăn về khả năng mất mật khẩu thông qua tính năng “password recovery” của Gmail mà không cần có câu trả lời câu hỏi bí mật tài khoản.
Phải có câu hỏi bí mật.
Chính sách lấy lại mật khẩu của Gmail cũng nêu rất rõ người dùng phải trả lời thành công một câu hỏi bí mật chung “What was your first teacher's name?” thì mới lấy được mật khẩu và phải có một địa chỉ email dự phòng (secondary email) để tiến hành thay đổi hoặc phải điền đầy đủ vào mẫu cung cấp thông tin và chấp nhận cho phép Google ghi lại địa chỉ IP để đối chiếu với thông tin mà hãng này có trước khi có thể khôi phục mật khẩu.
Không sẽ phải cung cấp bằng này thông tin và địa chỉ IP.
Thậm chí có thành viên Diễn đàn tin học khẳng định nếu như chuyện lấy lại mật khẩu Gmail dễ dàng như phía Naiscorp công bố thì việc người dùng Gmail bị mất tài khoản sẽ diễn ra rất thường xuyên bởi cũng chỉ cần thực hiện tìm kiếm trên Google bất kỳ ai cũng có thể tìm được rất nhiều địa chỉ Gmail.
Nếu vậy thì chắc chắn Google cũng sẽ phải biết đến và sẽ phải có giải pháp tăng cường bảo vệ người dùng chứ không bỏ ngỏ. Chắc chắn Google không thể làm ngơ để hàng triệu người dùng Gmail phải đối mặt với nguy cơ mất tài khoản được.
Một giả thuyết khác được đặt ra đó là nguyên nhân mất mật khẩu tài khoản Gmail có thể bắt nguồn từ phía chính người dùng. Một thành viên của HVA online cho rằng có khả năng PC bị lây nhiễm keylogger – dạng mã độc ghi lại mọi thao tác trên bàn phím của người dùng và gửi về cho tin tặc.
Gmail có lỗi bảo mật
Một số thành viên khác của Diễn đàn tin học và HVA online cho rằng một khả năng bị mất mật khẩu Gmail nữa là tin tặc khai thác lỗi bảo mật của Gmail. Nhận định này dựa trên cơ sở một lỗi bảo mật nguy hiểm của Gmail mới được công bố rộng rãi hồi tháng 3 vừa qua.
Cụ thể lỗi này được chuyên gia nghiên cứu bảo mật Vicente Aguilera Diaz của ISecAuditors phát hiện hồi tháng 7/2007 và Google cũng đã biết đến lỗi này một tháng sau đó. Đến ngày 5/3/2009 thì được tiết lộ rộng rãi.
ISecAuditors cho biết nếu khai thác thành công lỗi này tin tặc hoàn toàn có thể thay đổi mật khẩu tài khoản Gmail của người dùng hoặc thậm chí có thể tấn công từ chối dịch vụ hoặc truy cập tài khoản Gmail của nhiều người dùng khác. Hiện mã khai thác lỗi cũng đã được cho công bố.
Để khai thác được lỗi này tin tặc sử dụng phương pháp tấn công CSRF (cross-site request forgery) tấn công trực tiếp vào tính năng thay đổi mật khẩu (change password) của Gmail. CSRF là kiểu tấn công dựa vào lỗi bảo mật chứng thực cookie phiên làm việc của người dùng – những thông tin thường được trao đổi liên tục giữa trình duyệt và máy chủ.
IsecAuditors cho biết để khai thác lỗi này tin tặc cần tạo ra một trang web độc hại chấp nhận yêu cầu “thay đổi mật khẩu” từ Gmail và gửi đến cho người dùng. Nếu người dùng truy cập và đăng nhập thì ngay lập tức tin tặc sẽ có được mật khẩu của họ.
Người phát ngôn của Google thì cho rằng lỗi này “không đáng lưu tâm” bởi để khai thác thành công thì tin tặc cần phải đoán được mật khẩu của người dùng trong một khoảng thời gian mà họ truy cập vào trang web độc hại của chúng.
Giới bảo mật thì cho rằng đó là chuyện dễ dàng bởi hiện có rất nhiều công cụ tấn công tự động có thể giúp tin tặc kiểm tra hàng nghìn mật khẩu trong mỗi giây đồng hồ. Ngoài ra còn có rất nhiều người dùng sử dụng những mật khẩu đơn giản nên càng dễ dàng cho tin tặc hơn.
Độc giả quan tâm có thể tham khảo thêm thông tin về lỗi Gmail tại đây hoặc tại đây.
Cảnh báo doanh nghiệp
Sự cố “socbay.com” bị mất tên miền lần này cộng với một số sự cố tương tự trong thời gian gần đây có thể nói là lời cảnh báo đến toàn bộ các doanh nghiệp cần phải tăng cường hơn nữa công tác bảo mật, nhất là trong điều kiện khủng hoảng kinh tế như hiện nay – thời điểm được dự báo là sẽ có sự bùng nổ hoạt động của tội phạm mạng.
Bài học nữa rút ra từ sự việc trên đây là các doanh nghiệp cần phải quản lý tốt hơn tên miền của mình, đặc biệt là các thông tin quan trọng được sử dụng để quản lý tên miền như địa chỉ email, tên thông tin công ty… Đồng thời khi tiến hành mua tên miền từ phía các đối tác nước ngoài cũng cần phải có chứng thực đầy đủ nhằm giúp cho quá trình lấy lại tên miền đơn giản và nhanh chóng hơn khi xảy ra sự cố.