Phát hiện lỗ hổng bảo mật đe dọa thanh toán trực tuyến toàn cầu

Các chuyên gia bảo mật thế giới đã ra khuyến cáo người dùng internet không nên thực hiện giao dịch trực tuyến vào lúc này sau khi một lỗ hổng trong OpenSSL, giao thức mã hóa rất phổ biến trên mạng Internet, vừa phát hiện đe dọa các trang web trên toàn thế giới, Reuters đưa tin ngày 9.4.

Các chuyên gia bảo mật quốc tế cảnh báo người dùng Internet không nên thực hiện giao dịch trực tuyến vào thời điểm này vì nhiều trang web đang bị lỗi bảo mật

Các chuyên gia nhận định đây là một trong những lỗi bảo mật nghiêm trọng nhất từng được phát hiện trong vài năm gần đây.

Lỗi bảo mật này được đặt tên là “Heartbleed” (tạm dịch: Trái tim rỉ máu) bởi các nhà nghiên cứu thuộc tập đoàn Google và hãng bảo mật Codenomicon (Phần Lan).

Sau khi Heartbleed được phát hiện, Bộ an ninh Nội địa Mỹ vào ngày 9.4 đã phải lên tiếng khuyến cáo các doanh nghiệp trong nước rà soát lại hệ thống máy chủ để kiểm tra xem chúng có bị dính lỗi bảo mật này hay không.

Các chuyên gia cho biết tin tặc có thể lợi dụng Heartbleed để truy cập vào các dữ liệu quan trọng, chẳng hạn như các mật mã lưu trữ trên mạng Internet.

“Chúng tôi đã thử vào vai tin tặc để kiểm tra khả năng bảo mật của một số dịch vụ trực tuyến của chúng tôi. Chúng tôi đã thâm nhập được vào hệ thống của chính mình từ bên ngoài mà không hề để lại dấu vết gì”, Codenomicon thông báo.

Các chuyên gia bảo mật máy tính cảnh báo thông tin mà Codenomicon đưa ra đồng nghĩa với việc các nạn nhân có thể đã không biết được liệu dữ liệu của họ có bị thâm nhập hay chưa vì lỗi bảo mật này đã tồn tại khoảng 2 năm.

“Nếu một trang web bị lỗi bảo mật, thì tôi có thể biết được các dữ liệu của bạn, chẳng hạn như mật mã, thông tin tài khoản ngân hàng và các thông tin cá nhân, khi bạn gửi chúng cho trang web này”, ông Michael Coates, Giám đốc về bảo mật sản phẩm của Công ty bảo mật Shape Security (Mỹ), lý giải.

Ông Chris Eng, Phó giám đốc phụ trách nghiên cứu của hãng bảo mật phần mềm Veracode, ước tính rằng có đến hàng trăm ngàn trang web và hệ thống máy chủ của các nhà cung cấp dịch vụ email trên toàn thế giới đang cần được “vá” lỗ hổng bảo mật càng sớm càng tốt trong giai đoạn tin tặc sẽ gấp rút tìm cách khai thác Heartbleed sau khi nó được công bố công khai.

Trang tin công nghệ Ars Technica (Mỹ) đã đưa tin cho biết Mark Loman một nhà nghiên cứu bảo mật đang sống tại Hà Lan, tuyên bố đã dùng một công cụ hack tải miễn phí trên mạng Internet để lấy dữ liệu từ máy chủ Yahoo Mail.

Một phát ngôn viên của Yahoo thừa nhận dịch vụ email trực tuyến của tập đoàn này dễ bị tấn công, nhưng vị này cũng nói thêm rằng Yahoo đã cho vá lỗi bảo mật trực tuyến.