Lỗi bảo mật Heartbleed trong OpenSSL đang đe dọa hàng triệu website trên toàn cầu. Sau đây là những thông tin cần biết khi bạn muốn giao dịch trực tuyến, hay lướt web an toàn trước "Heartbleed".
Tránh giao dịch trực tuyến, đăng nhập tài khoản ngân hàng trực tuyến - Ảnh: Hardware.no
Khai thác lỗi Heartbleed, kẻ tấn công có thể "nghe trộm" thông tin liên lạc giữa trình duyệt Web và máy chủ Web, đánh cắp trực tiếp dữ liệu từ các dịch vụ và người dùng, đồng thời có thể mạo danh các dịch vụ và người dùng. |
Lỗi bảo mật Heartbleed (hay "Trái tim rỉ máu") trong OpenSSL tiếp tay tin tặc lần mò vào bộ nhớ máy chủ, nơi lưu trữ những dữ liệu nhạy cảm của người dùng như thông tin cá nhân, tên tài khoản, mật khẩu và có thể bao gồm cả thẻ tín dụng, tài khoản ngân hàng.
Theo Reuters, người phát ngôn Yahoo! xác nhận Yahoo! Mail mắc phải lỗi và có nguy cơ bị tấn công, nhưng công ty đã kịp thời vá lỗi dịch vụ email, đồng thời cho Yahoo! Search, Flickr, Tumblr, Yahoo! Sport...
Theo trang ArsTechnica, công cụ khai thác lỗi Heartbleed tấn công vào các dịch vụ Yahoo! nhằm đánh cắp tài khoản đã xuất hiện trên mạng. Một chuyên viên nghiên cứu bảo mật Mark Loman đã thử nghiệm "rút" dữ liệu thành công từ máy chủ Yahoo! Mail bằng công cụ này.
Ngày 8-4, Bộ An ninh nội địa Mỹ khuyến cáo các doanh nghiệp kiểm tra lại các máy chủ (server) của mình, đặc biệt là máy chủ dùng phần mềm Apache hay Nginx, có đang dùng phiên bản OpenSSL mắc phải lỗi Heartbleed, và nâng cấp lên phiên bản OpenSSL mới nhất để khắc phục. Thông tin trước đó cho thấy phiên bản OpenSSL từ 1.0.1 đến 1.0.1f đều mắc lỗi, cần nâng cấp lên OpenSSL 1.0.1g. Riêng bản 1.0.2 beta cũng dính lỗi phải đợi bản nâng cấp 1.0.2 beta 2 sắp tới.
Đã có hơn 500.000 máy chủ bị ảnh hưởng bởi lỗi (theo Netcraft). Đáng lưu ý, 66% trong tổng số 959 triệu website sử dụng OpenSSL, không chỉ bao gồm dịch vụ email, chat, mà còn nhiều ứng dụng và dịch vụ web khác. Mức độ ảnh hưởng của lỗi rất nghiêm trọng, và phạm vi ảnh hưởng rất lớn. |
Đáng lưu ý, OpenSSL cũng được sử dụng trong các máy chủ email dùng giao thức SMTP, POP và IMAP, hay các server nhắn tin (chat) dùng giao thức SMPP, và hầu hết các mạng riêng ảo (VPN) đều dùng SSL để bảo vệ mạng.
Người dùng mạng cần biết
Các chuyên gia an ninh mạng khuyến cáo người dùng mạng không nên thực hiện bất kỳ giao dịch trực tuyến nào trong giai đoạn hiện tại, đặc biệt là giao dịch tài chính, ngân hàng trực tuyến... vì tin tặc có thể dễ dàng lấy cắp tài khoản, dữ liệu, mật khẩu thông qua lỗi Heartbleed.
Cần lưu ý, thay đổi mật khẩu mới cho tài khoản email hay tài khoản ngân hàng là điều nên tránh lúc này. Vì nó vô dụng, hacker vẫn có thể đánh cắp được mật khẩu mới dễ dàng nếu nhà cung cấp dịch vụ chưa cập nhật kịp thời OpenSSL mới nhất. Chỉ nên thay đổi mật khẩu email và tài khoản ngân hàng sau khi công ty cung cấp dịch vụ đã cập nhật. Ngoài ra, nên áp dụng chế độ bảo mật hai lớp.
Một số khuyến cáo sau bạn nên thực hiện:
+ Không đăng nhập tài khoản từ các website bị ảnh hưởng (xem danh sách 1.000 website lớn trở thành nạn nhân của Heartbleed), cho đến khi website công bố đã khắc phục và cập nhật bản vá. Cả những website lớn như Yahoo! hay Imgur cũng "phơi mình" trước lỗi Heartbleed thì các website nhỏ không phải ngoại lệ. Do đó, đừng ngần ngại tạm ngưng giao dịch trong giai đoạn này.
+ Để kiểm tra tên miền web có bị ảnh hưởng, bạn có thể dùng công cụ từ công ty bảo mật điện toán đám mây Qualys SSL Labs hoặc từ công cụ của Filippo Valsorda http://filippo.io/Heartbleed/.
+ Chú ý đến những dấu hiệu bất thường đối với tài khoản ngân hàng (bảng kê tài chính) nếu đã có sử dụng giao dịch trực tuyến, đăng nhập tài khoản ngân hàng trực tuyến (e-banking).
+ Đừng click vào bất kỳ liên kết (link) nào, hay tập tin đính kèm bên trong các email thông báo về bảo mật liên quan đến Heartbleed.
Trích: tuoitre.vn