Home Công nghệ số Bảo mật Lỗ hổng OpenSSL trong giao dịch trực tuyến

Lỗ hổng OpenSSL trong giao dịch trực tuyến

SHARE
LohongOpenSSL

Sáng ngày 10/04/2014, một số trang tin điện tử đưa tin liên quan đến việc 15 ngân hàng tại Việt Nam bị ảnh hưởng bởi lo ngại lộ thông tin giao dịch online sử dụng Open SSL Heartbleed.

LohongOpenSSL

Vài ngày nay, một lỗ hổng nghiêm trọng trong hệ thống giao dịch trực tuyến toàn cầu đã đặt hàng triệu người dùng vào nguy cơ mất thông tin, mất tiền khi tham gia thanh toán online. Lỗ hổng nằm trong phần mềm OpenSSL, là thư viện mà các website quan trọng thường dùng để mã hóa dữ liệu, như các website ebanking, hay những e-mail như Yahoo, Google… Nhiều cơ quan, doanh nghiệp cũng sử dụng OpenSSL để mã hóa dữ liệu, cho phép nhân viên có thể truy cập vào các ứng dụng nội bộ của cơ quan, làm việc từ xa qua Internet. 

Khai thác lỗ hổng OpenSSL, tội phạm mạng có thể chiếm được phiên giao dịch của người dùng để thực hiện chuyển tiền vào tài khoản khác nếu website là dịch vụ ebanking, truy cập hộp thư của người dùng nếu là dịch vụ email. Chúng cũng có thể truy cập vào mạng nội bộ của cơ quan mà không cần tài khoản đăng nhập. 

Ông Ngô Tuấn Anh, Phó chủ tịch phụ trách Bkav, cho biết: “Lỗ hổng OpenSSL đang ảnh hưởng đến các website trên toàn thế giới, kể cả những trang uy tín như Yahoo hay Flickr. Tất cả các website sử dụng giao thức HTTPS và OpenSSL đều có nguy cơ bị tấn công trong khi nhiều cổng giao dịch trực tuyến, website ebanking tại Việt Nam sử dụng thư viện này”.

Bkav khuyến cáo trong vài ba ngày tới, khi các hệ thống còn chưa được vá lỗi đầy đủ, trước khi tiến hành các giao dịch trực tuyến quan trọng, người dùng cần kiểm tra xem website có lỗ hổng hay không bằng cách truy cập địa chỉ Bkav.com.vn/sslScan. Đối với quản trị viên hệ thống, cần kiểm tra website nếu sử dụng OpenSSL phiên bản từ 1.0.1 đến 1.0.1f và 1.0.2beta1 phải cập nhật ngay lên phiên bản mới nhất 1.0.1g.

Liên quan đến các giao dịch trực tuyến của ACB, ông Nguyễn Thanh Toại, người phát ngôn của ACB, cho biết: ACB đã kiểm tra hệ thống và khẳng định rằng hệ thống giao dịch online của ACB không bị ảnh hưởng, nhờ vào công tác cập nhật liên tục hệ thống tường lửa (firewall). Chủ động hơn, ngay trong ngày, ACB sẽ tiến hành cập nhật OPEN SSL lên phiên bản v.1.0.1g nhằm tăng cường bảo mật thông tin giao dịch.

Đại diện ngân hàng VIETBANK khẳng định, các giao dịch Ngân hàng điện tử tại VIETBANK vẫn , không có dấu hiệu bị tấn công. VIETBANK luôn theo dõi và có những phương thức dự phòng tối ưu nhất cho mọi tình huống xảy ra. Dịch vụ ngân hàng điện tử áp dụng cho đối tượng khách hàng là cá nhân hoặc tổ chức có mở tài khoản tại VIETBANK. Để đảm bảo an toàn cho khách hàng, VIETBANK cung cấp đến khách hàng những phương thức xác thực hiện đại nhất, đảm bảo thông tin của khách hàng được toàn vẹn trong quá trình truyền dẫn thông tin trên Internet.