Quay cuồng vì “Trái tim rỉ máu”

Tối thứ Hai, 7/4/2014, khi đang thử nghiệm một số tính năng bảo mật cho sản phẩm, các kỹ sư của công ty bảo mật Codenomicon (Phần Lan) phát hiện ra một lỗ hổng Internet cực kỳ nghiêm trọng. Lỗ hổng này nằm trong thư viện mã hóa OpenSSL, được dùng trong rất nhiều trang web trên thế giới. Thông qua lỗ hổng, kẻ đột nhập có thể lấy được các thông tin nhạy cảm của người dùng như số thẻ tín dụng, mật khẩu… Công ty Codenomicon ngay lập tức vá lỗ hổng và thông báo đến các công ty khác. Họ đặt tên cho lỗ hổng này là Heartbleed (Trái tim rỉ máu) và mua tên miền Heartbleed.com để cập nhật thông tin.

Giải thích một cách khái quát về lỗi bảo mật này như sau: Khi bạn nhập tài khoản và mật khẩu để đăng nhập vào một website nào đó (Facebook, Google, hoặc thanh toán trực tuyến qua mạng), những thông tin này được giải mã thông qua giao thức OpenSSL để đến với server của trang web. Nơi nhận thông tin (ngân hàng, máy chủ của Google, Facebook…) sẽ biết bạn có đúng là bạn hay không để chấp nhận giao dịch thông qua kết quả của OpenSSL trả về chứ không hề biết mật khẩu của bạn. Trong lúc xử lý, OpenSSL đặt các thông tin này (tài khoản, mật khẩu) vào bộ nhớ đệm (RAM). Qua lỗ hổng bảo mật tin tặc có thể lấy được tài khoản cùng mật khẩu của bạn tại đây!

Ngay khi được thông báo, các website có sử dụng giao thức OpenSSL này lập tức vá lỗi. Tuy nhiên, việc này mất nhiều thời gian, đồng thời sửa lỗi xong còn phải khởi động lại hệ thống. Điều kinh khủng là đa số các trang web lớn đều bị lỗi Trái tim rỉ máu. CNET đã thử kiểm tra và phát hiện các trang web sau đây dính lỗi: Google.com, Facebook.com, Yahoo.com, Wikipedia.com, Youtube.com… Toàn là những trang web được nhiều người sử dụng!

Sự việc nghiêm trọng đến mức Bộ an ninh Nội địa Mỹ vào ngày 9.4 đã phải lên tiếng khuyến cáo các doanh nghiệp trong nước rà soát lại hệ thống máy chủ để kiểm tra xem chúng có bị dính lỗi bảo mật này hay không.

Ở Việt Nam, các chuyên gia công nghệ thông tin cũng khuyến cáo người dùng dừng ngay các giao dịch trực tuyến cho đến khi các ngân hàng khẳng định đã vá lỗi bảo mật và an toàn trước Trái tim rỉ máu.

Ngày 10/4, Ngân hàng Nhà nước Việt Nam gửi công điện khẩn yêu cầu các ngân hàng phải rà soát, kiểm tra lại toàn bộ website, cổng thanh toán trực tuyến. Trong trường hợp phát hiện lỗ hổng, phải thông báo tới các khách hàng đổi lại mật khẩu giao dịch. Nếu thấy cần thiết phải cấp lại thẻ cho khách hàng.

Đến sáng ngày thứ Bảy, 12/4/2014, theo công bố của Công ty an ninh mạng Bkav, 62 website ngân hàng và hơn 30 cổng thanh toán phổ biến tại Việt Nam đều đã an toàn trước lỗ hổng  Trái tim rỉ máu – Heartbleeed.

Đến hôm nay, đã một tuần đã trôi qua từ khi phát hiện Trái tim rỉ máu, hầu hết các website quan trọng đều đã vá xong lỗi này. Cả thế giới thở phào nhẹ nhõm. Nhưng…

Làm sao bạn chắc chắn được rằng trong thời gian qua, khi OpenSSL chưa được vá lỗi Trái tim rỉ máu, thì mật khẩu của bạn đã không bị đánh cắp? Đáng ngại hơn nữa, là mặc dù được phát hiện cách đây một tuần nhưng theo các chuyên gia thì lỗ hổng Heartbleed đã tồn tại được 2 năm rồi. Trong 2 năm đó không ai biết có hacker nào đã phát hiện và lợi dụng lỗ hổng này chưa!

Vì thế ngay bây giờ bạn nên đổi tất cả mật khẩu đang có của mình đi. Vâng, tất cả, từ mật khẩu email, Facebook,… đến các mật khẩu giao dịch trực tuyến khác. Hơi mất thời gian một tí, nhưng an toàn là trên hết mà!

Thái Thư

LĐĐN - 14/04/2014