Web ở Anh, Canada bị hack vì Heartbleed

Bản quyền hình ảnh Mumsnet
Image caption Mumsnet đang yêu cầu các thành viên của mình đổi mật mã

Một trang web nổi tiếng dành cho các bậc phụ huynh ở Anh quốc và Cơ quan Thuế vụ Canada đều thông báo đã bị các tin tặc tận dụng lỗi Heartbleed để đánh cắp dữ liệu.

Trong một thông báo, trang Mumsnet, với khoảng 1,5 triệu thành viên, cho biết tin tặc có thể đã tiếp cận được các mật mã và tin nhắn cá nhân của người sử dụng trước khi trang này được nâng cấp.

Cơ quan Thuế vụ Canada cũng cho biết số bảo hiểm xã hội của khoảng 900 người đã bị đánh cắp.

Đây là những trường hợp mất dữ liệu được xác nhận đầu tiên.

Người sáng lập trang Mumsnet, bà Justine Roberts, nói với BBC bà biết rằng dữ liệu cá nhân của người sử dụng đang bị đe dọa sau khi tài khoản và mật mã của chính bà bị dùng để đăng tải một tin nhắn trên mạng.

Bà cho biết các tin tặc sau đó đã thông báo với ban quản lý của trang Mumsnet rằng vụ tấn công liên quan đến lỗi Heartbleed và dữ liệu của công ty đang bị đe dọa.

"Vào thứ Sáu ngày 11/4, lỗi Heartbleed đã bị sử dụng để xâm nhập dữ liệu cá nhân của các thành viên trên Mumsnet," trang web có trụ sở đặt tại London thông báo với các thành viên của mình qua email.

"Chúng tôi không thể xác định thành viên nào của Mumsnet đã bị ảnh hưởng vì việc này."

"Trong trường hợp xấu nhất, có thể dữ liệu của tất cả những người sử dụng Mumsnet đã bị xâm nhập."

"Rất có thể những thông tin này sau đó đã được tin tặc sử dụng để đăng nhập dưới danh nghĩa của bạn, từ đó xâm nhập vào tin nhắn cũng như tài khoản cá nhân của bạn."

Bản quyền hình ảnh heartbleed
Image caption Lỗi Heartbleed có thể được tin tặc tận dụng để đánh cắp những lượng dữ liệu nhỏ

"Tuy nhiên, cũng phải nói thêm rằng cho đến nay, chúng tôi chưa phát hiện ra bằng chứng nào cho thấy tài khoản của mọi người đã được sử dụng vào bất cứ mục đích nào khác ngoài việc cảnh báo về lỗ hổng an ninh."

Trang này cũng cho biết đang buộc các thành viên của mình phải tạo lại mật mã mới đối với tất cả những mật mã được thiết lập trong hoặc trước ngày thứ Bảy, 13/4.

Giảm dịch vụ

Cơ quan Thuế vụ Canada (CRA) là tổ chức lớn đầu tiên phải cắt giảm dịch vụ vì lỗi OpenSSL - thư viện phần mềm dùng để mã hóa dữ liệu cá nhân.

Tuy nhiên, có vẻ như cơ quan này đã có phản ứng quá trễ vào ngày 8/4.

"CRA rất tiếc phải thông báo chúng tôi vừa được các cơ quan an ninh hàng đầu của chính phủ Canada cho biết rằng dữ liệu của người nộp thuế đã bị xâm nhập trong suốt sáu tiếng đồng hồ," cơ quan này thông báo trên trang web của mình.

"Dựa theo phân tích của chúng tôi hiện nay, số bảo hiểm xã hội của khoảng 900 người đóng thuế đã bị đánh cắp từ hệ thống của CRA bởi một ai đó đã tận dụng lỗi Heartbleed."

"Chúng tôi đang phải trải qua một quy trình đầy khó khăn để phân tích những dữ liệu bị đánh cắp, vốn có thể bao gồm những dữ liệu liên quan đến các doanh nghiệp."

Lỗi Heartbleed được Google và Codenomicon, một công ty an ninh mạng của Phần Lan, lần lượt công bố hồi tuần trước.

OpenSSL thường được sử dụng để mã hóa dữ liệu được truyền qua lại giữa thiết bị của người sử dụng với các dịch vụ trên mạng nhằm tránh xảy ra tình trạng lộ thông tin cá nhân.

Công cụ này được sử dụng bởi nhiều, nhưng không phải tất cả, trang có ký hiệu chìa khóa phía trước địa chỉ của mình, và có địa chỉ bắt đầu với "https".

Các nhà nghiên cứu cho rằng với lỗi này, các tin tặc trên lý thuyết có thể tiếp cận được một lượng khoảng 64kb dữ liệu chưa được mã hóa từ bộ nhớ của những hệ thống sử dụng phiên bản dễ bị xâm nhập của OpenSSL.

Mặc dù 64kb là một giá trị khá nhỏ, những kẻ tấn công có thể lặp lại quy trình này nhiều lần để đánh cắp nhiều dữ liệu hơn.

Bản quyền hình ảnh cra
Image caption Thông cáo của Cơ quan Thuế vụ Canada về vụ tấn công

Lời khuyên 'nguy hiểm'

Mumsnet bị chỉ trích vì đã gửi email tới các thành viên của mình, trong đó đính kèm một đường link giúp người sử dụng tạo lại mật mã mới.

Cảnh sát Anh trước đó đã khuyến cáo người dân nên cảnh giác trước những email lạ yêu cầu họ nhấn vào các đường link, "ngay cả khi đó là từ những công ty quen thuộc với bạn."

Nguyên nhân cho điều này là vì các tin tặc có thể tận dụng Heartbleed để dụ người sử dụng nhấn vào các đường link dẫn đến những trang web giả tạo để đánh cắp thông tin cá nhân của họ.

"Điều này rất nguy hiểm," Tiến sỹ Steven Murdoch, một chuyên gia nghiên cứu về an ninh máy tính ở Đại học Cambridge, nói với BBC.

"Có lẽ việc mà [Mumsnet] nên làm là gửi một email yêu cầu người sử dụng vào trang web của họ bằng địa chỉ bình thường [để tạo mật mã mới]."

"Người sử dụng sẽ tỏ ra nghi ngờ nếu họ nhận được những email ngoài dự kiến."

Cơ quan Thuế vụ Canada đã thông báo sẽ không gọi điện hay gửi email đến những cá nhân mà họ cho là bị ảnh hưởng, để tránh giúp tin tặc tận dụng tình hình hiện nay.

Thay vào đó, cơ quan này cho biết sẽ gửi thư bảo đảm.

"Tôi nghĩ rằng chúng ta sẽ còn nghe nhiều thông báo như vậy trong những ngày tới," ông Keith Bird, giám đốc điều hành chi nhánh ở Anh của hãng an ninh mạng Check Point, nói.

"Tuy nhiên, mọi người nên xem những trang web hay dịch vụ mà mình đang sử dụng có thực sự yêu cầu họ đổi mật mã hay không, trước khi thay đổi bất cứ gì."

"Bằng cách này, họ có thể chắc chắn rằng trang web đã nâng cấp hệ thống an ninh và họ không phải đối mặt với nguy cơ làm lộ mật mã mới."

"Nếu như một dịch vụ yêu cầu đổi mật mã, không nên sử dụng lại mật mã mà bạn đang sử dụng cho những trang web khác."

Tin liên quan