Lỗi bảo mật với tên gọi Heartbleed được đánh giá là một trong những lỗi nghiêm trọng nhất được phát hiện trong một vài năm trở lại đây. Heartbleed là lỗ hổng bảo mật bên trong công nghệ OpenSSL, một tiêu chuẩn mã hóa dạng mã nguồn mở, được sử dụng trên rất nhiều các trang web và các dịch vụ thanh toán trực tuyến hiện nay, giúp để bảo mật và dữ cho dữ liệu của người dùng được an toàn.
Lỗ hổng bảo mật này sẽ giúp hacker dễ dàng đánh cắp khóa bảo mật trên các trang web bị dính lỗi, từ đó cho phép chúng đánh cắp các thông tin khác, bao gồm tên sử dụng, mật khẩu đăng nhập của người dùng và rất nhiều thông tin cá nhân quan trọng khác.
Heartbleed nghiêm trọng đến mức nào?
Hiện tại, ước tính có đến 2/3 tổng số trang web trên thế giới sử dụng SSL để mã hóa dữ liệu, điều này cho thấy mức độ nghiêm trọng của lỗ hổng bảo mật vừa phát hiện ra.
Heartbleed được đánh giá là một trong những lỗi bảo mật nghiêm trọng nhất trong vài năm trở lại đây
Không giống với những lỗ hổng bảo mật khác khi mà cho phép hacker tấn công vào các trang web để đánh cắp các dữ liệu đã được mã hóa (như tên sử dụng hay mật khẩu…) vốn sẽ khiến các hacker rất khó khăn để có thể mã hóa những dữ liệu này nếu người dùng sử dụng các mật khẩu phức tạp; lỗ hổng bảo mật Heartbleed cho phép các hacker có thể lấy những dữ liệu ở quy mô tương đối nhỏ khi được gửi đến máy chủ.
Tuy nhiên, lỗ hổng Heartbleed lại cho phép hacker có thể lấy các thông tin của người dùng, bao gồm tên sử dụng hay mật khẩu đăng nhập… ở dạng không mã hóa, hoặc có thể được hacker giải mã một cách dễ dàng do đã nắm được chìa khóa để giải mã. Nghĩa là có thể sử dụng ngay những dữ liệu đã bị lấy cắp mà không cần phải qua bước giải mã phức tạp như trước đây.
Đồng thời, các hacker chỉ có thể đánh cắp được các dữ liệu được gửi đến máy chủ trong thời gian mà chúng đang theo dõi máy chủ đó, chứ không thể truy cập và đánh cắp toàn bộ dữ liệu bên trong hệ thống. Đó là lý do tại sao các chuyên gia bảo mật khuyên người dùng không nên truy cập vào các dịch vụ thanh toán trực tuyến cũng như thực hiện các giao dịch trực tuyến trong thời gian này, cho đến khi lỗi bảo mật này được khắc phục.
Bạn có thể bảo vệ mình bằng cách thay đổi mật khẩu đăng nhập?
Câu trả lời rất tiếc là không. Bởi lẽ lỗi bảo mật này không nằm ở phía người dùng, mà nằm ở phía cung cấp dịch vụ, các trang web hay các dịch vụ giao dịch trực tuyến. Nếu bạn thay đổi mật khẩu mới và đăng nhập vào trang web vẫn có chứa lỗ hổng bảo mật Heartbleed thì hacker vẫn có thể đánh cắp mật khẩu mới người dùng vừa sử dụng.
Nói cách khác, việc thay đổi mật khẩu đăng nhập sẽ không có tác dụng gì nếu bản thân các trang web không tự khắc phục và vá lại lỗ hổng bảo mật từ chính mình. Do vậy, người dùng không nên đăng nhập vào các dịch vụ quan trọng trong thời gian này cho đến khi các trang web khẳng định đã vá lại lỗ hổng trên dịch vụ của chính mình.
Kiểm tra trang web có còn dính lỗi bảo mật Heartbleed hay không
Ngay khi lỗ hổng bảo mật Heartbleed được công bố, nhiều công cụ được ra đời cho phép người dùng kiểm tra xem trang web có dính lỗi bảo mật Heartbleed hay không và nếu có thì đã được khắc phục hay chưa.
Bạn có thể truy cập vào
http://filippo.io/Heartbleed/, điền địa chỉ trang web để kiểm tra xem có dính lỗi Heartbleed hay không. Nếu hiện ra câu thông báo cho thấy trang web đã được khắc phục (fixed) hoặc không bị ảnh hưởng (unaffected), bạn có thể sử dụng trang web bình thường.
Công cụ giúp người dùng nhận diện các trang web có dính lỗi Heartbleed hay không
Mất bao lâu để khắc phục lỗi Heartbleed
Có thể sẽ mất một thời gian để khắc phục lỗi bảo mật Heatbleed, tuy nhiên hiện tại một số trang web lớn đã biện pháp khắc phục nhanh chóng bằng cách nâng cấp OpenSSL lên phiên bản mới nhất để vá lại lỗ hổng Heartbleed. Sử dụng cách thức ở trên sẽ giúp người dùng biết được trang web đã vá lại lỗ hổng bảo mật Heartbleed hay chưa.
Biện pháp bảo vệ chính mình và phòng ngừa trong tương lai
Nếu trang web không bị dính lỗi hoặc đã được khắc phục lỗ hổng Heartbleed, điều tiếp theo người dùng cần làm là truy cập vào tài khoản của mình và tạo mới mật khẩu như một biện pháp phòng ngừa.
Ngoài ra, người dùng có thể phần mềm có tên gọi Safepay, một sản phẩm của hãng bảo mật danh tiếng BitDefender. Safepay là phần mềm miễn phí được xây dựng với mục đích duy nhất giúp người dùng bảo vệ quá trình giao dịch trực tuyến của mình ở mức độ an toàn nhất.
Safepay là giải pháp an toàn cho giao dịch trực tuyến trên máy tính
Phần mềm hoạt động như một trình duyệt web nhưng ở một môi trường độc lập để giúp các phần mềm gián điệp (nếu có) trên máy tính theo dõi và đánh cắp thông tin cá nhân của người dùng trong quá trình giao dịch trực tuyến cũng như nhận diện và thông báo kịp thời các trang web lừa đảo.
Người dùng nên sử dụng Safepay để thực hiện các giao dịch trực tuyến nhằm đảm bảo an toàn cho các thông tin cá nhân và quan trọng của mình.
Phạm Thế Quang Huy
Đời Sống
Đời Sống
Đời Sống
Đời Sống
Đời Sống
Đời Sống