Nhiều ngân hàng, website ở VN gặp lỗi bảo mật nghiêm trọng
Bkav cho biết, họ phát hiện lỗ hổng bảo mật đang tồn tại trên các website https, trong đó có nhiều ngân hàng ở Việt Nam.
Cách đây ít ngày, diễn đàn bảo mật Whitehat đăng tải một bài viết từ Hackernews, thông báo về lỗ hổng DROWN, tồn tại trên hơn 11 triệu trang web HTTPS trên toàn cầu, trong đó có những website hàng đầu như Yahoo, Alibaba, Weibo, Sina, BuzzFeed, Flickr, StumbleUpon, 4shared, Samsun,…
Theo đó, lỗ hổng nghiêm trọng trong OpenSSL có thể được khai thác để tiến hành một cuộc tấ.n côn.g chi phí thấp nhằm giải mã các liên lạc HTTPS an toàn, nhạy cảm, bao gồm mật khẩu và thông tin thẻ tín dụng chỉ trong vài giờ, hoặc gần như ngay lập tức trong một số trường hợp, theo cảnh báo của nhóm nhà nghiên cứu an ninh.
Video đang HOT
Sơ đồ hoá mối nguy hại từ lỗ hổng DROWN. Ảnh: Whitehat.
Sau thông tin trên, công ty bảo mật Bkav đã rà soát lại các website trong nước và phát hiện có đến 58% hệ thống website của các công ty tài chính tại Việt Nam chứa lỗ hổng DROWN. Những hệ thống còn lại như Dầu khí (chiếm 21%), Vận tải du lịch (5%), Công nghiệp hàng tiêu dùng (11%), và Công nghệ thông tin (5%). Những hệ thống này có thể bị tấ.n côn.g, đặt người dùng trước nguy cơ bị đán.h cắp các thông tin quan trọng như mật khẩu, thông tin cá nhân, tài khoản ngân hàng…
“Lỗ hổng DROWN khó khai thác hơn Heartbleed do tin tặc phải đứng giữa kết nối của máy chủ và người dùng. Tuy nhiên, nguy cơ khai thác lỗ hổng để đán.h cắp các thông tin của người sử dụng hoàn toàn có thể xảy ra. Các quản trị hệ thống cần lập tức vô hiệu hóa giao thức SSLv2 để bảo vệ an toàn cho hệ thống của mình và người dùng”, ông Ngô Tuấn Anh, Phó chủ tịch phụ trách An ninh mạng của Bkav cho biết.
Theo các chuyên gia an ninh mạng, tuy nghiêm trọng, nhưng lỗ hổng DROWN khá dễ khắc phục bởi nó dựa trên một giao thức khá “cổ xưa” là SSLv2. Do đó, quản trị hệ thống chỉ cần sử dụng công cụ do Microsoft cung cấp hoặc chỉnh sửa Registry để vô hiệu hoá SSLv2 nếu dùng máy chủ Windows. Với máy chủ Linux, cách khắc phục là nâng cấp phiên bản OpenSSL 1.0.1 lên 1.0.1s, hoặc nâng cấp bản 1.0.2 lên 1.0.2g.
Duy Tín
Theo Zing
Người mua tên miền Google.com được thưởng 12.000 USD
Sanmay Ved, một nghiên cứu sinh và từng là nhân viên của Google, đã vô tình mua được tên miền Google.com ngày 29/9 với giá chỉ 12 USD
Ved cho hay, anh đang duyệt danh sách tên miền và nhận thấy cái tên này nằm trong danh mục "Có sẵn". Giao dịch thực hiện thành công và người đàn ông này còn truy cập được vào phần điều khiển của trang Google. Khoảng một phút sau, công ty tìm kiếm Mỹ đã phát hiện ra sự cố, hoàn trả 12 USD cho người mua và lấy lại quyền quản trị. Đồng thời, Google cũng thưởng cho Ved một khoản tiề.n vì phát hiện của anh.
Một người đã sở hữu tên miền Google.com trong một phút chỉ với 12 USD.
Ban đầu, Ved nhận được khoảng 6.000 USD. Tuy nhiên, Google cho biết số tiề.n này tăng gấp đôi thành 12.000 USD khi công ty biết Ved đã tặng phầ.n thưởn.g của mình cho một quỹ từ thiện nhằm mở rộng dịch vụ giáo dục cho các tr.ẻ e.m nghèo ở Ấn Độ.
Đây không phải lần đầu tiên một tên miền quan trọng được bán cho các cá nhân. Năm 2003, Microsoft đã không gia hạn thành công tên miền hotmail.co.uk và nó được một người mua. Hãng đã phải liên hệ với người này để mua lại. Đầu năm 2015, lỗi website từng giúp một người mua tên miền đáng lẽ trị giá 15.000 USD thì chỉ phải trả 11 USD.
Bảo Anh
Theo VNE
Những thiết bị nào sẽ không thể truy cập web an toàn Từ năm 2016, hàng chục triệu người dùng trên toàn thế giới sẽ gặp khó khăn khi truy cập các website nổi tiếng thế giới như Facebook, Google, Twitter... Nguyên nhân là trình duyệt hay thiết bị của họ không tương thích với chuẩn mã hóa mới. Hiện nay, đa số website đã được mã hoá. Khi nhìn thấy trang web bắt đầu...