1 tỷ người dùng Yahoo bị hack: Yahoo lơ là bảo mật vì…’nghèo’
Những khó khăn trong hoạt động kinh doanh là một phần lý do khiến Yahoo lơ là bảo mật dẫn tới vụ 1 tỷ tài khoản người dùng bị hacker tấn công.
Vào mùa hè năm 2013, Yahoo giới thiệu một dự án nhằm giúp đảm bảo an toàn hơn cho mật khẩu người dùng bằng việc loại bỏ công nghệ mã hóa dữ liệu MD5 vốn đã bị nhiều chỉ trích vì khả năng bảo mật kém.
Thế nhưng, ngay ở thời điểm đó, mọi chuyện đã là quá trễ với Yahoo. Vào tháng 8 cùng năm, hacker đã nắm được hơn 1 tỷ tài khoản người dùng của công ty, đánh cắp mật khẩu và các thông tin khác. Đây được đánh giá là vụ hack lớn nhất trong lịch sử. Phải tới gần đây Yahoo mới phát hiện ra sự vụ và đưa ra công bố hồi tuần trước.
Người ta có thể bảo rằng Yahoo đã đen đủi khi bị hacker nhắm vào, thế nhưng, đó chỉ là một phần. Một giả thiết được đặt ra là nếu hãng từ bỏ MD5 sớm hơn, vụ tấn công ăn cắp dữ liệu có thể đã không xảy ra. Yahoo đã tỏ ra chậm chân khi mà hacker và các chuyên gia bảo mật đã thuộc “nằm lòng” điểm yếu của MD5 cả hàng thập kỷ.
Năm 2008, tức 5 năm trước khi dự án tăng cường bảo mật của Yahoo ra mắt, Viện Kỹ sư phần mềm của trường Carnegie Mellon đã cho phát đi một khuyến cáo rằng “MD5 nên được xem là công nghệ mã hóa đã hết thời và không còn phù hợp để sử dụng”.
1 tỷ người dùng Yahoo bị hack: Yahoo lơ là bảo mật vì…’nghèo’
Sự chậm chạp của Yahoo trong việc loại bỏ kịp thời MD5 là một ví dụ cho thấy Yahoo gặp phải nhiều vấn đề về hoạt động bảo mật ở vào thời điểm hãng đang phải vật lộn với hàng loạt khó khăn trong kinh doanh. Đây là nhận định của 5 cựu nhân viên công ty và một số chuyên gia bảo mật bên thứ ba. Công nghệ bảo mật bằng mã hash mạnh mẽ hơn đáng ra phải được Yahoo áp dụng sớm, bởi nó có thể ngăn chặn được các vụ tấn công; hoặc trong trường hợp bị hacker tấn công, thiệt hại cũng sẽ không phải là quá lớn.
“Ở trước cả thời điểm năm 2013 một thời gian dài, MD5 được xem là đã &’chết’. Hầu hết các doanh nghiệp trước đó đã chuyển qua dùng thuật toán băm an toàn hơn” – David Kennedy, CEO của hãng bảo mật TrustedSec LLC cho biết.
Yahoo, trong khi đó, thừa nhận vẫn đang dùng MD5 ở thời điểm bị tấn công, nhưng phản đối ý kiến cho rằng hãng lơ là bảo mật. “Trong hơn 20 năm lịch sử, Yahoo đều tập trung và đầu tư vào các chương trình bảo mật để bảo vệ người dùng của mình. Chúng tôi đã đầu tư hơn 250 triệu USD cho các dự án bảo mật từ năm 2012 – Yahoo cho biết.
Video đang HOT
Ưu tiên phát triển
Tuy nhiên, một cựu nhân viên làm ở mảng bảo mật của Yahoo, tiết lộ rằng đội bảo mật của công ty nhiều lần bị từ chối khi yêu cầu công ty đầu tư các công cụ và tính năng mới phục vụ công việc – như bảo vệ mật mã tăng cường. Lý do được Yahoo đưa ra để trả lời cho các từ chối này là chúng tốn quá nhiều tiền, quá phức tạp, hay đơn giản chúng bị xếp vào mục ưu tiên thấp.
Tình cảnh trên một phần nào đó phản ánh những khó khăn về tài chính của Yahoo. Doanh thu và lợi nhuận của công ty đã giảm dần kể từ khi đạt đỉnh năm 2008 khi mà các đối thủ Google, Facebook và các công ty khác vươn lên thống trị thị trường dịch vụ trên internet. “Khi bạn làm ăn khấm khá, bảo mật là một việc gì đó rất dễ dàng. Ngược lại, khi thất bát, bảo mật sẽ bị bỏ qua” – Jeremiah Grossman, người làm việc cho đội bảo mật của Yahoo từ 1999 đến 2001, cho biết.
Tất nhiên, một điều chắc chắn là không một hệ thống hay công nghệ nào có thể đảm bảo an toàn tuyệt đối. Hacker có thể tấn công vào các hệ thống được trang bị các công nghệ mã hóa tiên tiến hơn nhiều so với MD5. Các công ty internet khác, như LinkedIn và AOL, cũng từng phải gánh chịu các vụ tấn công của hacker, dù quy mô thì không lớn như Yahoo. “Bất kỳ doanh nghiệp lớn cũng có nguy cơ bị tấn công” – Tom Kellermann, cựu chuyên gia bảo mật của World Bank chia sẻ.
Kellermann, CEO của hãng đầu tư Strategic Cyber Ventures, nói rằng ông không ngạc nhiên khi thấy Yahoo phải mất nhiều năm để xác định được việc họ bị hacker tấn công quy mô lớn. “Hacker thường có khả năng &’lẩn trốn’ trong hệ thống tốt hơn chúng ta vẫn nghĩ và nằm trong đó trong nhiều năm mà không bị phát hiện” – ông nói.
Theo một cựu nhân viên bảo mật khác của Yahoo, ngay cả khi công ty đang trong giai đoạn phát triển, bảo mật đôi khi vẫn không được coi trọng bởi công ty tập trung vào các mảng giúp giữ đà tăng trưởng. Thời điểm kinh doanh bị đình trệ, các nhân viên bảo mật cấp cao rời Yahoo để chuyển qua nơi khác làm việc, các yêu cầu về chi phí cho nâng cấp bảo mật lại ngày càng bị phớt lờ.
Yahoo từ chối bình luận về các hoạt động bảo mật của mình, tuy nhiên, hãng nói rằng công ty thường xuyên tiến hành các cuộc tập trận thử nghiệm để cải thiện khả năng phòng thủ mạng. Yahoo cũng nhấn mạnh đến các chương trình tiền thưởng trong đó hãng sẽ thưởng tiền cho hacker với các lỗi bảo mật mà hacker tìm được và báo cáo cho công ty.
2 vụ tấn công quy mô lớn
Hồi tháng 9 năm ngoái, Yahoo tiết lộ một vụ tấn công xảy ra năm 2014 làm ảnh hưởng ít nhất 500 triệu người dùng. Thời điểm đó, vụ tấn công này được xem là có quy mô lớn nhất. Với công bố 1 tỷ tài khoản bị ảnh hưởng trong đợt tấn công xảy ra năm 2013, Yahoo đang bị các cơ quan quản lý điều tra hoạt động, trong khi đó nhà mạng Verizon đang cân nhắc đàm phán lại việc mua Yahoo thay vì chi ra số tiền 4,8 tỷ USD như công bố hồi tháng 7 năm nay.
Các cựu nhân viên Yahoo nói rằng, các vấn đề về bảo mật của công ty đã xuất hiện ngay cả ở thời điểm trước khi Marissa Mayer về làm CEO công ty năm 2012 rồi tiếp diễn cả về sau. Yaoo đã phải chịu các cuộc tấn công từ hacker Nga trong nhiều năm, 2 cựu nhân viên công ty tiết lộ.
Năm 2014, Yahoo thuê về 1 chuyên gia bảo mật có tên Alex Stamos, và một trong các đội bảo mật mà chuyên gia này quản lý có tên gọi &’The Paranoids’. Năm 2015, khi đội bảo mật phát hiện ra một chương trình ẩn được cài cắm vào các máy chủ email của Yahoo đang theo dõi toàn bộ email đến, suy nghĩ đầu tiên của họ là các hacker Nga đang quay trở lại. Tuy nhiên, hóa ra chương trình này được các kỹ sư email của Yahoo cài nhằm tuân thủ lệnh giám sát bí mật do cơ quan tình báo Mỹ yêu cầu. Stamos và một số nhân viên của ông rời Yahoo sau đó ít lâu, khiến cho các hoạt động bảo mật của công ty bị gián đoạn.
Tuần qua, bên cạnh việc tiết lộ vụ hack năm 2013, Yahoo nói rằng có kẻ đã truy cập vào mã máy tính độc quyền của hãng để học cách làm giả cookie, cho phép hacker truy cập 1 tài khoản mà không cần mật khẩu. Hãng cho biết hoạt động làm giả cookie này liên quan tới vụ ăn cắp dữ liệu năm 2014, do một tổ chức mà Yahoo tin là được chính phủ tài trợ gây ra.
“Chúng &’đào hang’ để ẩn náu và truy cập được mọi thứ” Dan Guido, CEO hãng bảo mật Trail of Bits cho biết. Trong khi đó cũng vào cuối tuần trước, Yahoo bị cơ quan an ninh mạng của Đức chỉ trích vì không áp dụng các công nghệ mã hóa tiên tiến. Đức cũng khuyên người dùng tại quốc gia này từ bỏ Yahoo để chuyển qua nhà cung cấp dịch vụ khác.
(Theo Ict News)
Gia tăng tấn công mạng nhắm vào các doanh nghiệp lớn
Tình hình An toàn thông tin (ATTT) ở Việt Nam ngày càng có những diễn biến phức tạp với sự tăng mạnh về quy mô, số lượng, mức độ tinh vi và tính chuyên nghiệp trong các cuộc tấn công mạng. Đặc biệt là tấn công mạng vào hệ thống thông tin của các doanh nghiệp lớn.
Sáng nay, 2/12, sự kiện "Ngày An toàn Thông tin Việt Nam" lần thứ 9 đã chính thức khai mạc tại Hà Nội. Ngày ATTT Việt Nam năm nay mang chủ đề "Kỷ nguyên mới của an ninh mạng" diễn ra trong bối cảnh nguy cơ trên không gian mạng ngày một gia tăng tinh vi và phức tạp.
Phát biểu tại lễ khai mạc, Thứ trưởng Bộ TT&TT Nguyễn Thành Hưng cho hay trong thời gian gần đây, tình hình ATTT trên thế giới tiếp tục diễn biến phức tạp với nhiều cuộc tấn công mạng có quy mô lớn. Vấn đề an toàn an ninh mạng đã dần mang thêm màu sắc chính trị. Đã xuất hiện nhiều cáo buộc giữa các quốc gia về tình hình mất ATTT.
An toàn thông tin mạng đang là vấn đề nóng hiện nay
"Đến thời điểm hiện tại vấn đề xung đột mạng vẫn còn mới mẻ và chưa được quy định chặt chẽ. Chưa có hiệp ước hay luật quốc tế nào về an toàn, an ninh mạng ra đời mà chỉ tồn tại một bộ quy tắc tuy có thể tạm xem là chuẩn mực nhưng còn mang tính chắp vá nhằm xác định những cách hành xử được chấp nhận trên không gian mạng. Tình hình ATTT mạng Việt Nam cũng ngày càng có những diễn biến phức tạp với sự tăng mạnh về quy mô, số lượng, mức độ tinh vi và tính chuyên nghiệp trong các cuộc tấn công mạng, đặc biệt là tấn công mạng vào hệ thống thông tin của các doanh nghiệp lớn trong nền kinh tế", Thứ trưởng Bộ TT&TT nhận định.
Trong bối cảnh đó, hành lang pháp lý về ATTT mạng cơ bản đã được xây dựng và đang dần hoàn thiện. Sau khi Luật ATTT mạng được Quốc hội thông qua, Chính phủ đã ban hành 2 Nghị định hướng dẫn Luật. Bộ TT&TT cũng đang phối hợp với các bộ ngành, địa phương triển khai Kế hoạch bảo đảm ATTT mạng theo Quyết định 898 ngày 27/5/2016 của Thủ tướng Chính phủ.
Thứ trưởng cũng cho hay, trong thời gian tới, tình hình ATTT được dự báo sẽ tiếp tục diễn biến phức tạp và xu hướng bùng nổ trên thế giới. Đây là xu hướng tất yếu và Việt Nam cũng không ngoại lệ. Do vậy, ông Nguyễn Thành Hưng cho rằng, các cơ quan nhà nước, doanh nghiệp, tổ chức, cá nhân làm việc trong lĩnh vực CNTT đang đứng trước một thách thức rất lớn là phải làm thế nào và làm gì để nhanh chóng thích nghi và có những bước đi phù hợp nhằm ứng phó được với thách thức của một kỷ nguyên mới về ATTT mạng.
"Công tác tuyên truyền cần tránh mang tính chất khẩu hiệu, chung chung như cách làm truyền thống. Việc tuyên truyền phải theo kịp thời đại, đi cùng với sự phát triển của công nghệ, tận dụng thế mạnh của công nghệ, nhắm đúng đối tượng cụ thể với nội dung phù hợp", Thứ trưởng nói.
Thứ trưởng Bộ TT&TT Nguyễn Thành Hưng phát biểu khai mạc tại sự kiện.
Cũng trong phiên toàn thể của hội thảo sáng nay, bên cạnh báo cáo tổng hợp kết quả điều tra, đánh giá thực trạng ATTT tại Việt Nam trong năm vừa qua và công bố Chỉ số ATTT Việt Nam 2016 được trình bày bởi đại diện VNISA, đại diện các tập đoàn, công ty lớn trên thế giới như: Google, Microsoft, CISCO, IBM, Splunk , Samsung... đã chia sẻ các kinh nghiệm, giải pháp, công cụ trong việc đảm bảo ATTT cho các hệ thống thông tin quan trọng.
Bên lề các hội thảo sẽ giới thiệu, trình diễn các sản phẩm, công nghệ bảo mật tiên tiến, trong đó có một gian đặc biệt "Góc kỹ thuật" được thiết kế dành riêng cho giới thiệu các sản phẩm, dịch vụ đạt danh hiệu "Sản phẩm ATTT chất lượng cao năm 2015 của các doanh nghiệp trong nước. Đây cũng là nơi các doanh nghiệp có sản phẩm, dịch vụ đạt danh hiệu gặp gỡ, trao đổi và tiếp xúc...
Sự kiện "Ngày ATTT Việt Nam" là sự kiện thường niên được tổ chức dưới sự bảo trợ của Bộ TT&TT và là một trong những hoạt động CNTT quan trọng trong năm được đông đảo cộng đồng ứng dụng và phát triển CNTT, giới truyền thông và toàn xã hội quan tâm, mong đợi. Sự kiện năm nay được bốn đơn vị đồng tổ chức, Hiệp hội ATTT Việt Nam, Cục ATTT, Trung tâm ứng cứu khẩn cấp máy tính Việt Nam (VNCERT), Bộ TT&TT và Cục CNTT, Bộ Quốc phòng.
(Theo VnRevew)
Europol triệt phá tổ chức tội phạm mạng lớn nhất thế giới Ngày 1/12, Cơ quan Cảnh sát châu Âu (Europol) thông báo lực lượng cảnh sát thuộc 28 nước thành viên Liên minh châu Âu (EU) đã triệt phá một tổ chức tội phạm mạng với phạm vi hoạt động ở trên 180 quốc gia và tiến hành các cuộc tấn công mạng gây lây nhiễm mã độc cho hơn nửa triệu máy tính,...