Nhiều ngân hàng, website ở VN gặp lỗi bảo mật nghiêm trọng

Mai Phương Lý09:53 05/03/2016

Bkav cho biết, họ phát hiện lỗ hổng bảo mật đang tồn tại trên các website https, trong đó có nhiều ngân hàng ở Việt Nam.

Cách đây ít ngày, diễn đàn bảo mật Whitehat đăng tải một bài viết từ Hackernews, thông báo về lỗ hổng DROWN, tồn tại trên hơn 11 triệu trang web HTTPS trên toàn cầu, trong đó có những website hàng đầu như Yahoo, Alibaba, Weibo, Sina, BuzzFeed, Flickr, StumbleUpon, 4shared, Samsun,…

Theo đó, lỗ hổng nghiêm trọng trong OpenSSL có thể được khai thác để tiến hành một cuộc tấn công chi phí thấp nhằm giải mã các liên lạc HTTPS an toàn, nhạy cảm, bao gồm mật khẩu và thông tin thẻ tín dụng chỉ trong vài giờ, hoặc gần như ngay lập tức trong một số trường hợp, theo cảnh báo của nhóm nhà nghiên cứu an ninh.

Sơ đồ hoá mối nguy hại từ lỗ hổng DROWN. Ảnh: Whitehat.

Sau thông tin trên, công ty bảo mật Bkav đã rà soát lại các website trong nước và phát hiện có đến 58% hệ thống website của các công ty tài chính tại Việt Nam chứa lỗ hổng DROWN. Những hệ thống còn lại như Dầu khí (chiếm 21%), Vận tải du lịch (5%), Công nghiệp hàng tiêu dùng (11%), và Công nghệ thông tin (5%). Những hệ thống này có thể bị tấn công, đặt người dùng trước nguy cơ bị đánh cắp các thông tin quan trọng như mật khẩu, thông tin cá nhân, tài khoản ngân hàng…

Video đang HOT

“Lỗ hổng DROWN khó khai thác hơn Heartbleed do tin tặc phải đứng giữa kết nối của máy chủ và người dùng. Tuy nhiên, nguy cơ khai thác lỗ hổng để đánh cắp các thông tin của người sử dụng hoàn toàn có thể xảy ra. Các quản trị hệ thống cần lập tức vô hiệu hóa giao thức SSLv2 để bảo vệ an toàn cho hệ thống của mình và người dùng”, ông Ngô Tuấn Anh, Phó chủ tịch phụ trách An ninh mạng của Bkav cho biết.

Theo các chuyên gia an ninh mạng, tuy nghiêm trọng, nhưng lỗ hổng DROWN khá dễ khắc phục bởi nó dựa trên một giao thức khá “cổ xưa” là SSLv2. Do đó, quản trị hệ thống chỉ cần sử dụng công cụ do Microsoft cung cấp hoặc chỉnh sửa Registry để vô hiệu hoá SSLv2 nếu dùng máy chủ Windows. Với máy chủ Linux, cách khắc phục là nâng cấp phiên bản OpenSSL 1.0.1 lên 1.0.1s, hoặc nâng cấp bản 1.0.2 lên 1.0.2g.

Duy Tín

Theo Zing

vBulletin.com bị hack sạch cơ sở dữ liệu

Cuộc tấn công chớp nhoáng của một hacker "mũ đen" (blackhat) vào vBulletin.com rạng sáng 1/11, đánh cắp cơ sở dữ liệu, dữ liệu bản quyền và để lại "cửa sau" (shell) trên máy chủ.

Rạng sáng ngày 1/11, một hacker "mũ đen" (blackhat) bí danh Coldzer0 đã tấn công vào website vBulletin.com - công ty bán phần mềm diễn đàn vBulletin có lượng website sử dụng rất lớn trên Internet.

Thông điệp hacker để lại sau khi tấn công diễn đàn vBulletin.com rạng sáng 1/11.

Theo nguồn tin của Nhịp Sống Số, Coldzer0 đã dùng phương thức tấn công SQL Injection khai thác lỗi dạng 0-day (chưa có bản vá) do một hacker Thụy Điển bí danh Exidous khám phá để "hạ gục" trang vBulletin.com, thâm nhập vào dữ liệu và đánh cắp cơ sở dữ liệu (database) vào khoảng 3-4h sáng ngày 1/11.

Sau khi tấn công, thâm nhập và đánh cắp dữ liệu, hacker để lại lời nhắn "Hacked by Coldzer0" tại diễn đàn vBulletin.com/forum/ đồng thời không quên để lại một "cửa sau" (shell).

Thông tin mới nhất đến thời điểm hiện tại, Coldzer0 không chỉ lấy được cơ sở dữ liệu của diễn đàn (forum) vBulletin mà còn chạm tay đến dữ liệu bản quyền chứa thông tin những khách hàng mua bản quyền sử dụng phần mềm vBulletin cho website của mình.

Hacker coldzer0 để lại "cửa sau" trên vBulletin.com.

Sau khi tấn công diễn đàn vBulletin.com, hacker tiếp tục tấn công vào diễn đàn người dùng phần mềm Foxit cũng đang dùng mã nguồn vBulletin vào chiều ngày 1/11.

Foxit Software là nhà cung cấp nhiều phần mềm miễn phí và thương mại liên quan đến tài liệu PDF cho người dùng cá nhân hay công ty.

Cộng đồng sử dụng hoang mang

Người dùng phần mềm diễn đàn vBulletin bày tỏ sự lo lắng khi "website công ty chủ quản" bị tấn công cũng là một nguy cơ to lớn đối với website của họ. Không mất quá nhiều thời gian để hacker viết ra một công cụ tấn công tự động, tự quét lỗi 0-day tồn tại trong các website dùng vBulletin và tấn công.

Trên diễn đàn vBulletin.com, đại diện vBulletin chưa xác nhận thông tin trên, cho biết không bàn thảo công khai về các lỗi bảo mật của phần mềm.

Liên kết dẫn đến "cửa sau" do hacker để lại đã được gỡ bỏ.

Theo Phong Vân/Tuổi Trẻ

Người mua tên miền Google.com được thưởng 12.000 USD Sanmay Ved, một nghiên cứu sinh và từng là nhân viên của Google, đã vô tình mua được tên miền Google.com ngày 29/9 với giá chỉ 12 USD Ved cho hay, anh đang duyệt danh sách tên miền và nhận thấy cái tên này nằm trong danh mục "Có sẵn". Giao dịch thực hiện thành công và người đàn ông này còn truy...

Bạn thấy bài viết này có hữu ích không?

Có;

Không

Tin liên quan

Xem thêm Share

Xem nhiều

Một nam ca sĩ Vbiz trừng mắt quát fan mà không ai tranh cãi00:53

Xuân Son được bầu Thiện thưởng căn hộ cao cấp hơn 1 triệu USD05:28

Quán bún Hà Nội xin lỗi vụ bán 1,2 triệu đồng 3 bát bún riêu ngày Tết, nói chỉ là 'hiểu lầm'09:39

Người duy nhất thành công khắc chế "mỏ hỗn" của Trấn Thành, khiến đạo diễn nghìn tỷ phải ngậm ngùi nhận sai01:10

Cậu bé vùng vằng, chê ít thế và đập bao lì xì xuống ghế khi được mừng tuổi00:20

'Bộ tứ báo thủ' và nỗi thất vọng về thương hiệu Trấn Thành02:54

1 Hoa hậu Vbiz bị "tóm" ôm hôn tình tứ với trai trẻ trên phố00:41

Shock nhất Douyin: Một cú nổ lớn vang lên, "trẻ con có biết gì đâu" khiến bố mẹ đối mặt với khoản bồi thường hơn 3,5 tỷ đồng!00:19

Video Hoa hậu Kỳ Duyên quăng miếng hài tại sự kiện, nhưng bỏ chạy vì nói 1 câu "quê xệ"00:49

Low G - tlinh "mở bát" năm mới quá đỉnh: Ca khúc Việt đầu tiên được studio nhảy nổi tiếng nhất Hàn Quốc cover!01:07

Hoa hậu Vbiz vừa bị "tóm" khoá môi trai trẻ giữa phố, nay có động thái xác nhận mối quan hệ?00:41

Tin đang nóng

Tin mới nhất

Nâng cao và biến đổi hình ảnh của bạn bằng trình chỉnh sửa video trực tuyến CapCut

15:45:56 16/01/2024

Đã đến lúc bỏ lại các công cụ chỉnh sửa cũ và chấp nhận giải pháp thay đổi cuộc chơi. Gặp gỡ Trình chỉnh sửa video trực tuyến CapCut - giải pháp sẽ nâng cao, nâng cao và cách mạng hóa thế giới sáng tạo nội dung trực quan của bạn

Cách đăng Facebook để có nhiều lượt thích và chia sẻ

22:01:27 21/12/2022

Chắc hẳn là ai trong chúng ta cũng luôn muốn các bài đăng trên Facebook có được nhiều lượt thích và chia sẻ. Tuy nhiên, làm thế nào để tối ưu bài đăng thì không phải ai cũng biết

Thêm nhiều bang của Mỹ cấm TikTok

21:03:46 21/12/2022

Louisiana và Tây Virginia là hai bang mới nhất cấm công chức sử dụng TikTok trên thiết bị công do lo ngại Trung Quốc có thể theo dõi người Mỹ và kiểm duyệt nội dung

Microsoft cấm khai thác tiền điện tử trên các dịch vụ đám mây để bảo vệ khách hàng

20:03:41 21/12/2022

Microsoft đã cập nhật thỏa thuận cấm khai thác tiền điện tử trên các dịch vụ trực tuyến của mình. Việc khai thác tiền điện tử trên dịch vụ của Microsoft cần có sự cho phép bằng văn bản của công ty, nhưng cũng chỉ nhằm mục đích thử nghiệ...

Facebook trấn áp hàng loạt công ty phần mềm gián điệp

20:01:24 21/12/2022

Meta (công ty mẹ của Facebook) cho biết họ đã ngăn chặn không dưới 200 hoạt động bí mật, trấn áp hàng loạt công ty phần mềm gián điệp kể từ năm 2017 tại khoảng 70 quốc gia

Meta đối mặt cáo buộc vi phạm các quy tắc chống độc quyền với mức phạt 11,8 tỷ đô

19:01:39 21/12/2022

Ủy ban Châu Âu - cơ quan điều hành của EU cho biết, đã phát hiện Meta vi phạm các quy tắc chống độc quyền của EU bằng cách bóp méo sự cạnh tranh trên thị trường quảng cáo trực tuyến. Meta có thể phải đối mặt với khoản tiền phạt lên tới ...

Không cần thăm dò, Musk nên sớm từ chức CEO Twitter

15:01:33 21/12/2022

Người dùng Twitter, các nhà đầu tư Tesla và chuyên gia phân tích trong ngành đều cho rằng Elon Musk nên sớm từ chức CEO Twitter

Đại lý Việt nhập iPhone 14 kiểu 'bia kèm lạc'

14:01:42 21/12/2022

Muốn nhập được các mẫu bán chạy như iPhone 14 Pro/Pro Max, các chuỗi đại lý bán lẻ ủy quyền của Apple bắt buộc phải nhập thêm hàng loạt phụ kiện đi kèm

Khai trương hệ thống vé điện tử và dịch vụ trải nghiệm thực tế ảo XR tại Quần thể Di tích Cố đô Huế

09:38:18 21/12/2022

Sáng 20/12, tại Ngọ Môn, Đại Nội Huế, Trung tâm Bảo tồn Di tích Cố đô Huế đã tổ chức Lễ Khai trương Hệ thống vé điện tử và dịch vụ trải nghiệm thực tế ảo XR

'Dở khóc dở cười' với tính năng trợ giúp người bị tai nạn ôtô của Apple

09:37:54 21/12/2022

Tính năng phát hiện tai nạn ôtô mới ra mắt trên Apple iPhone và Apple Watch sẽ tự động tìm kiếm sự trợ giúp từ bộ phận cấp cứu khi có nguy cơ xảy ra tai nạn