Thấy gì từ vụ các tài khoản Golden Lotus và Yahoo bị đánh cắp?

17:20 24/09/2016

Mới đây, việc Yahoo xác nhận 500 triệu tài khoản thành viên của hãng bị đánh cắp thông tin đã dấy lên mối lo ngại về việc bảo vệ dữ liệu cá nhân và nhận thức về an toàn thông tin khi “sống” trên môi trường Internet hiện đang ở mức báo động.

Các dữ liệu mà hacker tấn công và lấy được từ Yahoo có thể bao gồm họ tên, địa chỉ email, số điện thoại, ngày sinh, câu hỏi và câu trả lời bí mật. Yahoo cho rằng thông tin thẻ tín dụng, tài khoản ngân hàng hay các mật khẩu không mã hóa vẫn được bảo vệ bởi nó được lưu trên một hệ thống khác. Yahoo cũng thừa nhận, một số dữ liệu người dùng đã bị sử dụng, nhưng không ước tính có bao nhiều thành viên thật sự bị ảnh hưởng.

Hãng công nghệ Yahoo thừa nhận thông tin 500 triệu thành viên bị đánh cắp.

Trước đó, hồi tháng 7/2016, hệ thống của Hãng Hàng không Quốc gia Việt Nam (Vietnam Airlines) bị tấn công, thông tin về việc giải mã thành công mật khẩu của hơn 400 ngàn khách hàng chương trình Bông Sen Vàng - Golden Lotus, được lan truyền trên mạng.

Hacker đã công bố lên mạng danh sách hơn 400.000 khách hàng thuộc nhóm Golden Lotus trong đó chứa nhiều thông tin quan trọng như: Tên, Ngày sinh, Địa chỉ, Điểm tích lũy, Tài khoản hội viên, Mật khẩu, Email,… trong đó mật khẩu đã được mã hóa và email được sửa toàn bộ thành xxxx, chỉ để lại phần tên miền sau @.

Ngay sau khi danh sách này bị công bố, Vietnam Airlines đã có thông báo kêu gọi khách hàng đổi mật khẩu, tuy nhiên có thể chắc chắn rằng vẫn còn nhiều khách hàng chưa biết hoặc… không để ý đến.

Quan sát danh sách mật khẩu nhận thấy đây không phải là kiểu mã hóa mật khẩu một chiều (sử dụng hàm băm) mà chỉ là một phương pháp mã hóa khá đơn giản.

Sau khoảng hơn nửa tiếng tiến hành thử nghiệm giải mã, anh bạn tôi – một chuyên viên của Văn phòng Bộ Thông tin & Truyền thông, mà tên tuổi gắn liền với trò chơi Lines 98 khá phổ biến tại Việt Nam hồi đầu những năm 2000, đã có được hơn 400 ngàn mật khẩu của các thành viên chương trình Bông Sen Vàng.

Thử đối chiếu qua một vài người bạn, chúng tôi được xác nhận đúng mật khẩu, ngoài ra cũng có thể dễ dàng xác nhận bằng mắt thường các mật khẩu sau khi được giải mã.

Mặc dù trên các phương tiện thông tin đại chúng đã phân tích mổ xẻ khá nhiều chiều, nhiều góc nhìn từ kỹ thuật đến khía cạnh quản lý, tuy nhiên vấn đề lộ mật khẩu và các hậu quả, rủi ro của nó thì lại ít được đề cập đến.

Thậm chí bạn bè của chúng tôi, một số thì dửng dưng “tưởng mật khẩu nó công bố trong file excel rồi mà”, một số đã từng mở file excel thì ngạc nhiên “tưởng nó hash rồi cơ mà” (hash - hàm băm mã hóa 1 chiều, gần như không có khả năng giải mã).

Thực sự vấn đề nghiêm trọng hơn những gì mọi người vẫn tưởng. Các mật khẩu này được đặt một cách vô cùng bất cẩn, có thể do chính người dùng đặt, cũng có thể nhân viên khi nhập dữ liệu đã đặt hộ khách hàng.

Chúng tôi đã thử làm một bảng thống kê, và không ngoài dự đoán khi mật khẩu 123456 được sử dụng phổ biến nhất - chiếm tới 6,22%, tiếp đến là những mật khẩu “dễ đoán như ăn kẹo” abc123, vietnam, iloveyou,…

Bảng thống kê hành vi đặt mật khẩu các tài khoản Golden Lotus.

Điều đáng nói ở đây là có bao nhiêu hệ thống tại Việt Nam đang lưu trữ mật khẩu khách hàng “hớ hênh” như vậy? Nên biết rằng, hầu như tất cả các hệ thống đơn giản nhất hiện nay cũng sử dụng hàm băm (hash) mã hóa 1 chiều để lưu trữ mật khẩu chỉ phục vụ cho mục đích kiểm tra đúng sai. Bởi sau khi mật khẩu đã được mã hóa (băm) thì cho dù bị lộ cũng không ai có thể dò ra được chính xác mật khẩu gốc là gì.

Ngay sau vụ việc thông tin thành viên chương trình Bông Sen Vàng bị lộ lọt, các cơ quan chức năng đã có văn bản cảnh báo gửi đi các nơi, Vietnam Airlines cũng có thông báo đề nghị khách hàng đổi mật khẩu Golden Lotus của mình trên hệ thống sau khi được khắc phục.

Tuy nhiên có một việc chưa được đề cập đến đó là hậu quả của việc giải mã được mật khẩu, khi đó mật khẩu kèm theo tên, địa chỉ của khách hàng bị lộ, và không có gì đảm bảo thói quen của người dùng sẽ sử dụng chung 1 mật khẩu cho nhiều dịch vụ trực tuyến của mình, đó là: email, tài khoản ngân hàng, tài khoản thanh toán…

Một ví dụ đơn giản, chúng tôi có khoảng 20 người bạn chung có tên trong danh sách, vì là bạn nên chúng tôi biết địa chỉ gmail của họ. Thử dò bằng mật khẩu đã được giải mã, nếu may mắn, chúng tôi có thể dò được 1-2 người do thói quen sử dụng chung mật khẩu.

Từ gmail, chúng tôi có thể chiếm được rất nhiều tài khoản khác đã từng sử dụng email này để đăng ký dịch vụ từ tài khoản ngân hàng, chứng khoán, ví điện tử,…

V.Cường

Lùi thời hạn hoàn thành đồ án quy hoạch phân khu đô thị sông Hồng đến tháng 7

Sở Quy hoạch - Kiến trúc Hà Nội kiến nghị UBND TP xem xét điều chỉnh thời hạn hoàn thành đồ án quy hoạch phân khu đô thị sông Hồng đến tháng 7, do tiến độ quá chậm, chưa hoàn thành theo yêu cầu của TP.

Thanh tra chỉ ra những doanh nghiệp vi phạm về khoáng sản trên địa bàn An Giang

Ngày 17/3, Thanh tra tỉnh An Giang cho biết, vừa có kết luận thanh tra về công tác quản lý, cấp phép khai thác khoáng sản trên địa bàn tỉnh An Giang, thời kỳ từ 1/1/2020 đến 30/11/2025.

Khởi tố vụ án xảy ra tại Tập đoàn Hóa chất Đức Giang và các đơn vị liên quan

Qua công tác nắm tình hình lĩnh vực khai thác tài nguyên khoáng sản và sản xuất, kinh doanh hóa chất, Cục CSĐT tội phạm về tham nhũng, kinh tế, buôn lậu (Cơ quan CSĐT Bộ Công an) phát hiện dấu hiệu vi phạm pháp luật nghiêm trọng tại Công ty Cổ phần Tập đoàn Hóa chất Đức Giang (viết tắt: Tập đoàn Hóa chất Đức Giang).

Ngăn chặn lợi dụng giá xăng dầu tăng để tăng giá dịch vụ

Trong bối cảnh giá xăng dầu trong nước liên tục biến động theo chiều hướng tăng cao, giá cả các loại dịch vụ tại Lâm Đồng vẫn ghi nhận nhiều tín hiệu tích cực. Phần lớn cơ sở kinh doanh du lịch, ăn uống, vận tải hành khách chủ động giữ nguyên giá, chấp nhận giảm lợi nhuận để chia sẻ khó khăn với người tiêu dùng và du khách.

Khen thưởng đột xuất bác sĩ ép tim cứu người giữa đường

BS Nguyễn Huy Tiến, Bệnh viện Thận Hà Nội vừa được Sở Y tế Thủ đô khen thưởng đột xuất vì cứu người giữa đường, lan tỏa tinh thần y đức.

Cựu nhân viên ngân hàng "lột xác" thành “thần y”

Liên quan đến đường dây sản xuất, buôn bán thuốc chữa xương khớp giả với quy mô lớn do Công an tỉnh Thanh Hoá vừa đấu tranh, triệt xoá, Sở Y tế tỉnh Thanh Hóa vừa có báo cáo gửi Cục Quản lý Y, Dược cổ truyền - Bộ Y tế, làm rõ quá trình kiểm tra, xử lý đối với cơ sở mang danh “Phòng chẩn trị y học cổ truyền Hoàng Minh Đường”, do Hoàng Văn Toàn cầm đầu.

5 kg ma tuý nguỵ trang trong ống bánh kẹo nhập khẩu qua cảng hàng không Nội Bài

Công an cửa khẩu cảng hàng không quốc tế Nội Bài và Hải quan cửa khẩu sân bay quốc tế Nội Bài vừa phát hiện trong hành lý của hành khách người Thái Lan nhập cảnh trên chuyến bay từ Đông Phi đến Nội Bài 5 kg ma tuý (cocain) được nguỵ trang dưới hình thức ống bánh kẹo nhập khẩu.

AI có thể bị lạm dụng để tạo ra nội dung khiêu dâm giả

Thời gian qua, tình hình tội phạm truyền bá văn hoá phẩm đồi trụy trên không gian mạng có xu hướng diễn biến phức tạp, gia tăng với nhiều phương thức, thủ đoạn tinh vi.

Gắn trách nhiệm, xếp loại cán bộ, đảng viên liên quan đến đầu tư công trên địa bàn Quảng Trị

Trước thực trạng giải ngân vốn đầu tư công chưa đạt yêu cầu trong năm 2025. Ngay từ đầu năm 2026, UBND tỉnh Quảng Trị đã yêu cầu các sở, ngành, địa phương, các chủ đầu tư kịp thời triển khai quyết liệt các giải pháp thúc đẩy giải ngân vốn đầu tư công. Đưa việc giải ngân vốn đầu tư công vào xếp loại cán bộ, đảng viên.

Nổ lớn rung chuyển Baghdad, Đại sứ quán Mỹ bị nghi trở thành mục tiêu

Nhiều vụ nổ lớn đã làm rung chuyển thủ đô Baghdad (Iraq) ngày 17/3, một số thông tin cho biết Đại sứ quán Mỹ tại khu vực này đã tiếp tục trở thành mục tiêu của các cuộc tấn công bằng thiết bị bay không người lái (UAV).

Khẩn trương khắc phục lỗi hệ thống tại các trạm thu phí trên cao tốc

Ngày 17/3, UBND tỉnh Lâm Đồng cho biết, ông Nguyễn Hồng Hải, Phó chủ tịch UBND tỉnh đã có văn bản gửi Bộ Xây dựng liên quan đến việc giải quyết tình trạng ùn tắc giao thông tại các trạm thu phí không dừng (ETC) 2 tuyến cao tốc qua địa bàn.

Họp khẩn đưa giải pháp ngăn chặn thiết bị không người lái bay trái phép gần sân bay

Ngày 17/3, Cục Hàng không Việt Nam và các đơn vị trong ngành Hàng không đã họp khẩn nhằm đưa ra các giải pháp ngăn chặn kịp thời, nhằm giảm thiểu ảnh hưởng tới hoạt động hàng không dân dụng liên quan đến thiết bị bay không người lái (Drone/flycam/UAV) hoạt động trái phép gần sân bay.

AFC xử thua Malaysia, ĐT Việt Nam sớm giành vé dự Vòng chung kết Asian Cup 2027

Ngày 17/3, Liên đoàn Bóng đá châu Á (AFC) ra quyết định kỷ luật đối với Liên đoàn Bóng đá Malaysia (FAM) do vi phạm Điều 56 của Bộ Quy tắc Kỷ luật và Đạo đức AFC, qua đó tạo ra bước ngoặt quan trọng theo hướng có lợi cho ĐT Việt Nam tại bảng F, Vòng loại cuối Asian Cup 2027.

Thả diều khủng khiến 8 chuyến bay không thể hạ, cất cánh tại sân bay Cát Bi

Ngày 17/3, thông tin từ Phòng Quản lý xuất nhập cảnh, Công an TP Hải Phòng cho biết, đơn vị đang hoàn thiện hồ sơ xử lý vụ việc người dân sử dụng vật thể bay tại khu vực Cảng hàng không quốc tế Cát Bi (TP Hải Phòng), khiến 8 chuyến bay không thể hạ, cất cánh theo lộ trình.

ĐT Việt Nam hội quân tháng 3/2026: Nhiều trụ cột trở lại, xuất hiện gương mặt mới

Ngày 17/3, Liên đoàn Bóng đá Việt Nam cho biết HLV Kim Sang-sik đã công bố danh sách 23 cầu thủ ĐT Việt Nam tập trung trong dịp FIFA Days tháng 3/2026, nhằm chuẩn bị cho các nhiệm vụ quốc tế quan trọng, trong đó có trận đấu với ĐT Malaysia tại Vòng loại cuối Asian Cup 2027.

Khánh Hòa: 5 người thương vong trong tàu vận tải biển đang neo đậu

Chiều 17/3, Cơ quan CSĐT Công an tỉnh Khánh Hòa phối hợp Ban Chỉ huy Bộ đội biên phòng Khánh Hòa, Công an xã Cà Ná cùng các cơ quan chức năng, tiến hành khám nghiệm hiện trường và tử thi để điều tra vụ tai nạn lao động xảy ra trên tàu vận tải biển Trường Nguyên 18 đang neo đậu tại Cảng Quốc tế Trung Nam Cà Ná, thôn Thương Diêm 2, xã Cà Ná, tỉnh Khánh Hòa.