Thấy gì từ vụ các tài khoản Golden Lotus và Yahoo bị đánh cắp?

17:20 24/09/2016

Mới đây, việc Yahoo xác nhận 500 triệu tài khoản thành viên của hãng bị đánh cắp thông tin đã dấy lên mối lo ngại về việc bảo vệ dữ liệu cá nhân và nhận thức về an toàn thông tin khi “sống” trên môi trường Internet hiện đang ở mức báo động.

Các dữ liệu mà hacker tấn công và lấy được từ Yahoo có thể bao gồm họ tên, địa chỉ email, số điện thoại, ngày sinh, câu hỏi và câu trả lời bí mật. Yahoo cho rằng thông tin thẻ tín dụng, tài khoản ngân hàng hay các mật khẩu không mã hóa vẫn được bảo vệ bởi nó được lưu trên một hệ thống khác. Yahoo cũng thừa nhận, một số dữ liệu người dùng đã bị sử dụng, nhưng không ước tính có bao nhiều thành viên thật sự bị ảnh hưởng.

Hãng công nghệ Yahoo thừa nhận thông tin 500 triệu thành viên bị đánh cắp.

Trước đó, hồi tháng 7/2016, hệ thống của Hãng Hàng không Quốc gia Việt Nam (Vietnam Airlines) bị tấn công, thông tin về việc giải mã thành công mật khẩu của hơn 400 ngàn khách hàng chương trình Bông Sen Vàng - Golden Lotus, được lan truyền trên mạng.

Hacker đã công bố lên mạng danh sách hơn 400.000 khách hàng thuộc nhóm Golden Lotus trong đó chứa nhiều thông tin quan trọng như: Tên, Ngày sinh, Địa chỉ, Điểm tích lũy, Tài khoản hội viên, Mật khẩu, Email,… trong đó mật khẩu đã được mã hóa và email được sửa toàn bộ thành xxxx, chỉ để lại phần tên miền sau @.

Ngay sau khi danh sách này bị công bố, Vietnam Airlines đã có thông báo kêu gọi khách hàng đổi mật khẩu, tuy nhiên có thể chắc chắn rằng vẫn còn nhiều khách hàng chưa biết hoặc… không để ý đến.

Quan sát danh sách mật khẩu nhận thấy đây không phải là kiểu mã hóa mật khẩu một chiều (sử dụng hàm băm) mà chỉ là một phương pháp mã hóa khá đơn giản.

Sau khoảng hơn nửa tiếng tiến hành thử nghiệm giải mã, anh bạn tôi – một chuyên viên của Văn phòng Bộ Thông tin & Truyền thông, mà tên tuổi gắn liền với trò chơi Lines 98 khá phổ biến tại Việt Nam hồi đầu những năm 2000, đã có được hơn 400 ngàn mật khẩu của các thành viên chương trình Bông Sen Vàng.

Thử đối chiếu qua một vài người bạn, chúng tôi được xác nhận đúng mật khẩu, ngoài ra cũng có thể dễ dàng xác nhận bằng mắt thường các mật khẩu sau khi được giải mã.

Mặc dù trên các phương tiện thông tin đại chúng đã phân tích mổ xẻ khá nhiều chiều, nhiều góc nhìn từ kỹ thuật đến khía cạnh quản lý, tuy nhiên vấn đề lộ mật khẩu và các hậu quả, rủi ro của nó thì lại ít được đề cập đến.

Thậm chí bạn bè của chúng tôi, một số thì dửng dưng “tưởng mật khẩu nó công bố trong file excel rồi mà”, một số đã từng mở file excel thì ngạc nhiên “tưởng nó hash rồi cơ mà” (hash - hàm băm mã hóa 1 chiều, gần như không có khả năng giải mã).

Thực sự vấn đề nghiêm trọng hơn những gì mọi người vẫn tưởng. Các mật khẩu này được đặt một cách vô cùng bất cẩn, có thể do chính người dùng đặt, cũng có thể nhân viên khi nhập dữ liệu đã đặt hộ khách hàng.

Chúng tôi đã thử làm một bảng thống kê, và không ngoài dự đoán khi mật khẩu 123456 được sử dụng phổ biến nhất - chiếm tới 6,22%, tiếp đến là những mật khẩu “dễ đoán như ăn kẹo” abc123, vietnam, iloveyou,…

Bảng thống kê hành vi đặt mật khẩu các tài khoản Golden Lotus.

Điều đáng nói ở đây là có bao nhiêu hệ thống tại Việt Nam đang lưu trữ mật khẩu khách hàng “hớ hênh” như vậy? Nên biết rằng, hầu như tất cả các hệ thống đơn giản nhất hiện nay cũng sử dụng hàm băm (hash) mã hóa 1 chiều để lưu trữ mật khẩu chỉ phục vụ cho mục đích kiểm tra đúng sai. Bởi sau khi mật khẩu đã được mã hóa (băm) thì cho dù bị lộ cũng không ai có thể dò ra được chính xác mật khẩu gốc là gì.

Ngay sau vụ việc thông tin thành viên chương trình Bông Sen Vàng bị lộ lọt, các cơ quan chức năng đã có văn bản cảnh báo gửi đi các nơi, Vietnam Airlines cũng có thông báo đề nghị khách hàng đổi mật khẩu Golden Lotus của mình trên hệ thống sau khi được khắc phục.

Tuy nhiên có một việc chưa được đề cập đến đó là hậu quả của việc giải mã được mật khẩu, khi đó mật khẩu kèm theo tên, địa chỉ của khách hàng bị lộ, và không có gì đảm bảo thói quen của người dùng sẽ sử dụng chung 1 mật khẩu cho nhiều dịch vụ trực tuyến của mình, đó là: email, tài khoản ngân hàng, tài khoản thanh toán…

Một ví dụ đơn giản, chúng tôi có khoảng 20 người bạn chung có tên trong danh sách, vì là bạn nên chúng tôi biết địa chỉ gmail của họ. Thử dò bằng mật khẩu đã được giải mã, nếu may mắn, chúng tôi có thể dò được 1-2 người do thói quen sử dụng chung mật khẩu.

Từ gmail, chúng tôi có thể chiếm được rất nhiều tài khoản khác đã từng sử dụng email này để đăng ký dịch vụ từ tài khoản ngân hàng, chứng khoán, ví điện tử,…

V.Cường

Nêu gương, "nói thẳng, nói thật" tại phiên thảo luận tổ Hội nghị Công an toàn quốc

Thực hiện Chương trình Hội nghị Công an toàn quốc lần thứ 80, chiều 26/12, Bộ Công an tổ chức 6 Tổ thảo luận nhằm đánh giá tình hình, kết quả các mặt công tác Công an năm 2024. Với phương châm "đề cao tinh thần trách nhiệm, tập trung trí tuệ, với tinh thần nêu gương, nhìn thẳng vào sự thật, nói thẳng, nói thật, nói hết" mà Đại tướng Lương Tam Quang, Uỷ viên Bộ Chính trị, Bí thư Đảng uỷ Công an Trung ương, Bộ trưởng Bộ Công an đã chỉ đạo tại phiên khai mạc hội nghị, các đại biểu đã tập trung thảo luận, chỉ rõ những tồn tại, hạn chế, bàn giải pháp khắc phục, phát huy thời gian tới.

Vì sao cơ quan giám định từ chối cung cấp kết quả giám định tờ vé số 2 tỷ đồng?

Bà Nguyệt không là phải chủ thể yêu cầu giám định tờ vé số mà Công ty TNHH Một thành viên XSKT tỉnh Thừa Thiên Huế mới là chủ thể. Vì vậy, việc cơ quan giám định từ chối cung cấp kết quả giám định cho bà Nguyệt...

Đắk Nông đón nhận danh hiệu Công viên địa chất toàn cầu UNESCO lần 2

Tối 26/12, tại TP Gia Nghĩa, Tỉnh uỷ, UBND tỉnh Đắk Nông đã long trọng tổ chức “Lễ đón nhận danh hiệu Công viên địa chất toàn cầu UNESCO lần thứ 2, năm 2024”.

Lấn làn vượt ẩu, tài xế ô tô gặp ngay CSGT

Tài xế với thói “khôn lỏi” điều khiển xe ô tô lấn làn, vượt ẩu trên đường Quốc lộ không ngờ gặp xe tuần tra của CSGT đang làm nhiệm vụ…

Kỳ 1: Tiếp tay “xã hội đen” cưỡng đoạt tài sản của doanh nghiệp

Với vai trò là đại biểu Quốc hội (ĐBQH), Phó Trưởng ban Dân nguyện, tuy nhiên thay vì “công, chính, liêm, minh” nói lên tiếng nói của các cử tri, ông Lưu Bình Nhưỡng đã lợi dụng vị trí, quyền hạn của mình để “bảo kê” cho một số đối tượng kiểu “xã hội đen” cưỡng đoạt tài sản của doanh nghiệp. Sự đan chéo lợi ích nhuốm mùi tiền giữa các đối tượng đã khiến cựu ĐBQH trên bất chấp quy định, bẻ cong luật pháp để trục lợi cá nhân.

Trịnh Thu Vinh - xạ thủ của CAND dẫn đầu danh sách VĐV tiêu biểu năm 2024

Xạ thủ của Thể thao Công an nhân dân dẫn đầu danh sách bình chọn Vận động viên (VĐV) tiêu biểu năm 2024 với 1.286 điểm.

Làm rõ những nội dung quản lý Nhà nước tại Tổng công ty Thuốc lá Việt Nam

Chiều 26/12/2024, tại Họp báo thông báo tình hình kết quả công tác Công an năm 2024 do Bộ Công an tổ chức, Thượng tá Vũ Thanh Tùng, Phó Cục trưởng Cục CSĐT tội phạm về tham nhũng, kinh tế, buôn lậu thông tin về xử lý vụ việc liên quan quản lý, sử dụng vốn và tài sản Nhà nước tại Tổng Công ty Thuốc lá Việt Nam (Vinataba).

Nga sẵn sàng hợp tác với Mỹ nếu Washington mở lời

Nga sẵn sàng hợp tác với chính quyền sắp tới của Tổng thống Mỹ Donald Trump để cải thiện quan hệ nếu Washington có ý định nghiêm túc thực hiện điều đó và Mỹ phải là người hành động trước, Ngoại trưởng Nga Sergei Lavrov ngày 26/12 nhấn mạnh.

Khởi tố thêm 9 bị can trong vụ án tại Tạp chí Môi trường và Đô thị

Chiều 26/12, thông tin tại buổi họp báo do Bộ Công an tổ chức, Đại tá Trần Xuân Ánh, Giám đốc Công an tỉnh Thái Bình, cho biết: Liên quan đến vụ án tại Tạp chí Môi trường và Đô thị, ngày 25/12, đơn vị đã khởi tố thêm 9 bị can, đồng thời triệu tập 20 đối tượng để mở rộng điều tra.

Nguyễn Anh Bảo Quốc – “mắt xích” chuyên tiếp nhận hộp số ôtô chứa ma túy

Chiều 26/12, được nói lời sau cùng, nhiều bị cáo mong HĐXX giảm nhẹ hình phạt và mong được sống để làm lại cuộc đời, nhưng cũng có người xin sớm được thi hành án.

Mua 250kg hóa chất về bán cho các đối tượng chế lậu pháo

Chiều 26/12, Phòng An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao Công an tỉnh Lâm Đồng cho biết, đã phối hợp với Công an huyện Đức Trọng bắt giữ B.V.L (SN 1994), để điều tra, làm rõ các loại hóa chất dùng để chế tạo pháo nổ trái pháp luật.

Thu giữ thêm hàng trăm tỷ đồng từ vụ án Mr Pips Phó Đức Nam

Mở rộng điều tra vụ án Phó Đức Nam (tức Mr Pips), Công an TP Hà Nội đã tạm giữ thêm một ô tô hiệu Mercedes, 12 tỷ đồng trong tài khoản, 18 chung cư, bất động sản trị giá khoảng 100 tỷ đồng.

Giám sát chặt chẽ những kết luận pháp y tâm thần nhằm tránh bỏ lọt tội phạm

Chiều 26/12, thông tin tại buổi họp báo do Bộ Công an tổ chức, Thiếu tướng Phan Mạnh Trường, Phó Cục trưởng Cục Cảnh sát Hình sự, Bộ Công an cho biết: Cơ quan CSĐT Bộ Công an đã khởi tố 16 đối tượng, trong đó có 12 đối tượng là nhân viên, lãnh đạo, nguyên lãnh đạo Viện Pháp y tâm thần Trung ương Biên Hòa, Đồng Nai về hành vi môi giới, đưa và nhận hối lộ.

Cặp vợ chồng tổng giám đốc chiếm đoạt 100 tỷ đồng bằng chiêu "góp vốn"

Với thủ đoạn lấy tiền của người sau trả cho người trước, Hạnh và Nhi đã chiếm đoạt của nhiều cá nhân với số tiền hơn 100 tỷ đồng.

Khởi tố 5 cựu lãnh đạo tỉnh Vĩnh Phúc, Phú Thọ liên quan đến vụ án Phúc Sơn

Chiều 26/12, tại họp báo thông báo tình hình, kết quả công tác Công an năm 2024, phương hướng, nhiệm vụ công tác Công an năm 2025 của Bộ Công an, Thượng tá Vũ Thanh Tùng, Phó Cục trưởng Cục CSĐT tội phạm về tham nhũng, kinh tế, buôn lậu, Bộ Công an cho biết, Cơ quan CSĐT Bộ Công an vừa khởi tố thêm 5 bị can nguyên là lãnh đạo tỉnh Vĩnh Phúc, Phú Thọ liên quan vụ án Phúc Sơn.

Nga phá nhiều âm mưu ám sát quan chức cấp cao

Tổng cục An ninh Liên bang Nga (FSB) ngày 26/12 cho biết đã phá vỡ một số âm mưu của các cơ quan tình báo Ukraine nhằm ám sát các sĩ quan cấp cao của Nga và gia đình họ tại Moscow bằng cách sử dụng bom được ngụy trang thành sạc dự phòng hoặc cặp tài liệu, Reuters đưa tin.