Thấy gì từ vụ các tài khoản Golden Lotus và Yahoo bị đánh cắp?

17:20 24/09/2016
Mới đây, việc Yahoo xác nhận 500 triệu tài khoản thành viên của hãng bị đánh cắp thông tin đã dấy lên mối lo ngại về việc bảo vệ dữ liệu cá nhân và nhận thức về an toàn thông tin khi “sống” trên môi trường Internet hiện đang ở mức báo động.

Các dữ liệu mà hacker tấn công và lấy được từ Yahoo có thể bao gồm họ tên, địa chỉ email, số điện thoại, ngày sinh, câu hỏi và câu trả lời bí mật. Yahoo cho rằng thông tin thẻ tín dụng, tài khoản ngân hàng hay các mật khẩu không mã hóa vẫn được bảo vệ bởi nó được lưu trên một hệ thống khác. Yahoo cũng thừa nhận, một số dữ liệu người dùng đã bị sử dụng, nhưng không ước tính có bao nhiều thành viên thật sự bị ảnh hưởng.

Hãng công nghệ Yahoo thừa nhận thông tin 500 triệu thành viên bị đánh cắp.

Trước đó, hồi tháng 7/2016, hệ thống của Hãng Hàng không Quốc gia Việt Nam (Vietnam Airlines) bị tấn công, thông tin về việc giải mã thành công mật khẩu của hơn 400 ngàn khách hàng chương trình Bông Sen Vàng - Golden Lotus, được lan truyền trên mạng.

Hacker đã công bố lên mạng danh sách hơn 400.000 khách hàng thuộc nhóm Golden Lotus trong đó chứa nhiều thông tin quan trọng như: Tên, Ngày sinh, Địa chỉ, Điểm tích lũy, Tài khoản hội viên, Mật khẩu, Email,… trong đó mật khẩu đã được mã hóa và email được sửa toàn bộ thành xxxx, chỉ để lại phần tên miền sau @.

Ngay sau khi danh sách này bị công bố, Vietnam Airlines đã có thông báo kêu gọi khách hàng đổi mật khẩu, tuy nhiên có thể chắc chắn rằng vẫn còn nhiều khách hàng chưa biết hoặc… không để ý đến.

Quan sát danh sách mật khẩu nhận thấy đây không phải là kiểu mã hóa mật khẩu một chiều (sử dụng hàm băm) mà chỉ là một phương pháp mã hóa khá đơn giản.

Sau khoảng hơn nửa tiếng tiến hành thử nghiệm giải mã, anh bạn tôi – một chuyên viên của Văn phòng Bộ Thông tin & Truyền thông, mà tên tuổi gắn liền với trò chơi Lines 98 khá phổ biến tại Việt Nam hồi đầu những năm 2000, đã có được hơn 400 ngàn mật khẩu của các thành viên chương trình Bông Sen Vàng.

Thử đối chiếu qua một vài người bạn, chúng tôi được xác nhận đúng mật khẩu, ngoài ra cũng có thể dễ dàng xác nhận bằng mắt thường các mật khẩu sau khi được giải mã.

Mặc dù trên các phương tiện thông tin đại chúng đã phân tích mổ xẻ khá nhiều chiều, nhiều góc nhìn từ kỹ thuật đến khía cạnh quản lý, tuy nhiên vấn đề lộ mật khẩu và các hậu quả, rủi ro của nó thì lại ít được đề cập đến.

Thậm chí bạn bè của chúng tôi, một số thì dửng dưng “tưởng mật khẩu nó công bố trong file excel rồi mà”, một số đã từng mở file excel thì ngạc nhiên “tưởng nó hash rồi cơ mà” (hash - hàm băm mã hóa 1 chiều, gần như không có khả năng giải mã).

Thực sự vấn đề nghiêm trọng hơn những gì mọi người vẫn tưởng. Các mật khẩu này được đặt một cách vô cùng bất cẩn, có thể do chính người dùng đặt, cũng có thể nhân viên khi nhập dữ liệu đã đặt hộ khách hàng.

Chúng tôi đã thử làm một bảng thống kê, và không ngoài dự đoán khi mật khẩu 123456 được sử dụng phổ biến nhất - chiếm tới 6,22%, tiếp đến là những mật khẩu “dễ đoán như ăn kẹo” abc123, vietnam, iloveyou,…

Bảng thống kê hành vi đặt mật khẩu các tài khoản Golden Lotus.

Điều đáng nói ở đây là có bao nhiêu hệ thống tại Việt Nam đang lưu trữ mật khẩu khách hàng “hớ hênh” như vậy? Nên biết rằng, hầu như tất cả các hệ thống đơn giản nhất hiện nay cũng sử dụng hàm băm (hash) mã hóa 1 chiều để lưu trữ mật khẩu chỉ phục vụ cho mục đích kiểm tra đúng sai. Bởi sau khi mật khẩu đã được mã hóa (băm) thì cho dù bị lộ cũng không ai có thể dò ra được chính xác mật khẩu gốc là gì.

Ngay sau vụ việc thông tin thành viên chương trình Bông Sen Vàng bị lộ lọt, các cơ quan chức năng đã có văn bản cảnh báo gửi đi các nơi, Vietnam Airlines cũng có thông báo đề nghị khách hàng đổi mật khẩu Golden Lotus của mình trên hệ thống sau khi được khắc phục.

Tuy nhiên có một việc chưa được đề cập đến đó là hậu quả của việc giải mã được mật khẩu, khi đó mật khẩu kèm theo tên, địa chỉ của khách hàng bị lộ, và không có gì đảm bảo thói quen của người dùng sẽ sử dụng chung 1 mật khẩu cho nhiều dịch vụ trực tuyến của mình, đó là: email, tài khoản ngân hàng, tài khoản thanh toán…

Một ví dụ đơn giản, chúng tôi có khoảng 20 người bạn chung có tên trong danh sách, vì là bạn nên chúng tôi biết địa chỉ gmail của họ. Thử dò bằng mật khẩu đã được giải mã, nếu may mắn, chúng tôi có thể dò được 1-2 người do thói quen sử dụng chung mật khẩu.

Từ gmail, chúng tôi có thể chiếm được rất nhiều tài khoản khác đã từng sử dụng email này để đăng ký dịch vụ từ tài khoản ngân hàng, chứng khoán, ví điện tử,…

V.Cường
# an toàn thông tin chương trình Bông Sen Vàng đánh cắp thông tin hacker tấn công lộ thông tin thành viên mất an toàn thông tin
Facebook Twitter Link gốc
Các tin khác
Triệt phá đường dây nhập lậu, tiêu thụ hàng nghìn tấn "khí cười"

Công an TP Hà Nội phối hợp với các đơn vị nghiệp vụ Bộ Công an đồng loạt tiến hành triệu tập 26 đối tượng và khám xét khẩn cấp 8 địa điểm, thu giữ nhiều tài liệu, tang vật gồm 129,3 tấn nguyên liệu khí N2O ("khí cười"); 14 hệ thống máy móc, thiết bị san chiết khí; 2 máy bơm khí; 610 kg viên nén khí N2O; 71.668 chai khí thành phẩm; 6.586 vỏ bình khí; 50 kg vỏ bóng; nhiều điện thoại di động, máy tính cá nhân…; tạm giữ 23,17 tỷ đồng cùng 9.300 USD liên quan hoạt động phạm tội. 

Thâm nhập chợ đen data

Dù lực lượng chức năng đã có nhiều biện pháp để hạn chế tình trạng spam (rác) cuộc gọi bằng cách hạn chế sim rác, cho phép người nghe báo cáo cuộc gọi làm phiền, tuy nhiên tình trạng gọi điện thoại để chào mời hàng hóa, dịch vụ, thậm chí lừa đảo tham gia các sàn giao dịch vàng, chứng khoán... vẫn chưa có dấu hiệu giảm nhiệt. Góp phần không nhỏ cho hiện trạng này, không ai khác chính là những đơn vị, hội nhóm chuyên mua bán các loại data trên chợ đen.

Israel dội bom Beirut gây thương vong lớn

Lực lượng phòng vệ dân sự Lebanon ngày 23/11 cho biết một cuộc không kích dữ dội ở trung tâm Beirut đã khiến ít nhất 11 người thiệt mạng, làm rung chuyển thủ đô khi Israel tấn công nhóm vũ trang Hezbollah.

Huế đón bằng công nhận của UNESCO và công bố hoàn thành dự án tu bổ Điện Thái Hoà

Nhân Ngày Di sản Văn hoá Việt Nam, chiều tối 23/11, tại Đại Nội Huế; UBND tỉnh Thừa Thiên Huế tổ chức Lễ đón Bằng công nhận di sản tư liệu khu vực châu Á - Thái Bình Dương của UNESCO cho “Những bản đúc nổi trên chín đỉnh đồng ở Hoàng cung Huế”; công bố hoàn thành Dự án bảo tồn, tu bổ tổng thể di tích Điện Thái Hòa…

Khi va chạm giao thông trở thành án mạng...

Thời gian gần đây, một số người tham gia giao thông ở TP Hồ Chí Minh có hành vi sử dụng vũ lực, côn đồ hung hãn sau khi xảy ra va chạm giao thông, thậm chí gây án mạng. Từ những ứng xử thiếu văn hóa như trên đã dẫn đến những hậu quả đáng tiếc, hệ lụy lâu dài cho bản thân họ, gia đình và xã hội.

Phát hiện “bọc lạ” khi đi nhặt ve chai ven biển

Chiều 23/11, Bộ Chỉ huy Bộ đội Biên phòng tỉnh Quảng Ngãi cho biết, đang phối hợp với cơ quan chức năng điều tra, làm rõ việc phát hiện 1.500 viên nén nghi ma túy trôi dạt vào bờ biển xã Bình Trị, huyện Bình Sơn.

Vụ xe chở rác rơi xuống sông Hương: Tìm thấy thi thể 2 nạn nhân

Liên quan đến vụ tai nạn xe chở rác BKS 75C-044.83 khi đi qua cầu treo Bình Thành (xã Bình Thành, thị xã Hương Trà, tỉnh Thừa Thiên Huế) bất ngờ gặp tai nạn rơi xuống sông làm 2 người mất tích như Báo CAND đã thông tin, sáng nay (23/11), lực lượng cứu nạn cứu hộ (CNCH) đã tìm thấy được 2 thi thể trên sông.

Thanh tra Chính phủ kiến nghị xử lý trách nhiệm cá nhân, lãnh đạo Bộ GTVT giai đoạn 2011-2021

Thanh tra Chính phủ vừa ban hành Thông báo số 2414/TB-TTCP thông báo kết luận thanh tra việc tái cơ cấu doanh nghiệp nhà nước, việc chuyển đổi mục đích sử dụng đất từ sản xuất kinh doanh của doanh nghiệp nhà nước, doanh nghiệp cổ phần hóa sang kinh doanh đất, xây dựng nhà ở giai đoạn 2011-2021 tại Bộ Giao thông vận tải (GTVT).

Trường đại học không được dành quá 20% chỉ tiêu để xét tuyển sớm

Bộ Giáo dục và Đào tạo (GD&ĐT) vừa công bố Dự thảo quy chế tuyển sinh đại học năm 2025, trong đó có nhiều điểm mới về xét tuyển sớm như quy định các trường đại học không được dành quá 20% chỉ tiêu để xét tuyển sớm, riêng xét học bạ phải dùng điểm cả năm lớp 12 thay vì dùng điểm 3-5 kỳ như hiện nay.

©2004. Bản quyền thuộc về Báo Công An Nhân Dân.
®Không sao chép dưới mọi hình thức khi chưa có sự đồng ý bằng văn bản của Báo Công An Nhân Dân.
English | 中文