Cảnh báo về website của các ngân hàng có thể bị hacker tấn công:

Các nhà băng rà soát hệ thống bảo mật

Thứ Bảy, 12/04/2014, 12:13

Sau khi một số nguồn báo chí nước ngoài và Việt Nam đã đưa tin về một lỗi bảo mật trong phần mềm OpenSSL có tên Heart Bleed (trái tim rỉ máu), thường được website của các ngân hàng (NH), các cổng thanh toán trên thế giới sử dụng và tin tặc có thể khai thác lỗi bảo mật này để đánh cắp thông tin, thực hiện giao dịch chuyển tiền, truy cập trái phép vào mạng nội bộ…, Ngân hàng Nhà nước (NHNN) cho biết đã nắm được thông tin từ trước và có cảnh báo tới các tổ chức tín dụng.

Các ngân hàng khẳng định mức độ bảo mật và an toàn

Tối 7/4, diễn đàn lớn nhất thế giới Reddit và trang Heartbleed.com đã công bố lỗ hổng bảo mật OpenSSL Heart Bleed, được cho là có khả năng đe dọa hàng triệu tài khoản giao dịch trực tuyến qua các cổng thanh toán và website NH. Để làm rõ hơn về vấn đề này, chiều 10/4, PV Báo CAND đã liên lạc với một số NH để nắm thông tin. Khẳng định các giao dịch online của NH Á Châu (ACB) bảo mật và an toàn, ông Nguyễn Thanh Toại, người phát ngôn của ACB cho biết: “ACB đã kiểm tra hệ thống và khẳng định rằng, hệ thống giao dịch online của ACB không bị ảnh hưởng, nhờ vào công tác cập nhật liên tục hệ thống tường lửa bảo mật (firewall). Chủ động hơn, ngay trong ngày, ACB đã tiến hành cập nhật OpenSSL lên phiên bản v.1.0.1g nhằm tăng cường bảo mật thông tin giao dịch”.

Cũng khẳng định các giao dịch trực tuyến tại website của mình là an toàn, đại diện NH Công thương Việt Nam (VietinBank) cho biết: Ngay sau khi thông tin về lỗ hổng bảo mật được công bố vào ngày 7/4, VietinBank đã tiến hành kiểm tra đánh giá và mời chuyên gia của BKAV, công ty hàng đầu Việt Nam về an ninh bảo mật để độc lập kiểm tra, đánh giá hệ thống các website của VietinBank đối với lỗi bảo mật trên. Trên cơ sở các kết quả kiểm tra, VietinBank khẳng định, hệ thống VietinBank hoàn toàn không bị ảnh hưởng bởi lỗ hổng bảo mật OpenSSL HeartBleed. “Khách hàng hoàn toàn có thể yên tâm khi thực hiện các giao dịch trực tuyến tại website www.vietinbank.vn và https://ebanking.vietinbank.vn. VietinBank đã đầu tư hệ thống công nghệ bảo mật tiên tiến theo chuẩn quốc tế dành cho dịch vụ Internet Banking của khách hàng. "Chúng tôi cam kết đảm bảo an toàn, bảo mật tối đa cho các giao dịch trực tuyến của khách hàng", Vietinbank khẳng định.

Các nhà băng nỗ lực bảo vệ thông tin cho khách hang. Ảnh minh họa: Thiện Hoàng

Một số NH khác không sử dụng bảo mật OpenSSL như Maritimebank (MSB) thì cho biết, dù không bị ảnh hưởng, MSB cũng sẽ thực hiện gửi email và đăng thông cáo báo chí cho khách hàng của mình để xác nhận việc hệ thống ebank của MSB hoàn toàn an toàn và không bị ảnh hưởng bởi lỗ hổng bảo mật trên. "Hiện tại, MSB đang sử dụng tiêu chuẩn bảo mật SSL Cert của Verisign, mà không phải tiêu chuẩn bảo mật Open SSL, nên không bị ảnh hưởng bởi lỗ hổng bảo mật OpenSSL HeartBleed của các chuyên gia bảo mật. Việc bảo mật giao dịch nói chung của khách hàng trên kênh Mbanking của MSB được thực hiện theo các tiêu chuẩn bảo mật quốc tế, hiện đại, sử dụng hệ thống nền tảng MBTT của IBM, cơ chế bảo mật đa lớp được hỗ trợ bởi Verisign và RSA (hai nhà cung cấp công nghệ mã hóa hàng đầu thế giới). Khách hàng hoàn toàn an tâm khi thực hiện các lệnh giao dịch tài chính qua các kênh NH điện tử (Mbanking) của Maritime Bank”, Maritimebank trấn an.

Một ngân hàng khác là TPBank cũng cho biết, hệ thống Internet Banking của TPBank không sử dụng giải pháp OpenSSL, do vậy không bị ảnh hưởng bởi lỗ hổng bảo mật này. TPBank cũng đã tiến hành kiểm tra hệ thống và không hề thấy có lỗ hổng bảo mật nói trên, khách hàng có thể hoàn toàn toàn yên tâm về tính an toàn, bảo mật và tin cậy của dịch vụ ngân hàng điện tử eBank của TPBank.

Đổi mật khẩu tài khoản để bảo mật

Tại BIDV, công tác bảo mật an ninh mạng đã được NH đặc biệt quan tâm. Hiện, BIDV đã ký hợp đồng với Cục Kỹ thuật nghiệp vụ, Tổng cục An ninh và BKAV để rà soát thường xuyên. "Đội ngũ kỹ thuật của NH cũng có theo dõi và xử lý, kiểm soát tấn công", Giám đốc Trung tâm CNTT BIDV Nguyễn Xuân Hòa nói.

Từ phía cơ quan quản lý, trao đổi với PV Báo CAND, một đại diện của NHNN cho biết, thực ra, cơ quan này đã nắm được thông tin về nguy cơ lỗ hổng bảo mật trên OpenSSL nên cách đây hơn 10 ngày, vào ngày 28/3, NHNN đã có công văn yêu cầu các tổ chức tín dụng cung ứng dịch vụ thanh toán tăng cường các biện pháp đảm bảo an toàn trong thanh toán. Và mới nhất là sáng 10/4, Cục Công nghệ tin học của NHNN cũng đã có Công văn số 342/CNTH8 cảnh báo về lỗ hổng bảo mật OpenSSL, yêu cầu các tổ chức tín dụng thực hiện ngay công việc rà soát các website ứng dụng cung cấp trên mạng, thông báo tới các khách hàng và rà soát các giao dịch trực tuyến, đồng thời cập nhật các phiên bản công nghệ mới nhất để tránh bị hacker tấn công. "Trong tối 10-4 hoặc muộn nhất là sớm 11/4, phía NHNN sẽ có trả lời chính thức về vấn đề này cho dư luận biết”, nguồn tin này khẳng định.

Song song với việc rà soát, nâng cấp phiên bản của các nhà băng, các chuyên gia an ninh mạng cảnh báo, khách hàng nên kiểm tra lại các giao dịch trực tuyến qua Intenet ngân hàng (e-banking) của mình, đổi mật khẩu tài khoản nếu thực hiện các dịch vụ e-banking từ ngày 7/4 đến nay, không truy cập vào các máy tính lạ, máy tính công cộng…

Ngân hàng khẳng định không bị ảnh hưởng từ lỗ hổng bảo mật OpenSSL

Trước thông tin có khoảng 15 website e-banking của một số ngân hàng và cổng thanh toán trực tuyến trên cả nước đã bị các hacker tấn công từ lỗ hổng bảo mật OpenSSL Heart Bleed - một phương thức bảo mật thông dụng cho tài khoản trực tuyến, trong các ngày 10 và 11/4 nhiều ngân hàng trên cả nước đã lên tiếng khẳng định không bị ảnh hưởng bởi lỗ hổng bảo mật này. Với Vietcombank, sau khi rà soát và kiểm tra lại toàn bộ hệ thống hạ tầng mạng, Vietcombank cũng khẳng định không gặp phải những lỗi này. Đồng thời khuyến cáo khách hàng khi sử dụng dịch vụ ngân hàng trực tuyến tuyệt đối không thực hiện gián tiếp thông qua các đường link khác mà phải truy cập trực tiếp vào trang chủ của Vietcombank để đảm bảo an toàn. Đại diện Techcombank cũng đã lên tiếng khẳng định hiện không sử dụng phiên bản phần mềm bị lỗi OpenSSL; khách hàng hoàn toàn yên tâm về tính an toàn, bảo mật và độ tin cậy của dịch vụ ngân hàng điện tử e-banking của Techcombank. Hệ thống Internet Banking của ngân hàng không sử dụng giải pháp OpenSSL do vậy không bị ảnh hưởng bởi lỗ hổng bảo mật này.

Đ.Thắng

Người dùng cần cân nhắc trước khi tiến hành các giao dịch trực tuyến quan trọng

Ngày 10/4, Công ty An ninh mạng BKAV đã phát đi thông điệp cảnh báo và hướng dẫn người dùng cách thức để đối phó với lỗ hổng bảo mật nghiêm trọng vừa được phát hiện trong giao dịch trực tuyến. Theo thông báo của BKAV, vài ngày nay, một lỗ hổng nghiêm trọng trong hệ thống giao dịch trực tuyến toàn cầu đã đặt hàng triệu người dùng vào nguy cơ mất thông tin, mất tiền khi tham gia thanh toán online. Ông Ngô Tuấn Anh, Phó Chủ tịch phụ trách an ninh mạng BKAV, cho biết: Lỗ hổng nằm trong phần mềm OpenSSL, là thư viện mà các website quan trọng thường dùng để mã hóa dữ liệu, như các website E-Banking, thương mại điện tử hay những dịch vụ e-mail như Yahoo, Google… Nhiều cơ quan, doanh nghiệp cũng sử dụng OpenSSL để mã hóa dữ liệu, cho phép nhân viên có thể truy cập vào các ứng dụng nội bộ của cơ quan, làm việc từ xa qua Internet. Khai thác lỗ hổng OpenSSL, tội phạm mạng có thể chiếm được phiên giao dịch của người dùng để thực hiện chuyển tiền vào tài khoản khác nếu website là dịch vụ E-Banking, truy cập hộp thư của người dùng nếu là dịch vụ e-mail. Chúng cũng có thể truy cập vào mạng nội bộ của cơ quan mà không cần tài khoản đăng nhập.

(Huyền Thanh)

Lệ Thúy - Thanh Hà