Đại diện của một số ngân hàng, cổng thanh toán trực tuyến lớn khẳng định website của họ an toàn trước lỗi giao thức OpenSSL Heart Bleed. Tuy nhiên, với những người sử dụng nhiều giao dịch khác nhau thì nên đổi mật khẩu để tránh “rước vạ.”
An toàn
Như Vietnam+ đã đưa tin, các chuyên gia bảo mật trên thế giới vừa phát hiện lỗi nghiêm trọng trên giao thức bảo mật SSL của Internet, đe dọa hàng triệu tài khoản giao dịch trực tuyến qua các cổng thanh toán và website ngân hàng.
Không ngoại lệ, các ngân hàng và cổng thanh toán tại Việt Nam cũng được đặt trong tình trạng báo động trước mối đe dọa trên.
Để tìm hiểu kỹ hơn, phóng viên Vietnam+ đã liên lạc với một số ngân hàng, cổng thanh toán lớn và đã nhận được những phản hồi tích cực.
Đại diện Ngân hàng Hàng hải (Maritime Bank) khẳng định hiện tại đơn vị này đang sử dụng tiêu chuẩn bảo mật SSL Cert của Verisign, không phải tiêu chuẩn bảo mật Open SLL nên lỗ hổng bảo mật trên không hề đe dọa tới giao dịch của khách hàng.
Ngoài ra, việc giao dịch nói chung trên kênh Mbanking của Maritime Bank được thực hiện theo các tiêu chuẩn bảo mật quốc tế với hệ thống nền tảng của IBM, cơ chế bảo mật đa lớp được hỗ trợ bởi hai nhà cung cấp công nghệ mã hóa Verisign và RSA. Do đó, phía Maritime Bank khẳng định khách hàng hoàn toàn an tâm khi thực hiện các lệnh giao dịch tài chính qua các kênh ngân hàng điện tử được đơn vị này cung cấp.
Ông Trần Công Quỳnh Lân, Giám đốc Trung tâm công nghệ thông tin (VietinBank) cũng cho biết ngay sau khi biết có lỗ hổng bảo mật OpenSSL, đơn vị này đã tiến hành kiểm tra và xác định không bị ảnh hưởng.
“Cẩn thận hơn, chúng tôi đã nhờ Công ty an ninh mạng Bkav tiến hành kiểm tra độc lập và kết quả cũng không bị dính lỗi này,” ông Quỳnh Lân cho biết.
Các ngân hàng như Techcombank, NamABank, LienVietPostBank, SacomBank, Vietcombank, ACB, BIDV, HDBank, TPBank đều cho báo giới biết họ không dính lỗi bảo mật OpenSSL và giao dịch vẫn an toàn.
Ông Đào Minh Tuấn, Phó Tổng giám đốc Vietcombank khẳng định, để giúp khách hàng an toàn hơn trong giao dịch, ngân hàng này đều áp dụng công nghệ hiện đại, bảo mật nhiều lớp, xác nhận mật khẩu một lần khi giao dịch (one time password)…
Về phía các cổng thanh toán điện tử, ông Lê Đức Đăng, Giám đốc kỹ thuật của Baokim.vn khẳng định lỗi bảo mật của OpenSSL này chỉ gặp ở trên các phiên bản OpenSSL versions 1.0.1-1.0.1f. Baokim.vn hiện không sử dụng một trong các phiên bản OpenSSL này nên không bị ảnh hưởng. Để cẩn thận hơn, ban quản trị Baokim đã kiểm tra ở trên http://filippo.io/Heartbleed/ và cũng cho kết quả tương tự.
Đại diện cổng thanh toán Nganluong.vn thì cho biết đơn vị này thường xuyên có mối quan hệ với các tổ chức bảo mật trên thế giới. Và, ngay trong đêm nhận được thông tin về lỗi bảo mật OpenSSL, Nganluong.vn đã rà soát, nâng cấp và đảm bảo hệ thống không bị hacker khai thác.
“Quy trình khắc phục lỗi bảo mật của Nganluong.vn là trong vòng 15 phút kể từ khi nhận được thông tin của các tổ chức bảo mật. Hiện, hệ thống của chúng tôi không còn bị dính lỗi này,” đại diện Nganluong.vn khẳng định.
Ngoài ra, vị đại diện này cũng cho hay, các sản phẩm của Nganluong.vn đều đáp ứng các tiêu chuẩn bảo mật của ngành công nghiệp thẻ thanh toán thế giới (chuẩn PCI-DSS) và EMV-Co. Đơn vị này cũng nằm trong số rất ít các cổng trung gian thanh toán hiện đang hoạt động hiện nay tại Việt Nam vượt qua được các quy định và kiểm tra khắt khe của các đơn vị thuộc Ngân hàng Nhà nước để được cấp cấp giấy phép hoạt động trung gian thanh toán Ví điện tử.
Cần đổi mật khẩu
Theo các chuyên gia công nghệ, quản trị của ngân hàng, cổng thanh toán cần phải kiểm tra hệ thống của mình có gặp lỗi OpenSSL hay không, và phải cập nhật ngay để đảm bảo an toàn.
“Quản trị viên hệ thống cần kiểm tra website nếu sử dụng OpenSSL phiên bản từ 1.0.1 đến 1.0.1f và 1.0.2beta1 phải cập nhật ngay lên phiên bản mới nhất 1.0.1g,” ông Ngô Tuấn Anh, Phó Chủ tịch phụ trách an ninh mạng của Bkav nói.
Cũng theo vị chuyên gia này, lỗ hổng OpenSSL đang ảnh hưởng đến các website trên toàn thế giới, kể cả những trang uy tín như Yahoo hay Flickr. Tất cả các website sử dụng giao thức HTTPS và OpenSSL đều có nguy cơ bị tấn công chứ không chỉ có cổng giao dịch trực tuyến, website ngân hàng.
Khai thác lỗ hổng OpenSSL, tội phạm mạng có thể chiếm được phiên giao dịch của người dùng để thực hiện chuyển tiền vào tài khoản khác nếu website là dịch vụ ebanking, truy cập hộp thư của người dùng nếu là dịch vụ e-mail. Chúng cũng có thể truy cập vào mạng nội bộ của cơ quan mà không cần tài khoản đăng nhập.
Trong vài ngày tới, khi các hệ thống còn chưa được vá lỗi đầy đủ, đại diện của Bkav khuyên người dùng nên kiểm tra lỗi này trước lúc tiến hành giao dịch trực tuyến. Địa chỉ kiểm tra bằng tiếng Việt được đơn vị này cung cấp miễn phí tại Bkav.com.vn/sslScan.
Còn đại diện Maritime Bank và VietinBank đều cho biết sẽ có những phương thức thông báo đến khách hàng về việc giao dịch trên hệ thống của mình là an toàn, bằng cách đăng tải thông tin trên website, email…
Ông Trần Công Quỳnh Lân đưa ra khuyến cáo trong trường hợp khách hàng dùng dịch vụ của nhiều giao dịch khác thì cần kiểm tra xem họ có gặp phải lỗi OpenSSL hay không. Ngoài ra, người dùng nên thay đổi mật khẩu để tránh việc giao dịch trên website bị lỗi và hacker có thể khai thác lỗi này để đánh cắp tài khoản.
Mật khẩu được các chuyên gia bảo mật khuyến nghị là có đủ chữ hoa, thường, số và các ký hiệu.../.
Về lỗ hổng Open SSL, trao đổi với phóng viên Vietnam+, ông Lê Mạnh Hùng, Cục trưởng Cục Công nghệ tin học (Ngân hàng Nhà nước Việt Nam) cho biết đơn vị này thường xuyên nhận được cảnh báo từ Bộ Thông tin và Truyền thông, Bộ Công an, các hãng bảo mật.
Và, khi có cảnh báo từ các đơn vị trên, Cục Công nghệ Tin học sẽ nghiên cứu xem xét tác động và gửi công văn tới toàn ngành để phối hợp xử lý.