Nghi án bị tấn công bảo mật, nhà băng "quên" khuyến cáo khách hàng?

Phát hiện lỗi bảo mật, chuyên gia an ninh mạng lập tức khuyến cáo người dùng dừng tất cả giao dịch ngân hàng trực tuyến, nhưng các ngân hàng im lặng 3 ngày sau mới phát đi thông tin trấn an muộn màng.

Hacker khó “lọt lưới”?

Trao đổi với PV Infonet, ông Phạm Anh Tuấn – Phó tổng giám đốc Ngân hàng TMCP Công thương Việt Nam (VietinBank), một trong những đơn vị chiếm thị phần tài khoản thanh toán lớn tại Việt Nam, khẳng định VietinBank không bị “dính” lỗi bảo mật này. Theo ông Tuấn, chỉ những website vẫn cài đặt phiên bản cũ mới bị lỗi bảo mật “trái tim rỉ máu”, còn VietinBank trong suốt quá trình đầu tư bảo mật ngân hàng đã cài phiên bản mới nhất nên hoàn toàn không gặp phải lỗi bảo mật này.

Các ngân hàng khẳng định an toàn với lỗi bảo mật OpenSSL, song khách hàng vẫn không thoải mái vì không được khuyến cáo và thông tin kịp thời.

Ông Tuấn đánh giá, lỗi bảo mật OpenSSL chỉ có thể khiến ngân hàng và khách hàng thiệt hại trong trường hợp ngân hàng đó sử dụng bảo mật 1 lớp. Nhưng đối với VietinBank, ngân hàng ứng dụng công nghệ bảo mật lõi kép qua 2 lớp. Dù là khách hàng cá nhân hay doanh nghiệp sử dụng dịch vụ ebanking cũng đều được cấp một tài khoản một lần qua điện thoại (đối với khách hàng cá nhân) và mã token (đối với khách hàng doanh nghiệp). Trong trường hợp hacker có thể qua 1 lớp bảo vệ truy cập vào đọc được bộ nhớ trên máy, nhưng nếu không có mật khẩu “phụ” thì cũng không qua được “cửa ải” bảo mật của ngân hàng.

“Nếu tất cả đồ dùng để trong một phòng khi kẻ trộm đột nhập sẽ dễ dàng khoắng sạch đồ, nhưng nếu chia ngăn và mỗi ngăn có hệ thống bảo vệ riêng, thì dù có phá vỡ ngăn này không hẳn sẽ phá vỡ được ngăn khác. Thông tin khách hàng cũng được ngân hàng bảo mật như vậy”- ông Tuấn ví von.

Trước đó, lãnh đạo Vietcombank khẳng định với Infonet, sau quá trình rà soát hệ thống giao dịch trực tuyến của nhà băng này chưa ghi nhận trường hợp khả nghi.

Cũng trong chiều 10/4, đồng loạt các nhà băng lớn, nhỏ khác như Techcombank, TPBank, ACB, VIB… đều lên tiếng khẳng định hệ thống của họ an toàn.

Đại diện ngân hàng Techcombank chiều 10/4 cho biết, Techcombank đã nhận biết được thông tin về lỗ hổng này ngay khi mới được cảnh báo thông qua kênh theo dõi và giám sát an ninh thông tin của mình. Do ngân hàng không sử dụng phiên bản phần mềm bị lỗi OpenSSL nên các hệ thống giao dịch ngân hàng trực tuyến của nhà băng này là an toàn.

“Tất cả các giao dịch qua ngân hàng trực tuyến của chúng tôi hoàn toàn an toàn, các khách hàng cá nhân và doanh nghiệp có thể hoàn toàn yên tâm tiếp tục giao dịch bình thường”- đại diện này nhấn mạnh.

Trong số các nhà băng được cho bị “dính” lỗi bảo mật OpenSSL, VPBank được cho là ngân hàng mất nhiều thời gian nhất để “bịt” lỗ hỏng này trên website ebanking của mình. Đến ngày 9/4, tức 2 ngày sau khi các chuyên gia an ninh mạng đưa ra lời cảnh báo, VPBank mới được đánh giá là hoàn thành việc khắc phục lỗi.

Trả lời PV Infonet về sự chậm trễ này, ông Võ Tấn Long, Giám đốc Khối CNTT – VPBank lý giải, lỗi OpenSSL Heartbleed được công bố tại Hoa Kỳ vào chiều tối ngày 7/4 (giờ Hoa Kỳ, tức rạng sáng ngày 8/4 giờ Việt Nam). Trưa 8/4 (tức đêm 9/4 giờ Việt Nam) mới phát hiện mã độc tận dụng lỗ hổng đó. Đến 9h sáng ngày 9/4 (giờ Việt Nam), các công ty bảo mật có mã để giải quyết vấn đề này.

Ngân hàng chậm trễ khuyến cáo người dùng?

Theo ông Võ Đỗ Thắng - Giám đốc Trung tâm An ninh mạng Athena, lỗi OpenSSL Heartbleed là một lỗi rất nghiêm trọng, việc các website ebanking của ngân hàng hay các cổng thanh toán trực tuyến gặp phải là điều không thể tránh khỏi.

Dù đến chiều 10/4 tất cả các ngân hàng nằm trong diện nghi vấn website bị lỗi bảo mật OpenSSL đều lên tiếng khẳng định, hệ thống của họ an toàn. Song, nhiều khách hàng đã đặt câu hỏi, liệu các nhà băng có chậm trễ trong việc kịp thời đưa ra khuyến cáo?

Bởi, lỗi bảo mật OpenSSL được các chuyên gia an ninh mạng cảnh báo từ tối 7/4, kèm theo đó cảnh báo khách hàng ngừng giao dịch trực tuyeensm nhưng tới chiều 9/4, thậm chí là sáng ngày 10/4 – nghĩa là 2,5 ngày sau cảnh báo - vẫn không có một thông điệp nào được phát đi từ các ngân hàng khuyến cáo hay trấn an người dùng dịch vụ.

Những thông tin về sự việc này từ các ngân hàng (nếu có) đến khách hàng sớm nhất cũng phải tới chiều 10/4, một số ngân hàng mới đăng tải ngắn gọn trên website.

Đại diện một số ngân hàng cũng thừa nhận, dù hệ thống của họ an toàn song ít nhiều thông tin này cũng ảnh hưởng tới tâm lý người dùng thẻ và dịch vụ của ngân hàng.

Dù các ngân hàng đều tự tin vào hệ thống bảo mật của mình và cho rằng hacker khó “phá” được lớp bảo mật lõi kép, song về phía các chuyên gia an ninh mạng lại cho đây là lỗi bảo mật thực sự nguy hiểm.

Sự nguy hiểm của lỗi OpenSSL Heartbleed còn nằm ở chỗ chỉ vài giờ sau khi được công bố thì các mã khai thác sơ khai nhắm vào lỗi này đã được tin tặc đưa lên mạng. Và từ đây hacker dễ dàng có được những thông tin cá nhân khách hàng như tên tuổi, địa chỉ, số điện thoại, email… Chưa kể, ngoài việc lấy cắp dữ liệu cá nhân, thì hacker hoàn toàn có thể khoắng sạch tiền trong tài khoản của chủ thẻ đó.

Theo chuyên gia từ diễn đàn an ninh mạng HVAOnline Nguyễn Hồng Phúc, để vá lỗi này trung bình mỗi ngân hàng có thể mất từ 24 - 48 giờ để cập nhật bản vá lỗi cho các lớp thiết bị vòng ngoài.

Tới thời điểm này, theo ghi nhận của các chuyên gia bảo mật hệ thống mạng, hầu hết các trang chủ ebanking của các nhà băng đều đã được “vá” lỗi xong, nhưng khó có thể ước lượng được đã có bao nhiêu chủ tài khoản bị mất thông tin cá nhân.

Sau sự cố lỗi bảo mật này, Ngân hàng Nhà nước chính thức khuyến cáo, khách hàng dùng dịch vụ nên thay đổi mã khóa giao dịch và sử dụng các dịch vụ kiểm soát giao dịch, số dư tài khoản để giám sát tài khoản của mình. Đồng thời, phản hồi ngay cho ngân hàng đối với các thông báo về các giao dịch không phải do mình thực hiện.

Trường Giang