Nghi án bị tấn công bảo mật, nhà băng "quên" khuyến cáo khách hàng?

Phát hiện lỗi bảo mật, chuyên gia an ninh mạng lập tức khuyến cáo người dùng dừng tất cả giao dịch ngân hàng trực tuyến, nhưng các ngân hàng im lặng 3 ngày sau mới phát đi thông tin trấn an muộn màng.

Hacker khó “lọt lưới”?

Trao đổi với PV Infonet, ông Phạm Anh Tuấn – Phó tổng giám đốc Ngân hàng TMCP Công thương Việt Nam (VietinBank),  một trong những đơn vị chiếm thị phần tài khoản thanh toán lớn tại Việt Nam, khẳng định VietinBank không bị “dính” lỗi bảo mật này. Theo ông Tuấn, chỉ những website vẫn cài đặt phiên bản cũ mới bị lỗi bảo mật “trái tim rỉ máu”, còn VietinBank trong suốt quá trình đầu tư bảo mật ngân hàng đã cài phiên bản mới nhất nên hoàn toàn không gặp phải lỗi bảo mật này.

Nghi án bị tấn công bảo mật, nhà băng

Các ngân hàng khẳng định an toàn với lỗi bảo mật OpenSSL, song khách hàng vẫn không thoải mái vì không được khuyến cáo và thông tin kịp thời.

Ông Tuấn đánh giá, lỗi bảo mật OpenSSL chỉ có thể khiến ngân hàng và khách hàng thiệt hại trong trường hợp ngân hàng đó sử dụng bảo mật 1 lớp. Nhưng đối với VietinBank, ngân hàng ứng dụng công nghệ bảo mật lõi kép qua 2 lớp. Dù là khách hàng cá nhân hay doanh nghiệp sử dụng dịch vụ ebanking cũng đều được cấp một tài khoản một lần qua điện thoại (đối với khách hàng cá nhân) và mã token (đối với khách hàng doanh nghiệp). Trong trường hợp hacker có thể qua 1 lớp bảo vệ truy cập vào đọc được bộ nhớ trên máy, nhưng nếu không có mật khẩu “phụ” thì cũng không qua được “cửa ải” bảo mật của ngân hàng.

“Nếu tất cả đồ dùng để trong một phòng khi kẻ trộm đột nhập sẽ dễ dàng khoắng sạch đồ, nhưng nếu chia ngăn và mỗi ngăn có hệ thống bảo vệ riêng, thì dù có  phá vỡ ngăn này không hẳn sẽ phá vỡ được ngăn khác. Thông tin khách hàng cũng được ngân hàng bảo mật như vậy”- ông Tuấn ví von.

Trước đó, lãnh đạo Vietcombank khẳng định với Infonet, sau quá trình rà soát hệ thống giao dịch trực tuyến của nhà băng này chưa ghi nhận trường hợp khả nghi.

Cũng trong chiều 10/4, đồng loạt các nhà băng lớn, nhỏ khác như Techcombank, TPBank, ACB, VIB… đều lên tiếng khẳng định hệ thống của họ an toàn.

Đại diện ngân hàng Techcombank chiều 10/4 cho biết, Techcombank đã nhận biết được thông tin về lỗ hổng này ngay khi mới được cảnh báo thông qua kênh theo dõi và giám sát an ninh thông tin của mình. Do ngân hàng không sử dụng phiên bản phần mềm bị lỗi OpenSSL nên các hệ thống giao dịch ngân hàng trực tuyến của nhà băng này là an toàn.

“Tất cả các giao dịch qua ngân hàng trực tuyến của chúng tôi hoàn toàn an toàn, các khách hàng cá  nhân và doanh nghiệp có thể hoàn toàn yên tâm tiếp tục giao dịch bình thường”- đại diện này nhấn mạnh.

Trong số các nhà băng được cho bị “dính” lỗi bảo mật OpenSSL, VPBank được cho là ngân hàng mất nhiều thời gian nhất để “bịt” lỗ hỏng này trên website ebanking của mình. Đến ngày 9/4, tức 2 ngày sau khi các chuyên gia an ninh mạng đưa ra lời cảnh báo, VPBank mới được đánh giá là hoàn thành việc khắc phục lỗi. 

Trả lời PV Infonet về sự chậm trễ này, ông Võ Tấn Long, Giám đốc Khối CNTT – VPBank lý giải, lỗi OpenSSL Heartbleed được công bố tại Hoa Kỳ vào chiều tối ngày 7/4 (giờ Hoa Kỳ, tức rạng sáng ngày 8/4 giờ Việt Nam). Trưa 8/4 (tức đêm 9/4 giờ Việt Nam) mới phát hiện mã độc tận dụng lỗ hổng đó. Đến 9h sáng ngày 9/4 (giờ Việt Nam), các công ty bảo mật có mã để giải quyết vấn đề này.

Ngân hàng chậm trễ khuyến cáo người dùng?

Theo ông Võ Đỗ Thắng - Giám đốc Trung tâm An ninh mạng Athena, lỗi OpenSSL Heartbleed là một lỗi rất nghiêm trọng, việc các website ebanking của ngân hàng hay các cổng thanh toán trực tuyến gặp phải là điều không thể tránh khỏi.

Dù đến chiều 10/4 tất cả các ngân hàng nằm trong diện nghi vấn website bị lỗi bảo mật OpenSSL đều lên tiếng khẳng định, hệ thống của họ an toàn. Song, nhiều khách hàng đã đặt câu hỏi, liệu các nhà băng có chậm trễ trong việc kịp thời đưa ra khuyến cáo? 

Bởi, lỗi bảo mật OpenSSL được các chuyên gia an ninh mạng cảnh báo từ tối 7/4, kèm theo đó cảnh báo khách hàng ngừng giao dịch trực tuyeensm nhưng tới chiều 9/4, thậm chí là sáng ngày 10/4 – nghĩa là 2,5 ngày sau cảnh báo - vẫn không có một thông điệp nào được phát đi từ các ngân hàng khuyến cáo hay trấn an người dùng dịch vụ.

Những thông tin về sự việc này từ các ngân hàng (nếu có) đến khách hàng sớm nhất cũng phải tới chiều 10/4, một số ngân hàng mới đăng tải ngắn gọn trên website.

Đại diện một số ngân hàng cũng thừa nhận, dù hệ thống của họ an toàn song ít nhiều thông tin này cũng ảnh hưởng tới tâm lý người dùng thẻ và dịch vụ của ngân hàng.

Dù các ngân hàng đều tự tin vào hệ thống bảo mật của mình và cho rằng hacker khó “phá” được lớp bảo mật lõi kép, song về phía các chuyên gia an ninh mạng lại cho đây là lỗi bảo mật thực sự nguy hiểm.

Sự nguy hiểm của lỗi OpenSSL Heartbleed còn nằm ở chỗ chỉ vài giờ sau khi được công bố thì các mã khai thác sơ khai nhắm vào lỗi này đã được tin tặc đưa lên mạng. Và từ đây hacker dễ dàng có được những thông tin cá nhân khách hàng như tên tuổi, địa chỉ, số điện thoại, email… Chưa kể, ngoài việc lấy cắp dữ liệu cá nhân, thì hacker hoàn toàn có thể khoắng sạch tiền trong tài khoản của chủ thẻ đó.

Theo chuyên gia từ diễn đàn an ninh mạng HVAOnline Nguyễn Hồng Phúc, để vá lỗi này trung bình mỗi ngân hàng có thể mất từ  24 - 48 giờ để cập nhật bản vá lỗi cho các lớp thiết bị vòng ngoài.

Tới thời điểm này, theo ghi nhận của các chuyên gia bảo mật hệ thống mạng, hầu hết các trang chủ ebanking của các nhà băng đều đã được “vá” lỗi xong, nhưng khó có thể ước lượng được đã có bao nhiêu chủ tài khoản bị mất thông tin cá nhân. 

Sau sự cố lỗi bảo mật này, Ngân hàng Nhà nước chính thức khuyến cáo, khách hàng dùng dịch vụ nên thay đổi mã khóa giao dịch và sử dụng các dịch vụ kiểm soát giao dịch, số dư tài khoản để giám sát tài khoản của mình. Đồng thời, phản hồi ngay cho ngân hàng đối với các thông báo về các giao dịch không phải do mình thực hiện.

Trường Giang

Làm trà từ trái vàng ruộm ở vùng quê Đất Đỏ, thu nhập hàng trăm triệu mỗi năm

Hơn 10 năm ấp ủ ý tưởng tạo ra sản phẩm từ loại trái đặc trưng của vùng đất nơi mình sinh ra, anh Hiếu đã cho ra đời sản phẩm trà Lêkima mang hương vị mới lạ mà không nơi nào có được.

Giám đốc bị 'người lạ' bán sạch cổ phiếu và lấy 2,8 tỷ trong vòng 'một nốt nhạc'

Chị Huyền Trang, giám đốc công ty truyền thông tại Hà Nội bị lừa mất tiền tỷ không thể ngờ mình lại là nạn nhân bởi kịch bản được dàn dựng quá tinh vi.

Loại quả mặn như muối, xưa không ai hái, giờ thành đặc sản được săn lùng

Có một loại quả rừng rất lạ, mang vị mặn như muối. Loại quả này mọc dại, trước không có ai thu hái giờ thành đặc sản được săn lùng.

Không lưu ảnh CCCD trong điện thoại để tránh mất sạch tiền trong tài khoản

Tuyệt đối không lưu trữ trên điện thoại ảnh chụp CMTND/CCCD/hộ chiếu cá nhân, mật khẩu truy cập ứng dụng ngân hàng. Chỉ cài đặt các ứng dụng chính thức trên Appstore và CH Play... để tránh mất sạch tiền trong tài khoản.

Nuôi loài nhạy cảm, 'khó chiều' trong phòng điều hòa, nông dân ở Nghệ An đổi đời

Để nâng cao năng suất của làng nghề truyền thống nuôi tằm lấy kén, người nông dân ở Nghệ An đã áp dụng kỹ thuật mới trong việc chăm sóc tằm ở phòng điều hoà.

Hà Tĩnh xây dựng đô thị văn minh không sinh rác thải nhựa

'Đi chợ mang giỏ, giảm túi ni-lông' là một trong những thông điệp lan truyền của phụ nữ trên địa bàn thành phố Hà Tĩnh. Đây là một trong những hành động thiết thực mà phụ nữ Hà Tĩnh đã, đang làm rất tốt.

SHB đặt mục tiêu tăng trưởng lợi nhuận 22% so với năm 2023

Năm 2024, SHB đặt kế hoạch lợi nhuận đạt 11.286 tỷ đồng, cao hơn 22% so với năm trước. Với chiến lược chuyển đổi giai đoạn 2024 - 2028, SHB xác lập mục tiêu Top 1 về hiệu quả, khẳng định vị thế định chế tài chính hàng đầu, vươn tầm khu vực.

Vùng đất hiếm ở Tây Bắc, người dân chia nhau 500 tỷ đồng nhờ 1 loại quả

Được thiên nhiên ưu đãi về thổ nhưỡng, khí hậu nên nông dân huyện Yên Châu tập trung làm giàu nhờ trồng mận hậu. Cả huyện thu từ khoảng 500 tỷ đồng mỗi năm từ trái mận.

Hàng made in Moscow ‘phủ sóng’ Vietnam Expo 2024

Gian hàng với chủ đề "Made in Moscow" được trưng bày tại Hội chợ thương mại quốc tế Việt Nam (Vietnam Expo) lần thứ 33 mới đây tại Trung tâm Triển lãm Quốc tế Hà Nội (ICE) tập hợp các sản phẩm từ 14 doanh nghiệp Nga thuộc nhiều lĩnh vực.

Diễn biến mới vụ 2 khách hàng tố mất hàng chục tỷ đồng tại MSB

Cơ quan Thanh tra, giám sát ngân hàng (NHNN) đã chuyển đơn kiến nghị, phản ánh của hai khách hàng vụ mất hàng chục tỷ đồng khi gửi tiền tại MSB Chi nhánh Thanh Xuân đến Ngân hàng MSB.