Nhiều trang web dính lỗi an ninh “Trái tim rỉ máu”

(ICTPress) - Một lỗ hổng an ninh trực tuyến lớn có tên "Heartbleed" (Trái tim rỉ máu) có thể làm các thông tin cá nhân của bạn gặp rủi ro, trong đó có cả mật khẩu, thông tin thẻ tín dụng và thư điện tử.

Heartbleed là một lỗi trong OpenSSL, một công nghệ mã hóa nguồn mở được đến 2/3 server Web sử dụng. Lỗi này nằm phía sau nhiều trang HTTPS, thu thập thông tin cá nhân hay tài chính. Các trang này thường được hiển thị bằng một biểu tượng đồng hồ ở trình duyệt cho phép những người viếng thăm trang biết được thông tin họ đang gửi trực tuyến được ẩn tránh các con mắt tò mò.

Các tội phạm mạng có thể khai thác lỗ hổng để truy cập các dữ liệu cá nhân của những người viếng thăm cũng như các chìa khóa mã hóa hình ảnh của trang, mà có thể được sử dụng để giả mạo trang đó và thu thập nhiều thông tin hơn.

Lỗi này được một nhà nghiên cứu của Google và một hãng an ninh độc lập của Phần Lan có tên Codenimicon phát hiện ra. Các nhà nghiên cứu này đã dành một trang dành riêng để trả lời các cầu hỏi phổ biến về lỗi này. Họ thậm chí còn đưa lên trang một biểu tượng khá khủng khiếp.

Heartbleed là kết quả của một lỗi coding nhỏ nhưng có thể có những hậu quả khôn lường và tác động đến phần lớn người sử dụng Internet.

Các nhà nghiên cứu đã khám phá ra vấn đề này tuần trước và đăng tải các phát hiện của họ vào đầu tuần này, nhưng cho biết vấn đề này đã có hơn 2 năm, kể từ tháng 3/2012. Bất cứ liên lạc nào diễn ra qua SSL trong vòng 2 năm qua có thể đã bị nghe lén với mục đích xấu.

Điều gì làm cho lỗi hổng đặc biệt trở nên mơ hồ đó là không thể giải quyết đơn giản. Cần phải có hành đồng của cả các trang bị xâm hại và các cá nhân đã ghé thăm các trang này.

Để bảo vệ dữ liệu người sử dụng và chìa khóa mã hóa, các trang phải nâng cấp lên phiên bản OpenSSL đã được vá, hủy bỏ các chứng nhận SSL đã bị tổn hại và đưa ra các chứng nhận mới.

Nhiều trang web lớn như Google, Facebook, Yahoo và Amazon đã cho biết họ đã đang thực hiện các bước đi để bảo vệ các trang của mình. Các nhà nghiên cứu an ninh đã trình diễn lỗi này bằng cách đánh cắp đăng nhập (login) thư điện tử vào sáng 8/4, nhưng Yahoo đã sửa lỗi này trên các trang chính của mình, trong đó có Tumblr.

Đây không chỉ là một vấn đề đối với các trang web lớn. Các cửa hàng và các dịch vụ trực tuyến nhỏ hơn sử dụng OpenSSL, và các trang này có thể phải mất nhiều thời gian nữa để sửa chữa. Các trang web không thường không phổ biến họ đang sử dụng OpenSSL hay không, do đó quy trình cũng có nhiều lỗ hổng đối với khách hàng.

Các cá nhân nên cập nhật mật khẩu của họ ở các trang web khác nhau mà họ sử dụng, nhưng chỉ khi họ khẳng định một trang đã tiến hành các biện pháp phù hợp để ứng phó Heartbleed. Nếu các trang không thì vẫn sẽ gặp rủi ro, mật khẩu mới có thể bị đánh cắp. Nhiều trang cũng có thể gửi các thư điện tử hướng dẫn khách hàng để cập nhật các mật khẩu nếu cần thiết.

 HY

Theo CNN