Các nhà nghiên cứu tại hãng bảo mật Codenomicon và Google Security đã tìm ra lỗi được gọi là HeartBleed (trái tim rỉ máu). HeartBleed được đánh giá là một trong các lỗ hổng bảo mật nghiêm trọng nhất từng được phát hiện.
Lỗ hổng nằm trong phần mềm OpenSSL, là thư viện mà những website quan trọng thường dùng để mã hóa dữ liệu, như giao dịch ngân hàng, thương mại điện tử hay các dịch vụ e-mail… Nhiều doanh nghiệp cũng sử dụng OpenSSL để mã hóa thông tin và cho phép nhân viên truy cập vào các ứng dụng nội bộ của cơ quan, làm việc từ xa qua Internet.
Khai thác lỗ hổng OpenSSL, tội phạm mạng có thể chiếm được phiên giao dịch của người dùng để thực hiện chuyển tiền vào tài khoản khác nếu website là dịch vụ ebanking, hay truy cập hộp thư của người dùng nếu là dịch vụ e-mail. Kẻ xấu cũng có thể truy cập vào mạng nội bộ của cơ quan mà không cần tài khoản đăng nhập. Đáng ngại hơn, lỗ này đã tồn tại được khoảng 2 năm.
"Nếu một trang dính lỗi, hacker có thể nắm được các dữ liệu của bạn, như mật mã, thông tin tài khoản ngân hàng và các thông tin cá nhân khi bạn điền chúng trên trang web đó", Michael Coates, Giám đốc bảo mật thuộc Shape Security (Mỹ), nói.
Ngày 9/4, Bộ an ninh Nội địa Mỹ khuyến cáo các doanh nghiệp ở nước này kiểm tra lại toàn bộ các hệ thống máy chủ để loại trừ lỗi. "Khi đóng vai hacker để kiểm tra mức độ an toàn bảo mật, chúng tôi đã thâm nhập được vào hệ thống của chính mình từ bên ngoài mà không để lại dấu vết", đại diện của Codenomicon cho biết.
Hiện chưa có thống kê bao nhiêu website dính lỗi, nhưng giới chuyên gia cho hay hai máy chủ web phổ biến nhất là Apache và nginx đang sử dụng OpenSSL. Phát ngôn viên của Yahoo thừa nhận dịch vụ của họ có nguy cơ bị khai thác nhưng hãng này đã nhanh chóng sửa lỗi trên các dịch vụ Search, Mail, Finance, Flickr, Tumblr... Google và Facebook đã khắc phục lỗi trước thời điểm lỗ hổng HeartBleed được công khai.
Chia sẻ với VnExpress, ông Ngô Tuấn Anh, Phó chủ tịch phụ trách an ninh mạng Bkav, cho hay lỗ hổng OpenSSL đang ảnh hưởng đến các website trên toàn thế giới, kể cả những trang uy tín như Yahoo, Flickr. Các website sử dụng giao thức HTTPS và OpenSSL đều có nguy cơ bị tấn công.
Châu An