Như Báo Điện tử Giáo dục Việt Nam đưa tin, mới đây trên diễn đàn an ninh mạng HVAOnline.net (Mỹ) phát đi cảnh báo với người sử dụng các dịch vụ giao dịch trực tuyến nên tạm ngưng các giao dịch. Nguyên do được các chuyên gia an ninh mạng cho biết là các hệ thống thanh toán trực tuyến, giao dịch trực tuyến tại Việt Nam bị “dính” lỗi OpenSSL Heartbleed.
Theo cách chuyên gia an ninh mạng, có khoảng 15 ngân hàng tại Việt Nam bị lỗi OpenSSL Heartbleed. Tuy nhiên, đến thời điểm này vẫn chưa có một ngân hàng nào của Việt Nam phát hiện sự cố trên. Bên cạnh đó, thông tin từ nhiều ngân hàng cho biết, chưa có trường hợp nào khách hàng gặp sự cố từ lỗi OpenSSL Heartbleed xuất phát từ việc các ngân hàng đã sớm biết thông tin và chủ động ngăn chặn vá lỗi kỹ thuật này.
Khách hàng lo lắng sau sự cố OpenSSL Heartbleed thông tin bí mật của khách hàng sẽ bị lộ ảnh hưởng tính bảo mật của tài khoản (ảnh minh họa) |
Song trên thực tế, công đoạn xử lý kỹ thuật vá lỗ hổng chỉ được thực hiện trong nội bộ các ngân hàng, chỉ khi các phương tiện truyền thông đưa tin, khác hàng mới hay biết sự cố này. Từ đó, nhiều khách hàng lo ngại, trong quá trình xử lý sự cố OpenSSL Heartbleed, thông tin bí mật của họ sẽ bị lộ, ảnh hưởng tính bảo mật của tài khoản cá nhân.
Trước lo lắng này của khách hàng, trao đổi với phóng viên chiều ngày 11/4, ông Phạm Anh Tuấn – Phó TGĐ Ngân hàng TMCP Công Thương Việt Nam (VietinBank) khẳng định, VietinBank không mắc sự lỗi kỹ thuật OpenSSL Heartbleed.
“Thực ra dư luận lo lắng quá nhiều cho sự cố đó thực ra lỗi đó không đến mức nghiêm trọng”, ông Tuấn khẳng định.
Theo ông Tuấn, hầu hết các ngân hàng hiện nay trong đó có ViettinBank luôn sử dụng hai lớp bảo mật, ngoài password bình thường cố định của khách hàng, khi thực hiện chuyển tiền bằng giao dịch điện tử khách hàng còn nhận được password thay đổi 1 phút một lần. Vì thế, kể cả khi password của khách hàng có bị lộ thì vẫn còn một password được ngân hàng gửi tới khách hàng thông qua số điện thoại đã đăng ký. Nếu không bị lộ, việc mất tiền là không thể xảy ra và không ai có thể thực hiện chuyển tiền đi từ tài khoản của khách hàng đó.
“Nếu mất luôn cả điện thoại, người lấy được điện thoại đó lại biết được cả password của chủ tài khoản đã đăng ký với khách hàng. Máy tính không thể biết được người đó là ai, máy ATM cũng không thể nhận biết được chủ tài khoản thật hay giả”, ông Tuấn nêu ra rủi ro.
Từ đó ông Tuấn đưa ra khuyến cáo khách hàng phải bảo vệ thông tin cá nhân, không click vào bất kỳ đường link nào mà không biết trong email, yahoo hỏi về số tài khoản, thông tin tài khoản điều này giúp cho khách hàng không bị thất thoát thông tin mật cá nhân đồng thời không bị lây truyền các trung gian. Cùng với đó là việc chọn lựa ngân hàng có uy tín bảo mật nhiều lớp.
Cũng liên quan lo ngại trên, đại diện ngân hàng CitiBank Việt Nam khẳng định lỗi OpenSSL Heartbleed vừa qua nhà băng này không bị ảnh hưởng do đó mọi giao dịch trực tuyến của khách hàng tại CitiBank đều được đảm bảo.
Tương tự đại diện của Ngân hàng TMCP Kỹ Thương Việt Nam (Techcombank) cho biết, Techcombank cũng sớm biết thông cảnh báo về lỗi OpenSSL Heartbleed. Tuy nhiên Techcombank không dùng hệ điều hành quản trị của hệ thống này do vậy không bị bất cứ sự cố hay lỗi hệ thống như đã cảnh báo.
Trong khi đó, trao đổi với phóng viên Báo Điện tử Giáo dục Việt Nam nhân viên IT (xin được dấu tên-PV) của một ngân hàng đã "bật mí" về các lớp bảo mật thông tin. Qua đó, theo khẳng định của người này nếu khác hàng không bị lộ thông tin cá nhân chắc chắn không thể bị người khác xâm nhập tài khoản. Theo nhân viên này, các ngân hàng sử dụng nhiều lớp bảo mật, đầu tiên là việc mã hóa thông ton bảo mật trực truyến của khách hàng
Theo đó, khi kết nối internet và máy tính cá nhân thông qua trang web của một ngân hàng, khách hàng đều được mã hóa rất mạnh bằng công nghệ mã hóa cao nhất là 128-bit. Mức mã hóa này sẽ nhằm bảo mật thông tin trực tuyến.
Lớp bảo vệ tiếp theo là nhập bằng, với công nghệ điện thoại smart phone hiện nay hầu hết đều là điện thoải cảm ứng với bàn phím ảo khi đăng nhập. Bàn phím ảo được hiển thị trên màn hình với bảng chữ cái được sắp sếp ngẫu nhiên. Vị trí các ký tự trên bàn phím ảo luôn thay đổi mỗi lần sử dụng vì vậy nó sẽ bảo vệ taài khoản khỏi nguy hiểm từ "phần mềm gián điệp" và "Chương trình Trojan” được thiết kế để nắm bắt tổ hợp phím và tiết lộ mật khẩu bí mật của khách hàng.
Một lớp an ninh tiếp theo được sử dụng là việc xác nhận danh tính hai lần bằng OTP (One Time Password) còn gọi là mã số kích hoạt giao dịch (OTP) là một mật khẩu duy nhất chỉ được gửi tới số điện thoại di động của quý khách đã đăng ký với ngân hàng. OTP mà khách hàng thường nhận được chỉ được dùng một lần duy nhất và sẽ hết hiệu lực trong thời gian ngắn 1- 2 phút. Mã kích hoạt giao dịch hoạt động nhằm tăng cường thêm một lớp bảo mật cho tên đăng nhập và mật khẩu của quý khách.
Ngoài ra một số yếu tố kỹ thuật như tự động ngắt kết nối, khóa tự động, biểu tượng Pad lock và chứng chỉ số Verisign. Với chứng chỉ số Verisign sẽ giúp khách hàng xác định các trang web trái phép. Chúng cung cấp bằng chứng về tính xác thực khi phiên giao dịch được mã hóa.
Được biết với lỗi OpenSSL Heartbleed, qua theo dõi của các chuyên gia mạng có khoảng 15 website ebanking của các ngân hàng và cổng thanh toán tại Việt Nam bị tấn công. Hiện nay nhiều khách hàng của các ngân hàng VietcomBank, Agribank, BIDV… vẫn đang lo lắng bị rò rỉ thông tin cá nhân sau lỗi trên.