VNCERT cho biết, tổ chức cung cấp bộ thư viện OpenSSL đã xác nhận chính thức về lỗi bảo mật có tên “TLS heartbeat read overrun”. Lỗi bảo mật này giúp hacker có thể đánh cắp từ xa các dữ liệu nhạy cảm (như khóa bí mật - private keys) trong bộ nhớ.
Theo đánh giá của VNCERT thì đây là một trong các lỗi bảo mật nghiêm trọng, có phạm vi ảnh hưởng rộng, gây mất cắp thông tin cho các ứng dụng tài chính/ngân hàng, thư điện tử... Hacker sẽ tấn công vào các ứng dụng khi các cơ quan/tổ chức, doanh nghiệp… sử dụng giao thức TLS (dùng để mã hoá dữ liệu trên đường truyền).
VNCERT đề nghị các cơ quan/tổ chức quan tâm đến lỗi bảo mật này và nhanh chóng phổ biến, cảnh báo đến người dùng máy tính. Đặc biệt, đối với các đơn vị cung cấp các dịch vụ có kết nối mạng HTTPs sử dụng thư viện OpenSSL cần phải kiểm tra hệ thống và nâng cấp ngay.
Trung tâm đào tạo bảo mật DNA Security cũng cho biết, vừa qua DNA Security đã khảo sát về lỗ hổng bảo mật OpenSSL HeartBleed tại 10 trang thông tin điện tử, hộp thư điện tử, cổng thanh toán ngân hàng… và cho thấy hầu hết đều bị ảnh hưởng bởi lỗi bảo mật này. Hiện tại, các công cụ khai thác lỗ hổng bảo mật đã xuất hiện trên Internet nên hacker sẽ dễ dàng sử dụng các công cụ này dò quét tự động thăm dò trước khi phát động tấn công.