Thấy gì từ vụ các tài khoản Golden Lotus và Yahoo bị đánh cắp?

Mới đây, việc Yahoo xác nhận 500 triệu tài khoản thành viên của hãng bị đánh cắp thông tin đã dấy lên mối lo ngại về việc bảo vệ dữ liệu cá nhân và nhận thức về an toàn thông tin khi “sống” trên môi trường Internet hiện đang ở mức báo động.

Các dữ liệu mà hacker tấn công và lấy được từ Yahoo có thể bao gồm họ tên, địa chỉ email, số điện thoại, ngày sinh, câu hỏi và câu trả lời bí mật. Yahoo cho rằng thông tin thẻ tín dụng, tài khoản ngân hàng hay các mật khẩu không mã hóa vẫn được bảo vệ bởi nó được lưu trên một hệ thống khác. Yahoo cũng thừa nhận, một số dữ liệu người dùng đã bị sử dụng, nhưng không ước tính có bao nhiều thành viên thật sự bị ảnh hưởng.



Hãng công nghệ Yahoo thừa nhận thông tin 500 triệu thành viên bị đánh cắp.

Trước đó, hồi tháng 7/2016, hệ thống của Hãng Hàng không Quốc gia Việt Nam (Vietnam Airlines) bị tấn công, thông tin về việc giải mã thành công mật khẩu của hơn 400 ngàn khách hàng chương trình Bông Sen Vàng - Golden Lotus, được lan truyền trên mạng.

Hacker đã công bố lên mạng danh sách hơn 400.000 khách hàng thuộc nhóm Golden Lotus trong đó chứa nhiều thông tin quan trọng như: Tên, Ngày sinh, Địa chỉ, Điểm tích lũy, Tài khoản hội viên, Mật khẩu, Email,… trong đó mật khẩu đã được mã hóa và email được sửa toàn bộ thành xxxx, chỉ để lại phần tên miền sau @.

Ngay sau khi danh sách này bị công bố, Vietnam Airlines đã có thông báo kêu gọi khách hàng đổi mật khẩu, tuy nhiên có thể chắc chắn rằng vẫn còn nhiều khách hàng chưa biết hoặc… không để ý đến.



Quan sát danh sách mật khẩu nhận thấy đây không phải là kiểu mã hóa mật khẩu một chiều (sử dụng hàm băm) mà chỉ là một phương pháp mã hóa khá đơn giản.

Sau khoảng hơn nửa tiếng tiến hành thử nghiệm giải mã, anh bạn tôi – một chuyên viên của Văn phòng Bộ Thông tin & Truyền thông, mà tên tuổi gắn liền với trò chơi Lines 98 khá phổ biến tại Việt Nam hồi đầu những năm 2000, đã có được hơn 400 ngàn mật khẩu của các thành viên chương trình Bông Sen Vàng.

Thử đối chiếu qua một vài người bạn, chúng tôi được xác nhận đúng mật khẩu, ngoài ra cũng có thể dễ dàng xác nhận bằng mắt thường các mật khẩu sau khi được giải mã.

Mặc dù trên các phương tiện thông tin đại chúng đã phân tích mổ xẻ khá nhiều chiều, nhiều góc nhìn từ kỹ thuật đến khía cạnh quản lý, tuy nhiên vấn đề lộ mật khẩu và các hậu quả, rủi ro của nó thì lại ít được đề cập đến.

Thậm chí bạn bè của chúng tôi, một số thì dửng dưng “tưởng mật khẩu nó công bố trong file excel rồi mà”, một số đã từng mở file excel thì ngạc nhiên “tưởng nó hash rồi cơ mà” (hash - hàm băm mã hóa 1 chiều, gần như không có khả năng giải mã).

Thực sự vấn đề nghiêm trọng hơn những gì mọi người vẫn tưởng. Các mật khẩu này được đặt một cách vô cùng bất cẩn, có thể do chính người dùng đặt, cũng có thể nhân viên khi nhập dữ liệu đã đặt hộ khách hàng.

Chúng tôi đã thử làm một bảng thống kê, và không ngoài dự đoán khi mật khẩu 123456 được sử dụng phổ biến nhất - chiếm tới 6,22%, tiếp đến là những mật khẩu “dễ đoán như ăn kẹo” abc123, vietnam, iloveyou,…



Bảng thống kê hành vi đặt mật khẩu các tài khoản Golden Lotus.


Điều đáng nói ở đây là có bao nhiêu hệ thống tại Việt Nam đang lưu trữ mật khẩu khách hàng “hớ hênh” như vậy? Nên biết rằng, hầu như tất cả các hệ thống đơn giản nhất hiện nay cũng sử dụng hàm băm (hash) mã hóa 1 chiều để lưu trữ mật khẩu chỉ phục vụ cho mục đích kiểm tra đúng sai. Bởi sau khi mật khẩu đã được mã hóa (băm) thì cho dù bị lộ cũng không ai có thể dò ra được chính xác mật khẩu gốc là gì.

Ngay sau vụ việc thông tin thành viên chương trình Bông Sen Vàng bị lộ lọt, các cơ quan chức năng đã có văn bản cảnh báo gửi đi các nơi, Vietnam Airlines cũng có thông báo đề nghị khách hàng đổi mật khẩu Golden Lotus của mình trên hệ thống sau khi được khắc phục.

Tuy nhiên có một việc chưa được đề cập đến đó là hậu quả của việc giải mã được mật khẩu, khi đó mật khẩu kèm theo tên, địa chỉ của khách hàng bị lộ, và không có gì đảm bảo thói quen của người dùng sẽ sử dụng chung 1 mật khẩu cho nhiều dịch vụ trực tuyến của mình, đó là: email, tài khoản ngân hàng, tài khoản thanh toán…

Một ví dụ đơn giản, chúng tôi có khoảng 20 người bạn chung có tên trong danh sách, vì là bạn nên chúng tôi biết địa chỉ gmail của họ. Thử dò bằng mật khẩu đã được giải mã, nếu may mắn, chúng tôi có thể dò được 1-2 người do thói quen sử dụng chung mật khẩu.

Từ gmail, chúng tôi có thể chiếm được rất nhiều tài khoản khác đã từng sử dụng email này để đăng ký dịch vụ từ tài khoản ngân hàng, chứng khoán, ví điện tử,…

V.Cường

TIN LIÊN QUAN

Yahoo chính thức thừa nhận bị hack hơn 500 triệu tài khoản

Đúng như tin từ trước, hãng Yahoo đã chính thức thừa nhận bị hacker lấy cắp thông tin người dùng, với số lượng khổng lồ là hơn 500 triệu tài khoản.

Yahoo chuẩn bị thừa nhận bị hacker đánh cắp thông tin 200 triệu tài khoản

200 triệu tài khoản người dùng Yahoo cùng nhiều thông tin cá nhân đi kèm đã bị hacker đánh cắp từ cách đây vài tháng, nhưng đến nay Yahoo mới cân nhắc việc thông cáo công khai.

Yahoo xác nhận hơn 500 triệu tài khoản bị tin tặc tấn công

Mới đây, Yahoo vừa xác nhận rằng hãng vừa để lộ hơn 500 triệu tài khoản người dùng. Có nghĩa là, trung bình 2 người thì có 1 người bị lộ tài khoản.

'Tất cả 3 tỷ tài khoản người dùng Yahoo đều bị hack'

Yahoo từng cho biết khoảng một tỷ tài khoản đã bị hacker khống chế vào năm 2013, nhưng hiện thừa nhận con số này thực tế lên tới 3 tỷ.

Yahoo sẽ xóa các "nick" lâu không dùng

Nếu như bạn có một 'nick' Yahoo đẹp và không muốn mất nó thì nên đăng nhập và dùng đi, bởi Yahoo đã có kế hoạch xóa các tài khoản lâu không dùng dịch vụ của hãng.

Người dùng Yahoo tiếp tục bị tấn công, hacker có thể truy cập tài khoản mà không cần mật khẩu

Techrum - Trong năm qua, Yahoo đã 2 lần trở thành đối tượng tấn công của hacker, nhưng có lẽ Yahoo vẫn chưa nằm ngoài tầm nhắm của các hacker, khi vừa qua, hãng vừa gửi email để cảnh báo người dùng rằng tài khoản của họ có thể đã tiếp tục bị xâm

Verizon xác nhận tất cả các tài khoản Yahoo đều đã bị lộ thông tin

Thông tin bị lộ bao gồm số điện thoại, ngày sinh, câu hỏi bảo mật và trả lời, cùng 'hash' của mật khẩu. Mặc dù mật khẩu, dữ liệu thanh toán và tài khoản ngân hàng đều đã được mã hoá, tuy nhiên kỹ thuật bảo mật mà Yahoo sử dụng được cho là đã lỗi

Yahoo đang nghiêm túc mua lại hàng loạt các công ty.

Yahoo đã thực hiện cả tá thương vụ mua lại kể từ tháng 10 năm ngoái. Thương vụ lớn nhất cho tới nay là Tumblr, có giá trị 1,1 tỷ USD tiền mặt. Các công ty còn lại đều được mua bằng cổ phiếu Yahoo. Các thương vụ mua lại này chủ yếu là mua các tài

THỦ THUẬT HAY

Tìm hiểu chi tiết Folder: ‘’bức tường lửa’’ bảo mật dữ liệu

Đầu tiên Secure Folder là trình bảo mật mặc định được Samsung tích hợp vào một số smartphone mới ra mắt (Galaxy S8/ Galaxy Note 8/ Galaxy J7 Plus,..).

Cách chụp ảnh hiệu ứng World Cup trên Facebook và Facebook Messenger

Theo thông tin chính thức từ mạng xã hội lớn nhất Thế giới này, trước khi khai mạc World Cup 2018 một ngày, người dùng sẽ nhận được một tin nhắn trên News Feed tài khoản Facebook của mình với nội dung mời họ tham gia

Hãy để những bức ảnh của bạn “toả sáng” với tính năng thay đổi background của GIMP

Thật dễ dàng để thay đổi backgound của một bức ảnh trong Photoshop, nhưng bạn không muốn trả chi phí đắt đỏ cho việc đó, vậy thì GIMP sẽ là lựa chọn sáng suốt. Thay đổi nền trong GIMP rất đơn giản và có nhiều cách khác

Nâng cấp mua tài khoản ChatGPT Plus (ChatGPT-4) chính chủ giá rẻ 2023

Sau màn đổ bộ xuất sắc của ChatGPT trên các nền tảng xã hội lớn, chắc hẳn bạn đã thấy những lợi ích tuyệt vời của công cụ AI tuyệt vời này trong công việc và cuộc sống hàng ngày rồi phải không? Hơn thế nữa, mới đây,

Những phím tắt Kodi hữu ích mà bạn nên biết

Cũng tương tự như những phần mềm nghe nhạc khác như KMPlayer, VLC Media Player thì Kodi cũng có hệ thống phím tắt riêng. Vậy mời các bạn cùng theo dõi bài viết dưới đây để nắm rõ những phím tắt Kodi thông dụng, giúp quá

ĐÁNH GIÁ NHANH

So sánh Xiaomi Redmi Note 11 và Redmi Note 10: Có nên nâng cấp không?

Redmi Note 11 nằm trong bộ 3 Redmi Note 11 series vừa ra mắt và là bản nâng cấp của Redmi Note 10. Giữa 2 thế hệ có điểm gì khác biệt, có nên nâng cấp không? Bài so sánh Xiaomi Redmi Note 11 và Redmi Note 10 dưới đây

Đánh giá nhanh Xiaomi Redmi 5A: thiết kế trẻ trung, hiệu năng khá, trải nghiệm tốt trong tầm giá bán

Redmi 5A có thiết kế trẻ trung, cấu hình tầm trung, thời lượng pin dài, bộ đôi camera đều chụp ảnh khá ổn nhưng giá bán chỉ khoảng 2.4 triệu đồng. Khi kết hợp yếu tố phiên bản màu hồng nhìn đẹp, Redmi 5A nhìn quyến rũ,

Top 3 điện thoại cao cấp, cấu hình mạnh giảm sốc dịp 20/11 tại XTsmart

Nếu bạn đang có ý định sở hữu điện thoại giá rẻ, cấu hình mạnh nhân dịp lễ 20/11 này thì chắc chắn top 3 điện thoại bên dưới là ứng cử viên sáng ...