14.000 điện thoại ở Việt Nam bị nghe lén
![9 câu chuyện an ninh kỹ thuật số đáng sợ nhất năm 2014]()
Vừa qua, Phòng cảnh sát Phòng chống tội phạm công nghệ cao - PC50 cho biết vừa chuyển vụ việc Công ty TNHH Công nghệ Việt Hồng kinh doanh phần mềm nghe lén điện thoại, vi phạm Luật công nghệ thông tin, cho Công an Hà Nội điều tra theo thẩm quyền. được biết khoảng 14.000 điện thoại đã chính thức bị chiếm quyền điều khiển. Tất cả dữ liệu như danh bạ, tin nhắn, các cuộc gọi đi - đến, âm thanh ghi âm xung quanh, hình ảnh, video, thống kê lịch sử truy cập trang web, lộ trình di chuyển, vị trí hiện tại của máy sẽ được phần mềm lưu lại và đẩy lên máy chủ.
Trái tim rỉ máu Heartbleed ảnh hưởng đến nhiều trang web
![]()
Như đã biết, vào tháng 4 vừa qua, hàng ngàn trang web lớn trên toàn thế giới đã bị ảnh hưởng sau khi một lỗ hổng xuất hiện trong OpenSSL-một công cụ phổ biến để đảm bảo thông tin liên lạc trực tuyến, bao gồm các trang web HTTPS. Được mệnh danh là Heartbleed, lỗi bảo mật nghiêm trọng này đe dọa lộ tên người dùng và mật khẩu, dữ liệu người dùng.
Các trang web bị ảnh hưởng gồm cả Instagram, Netflix, và Tumblr. Mặc dù nó là một lỗ hổng nghiêm trọng nhưng Heartbleed cũng truyền cảm hứng cho một số công ty công nghệ lớn để tài trợ cho các dự án mã nguồn mở chưa được hỗ trợ. Nhóm đầu tiên để nhận được hỗ trợ là OpenSSL Software Foundation.
TrueCrupt đóng cửa shop
![]()
Vào tháng 5 năm 2014, các khách hành đã bị sốc khi đột nhiên bị chuyển hướng từ trang web của phần mềm mã hóa TrueCrupt đến trang SourceForge của dự án. Tại đây, họ thấy một tin nhắn cho hay việc sử dụng TrueCrupt không an toàn bởi vì nó còn một số lỗ an ninh chưa được sửa lại.
Lúc đầu, nó trông giống như một trò chơi khăm hay bị hack, bởi vì lời khuyên của TrueCrypt để chuyển sang công cụ mã hóa BitLocker nguồn đóng của Microsoft đã đối nghịch với quan điểm của dự án. Tuy nhiên, vài tuần sau đó, sự sụp đổ của TrueCrypt dường như là có thực. Đã có những nỗ lực phục hồi lại dự án thuộc quyền quản lý mới, ngay cả khi những tin đồn về các tin nhắn Latin ẩn từ các nhà phát triển của TrueCrypt vẫn xuất hiện.
Nhiều lỗ hổng an ninh
![]()
EBay là nạn nhân đáng chú ý nhất. Trong tháng 5, trang web này đã công bố một lỗ hổng an ninh nghiêm trọng bao gồm tên, địa chỉ email và nhà, số điện thoại, ngày sinh, và mật khẩu được mã hóa. Theo các báo cáo, khoảng 145 triệu người dùng bị ảnh hưởng.
Trong khi đó, nhà bán lẻ Michael’s, diễn đàn trực tuyến của Avast, khách sạn Holiday Inn và Marriott, và Neiman Marcus cũng dính lỗ bảo mật. Gần đây, chuỗi nhà hàng P.F. Chang vừa công bố họ cũng đang điều tra lỗ hổng dữ liệu. Và hơn 360 triệu người dùng và mật khẩu đã xuất hiện trên các diễn đàn hacker trong tháng 2.
LaCie
![]()
Vào tháng 4 năm nay, LaCie- nhà sản xuất ổ cứng và thiết bị lưu trữ ngoài đã cho hay cửa hàng trực tuyến của họ đã chịu đựng việc xâm nhập dữ liệu trong thời gian dài từ ngày 27/3/2013 đến 10/3/2014. LaCie không chắc chắn loại dữ liệu đã bị ăn cắp nhưng có thể là có tên người dùng, địa chỉ email, số thẻ tín dụng và ngày hết hạn thẻ.
Đòi tiền chuộc tràn lan
![]()
Nếu 2013 là năm của vi phạm dữ liệu cá nhân, thì năm 2014 là năm của con tin kỹ thuật số và ransomware. Phần mềm độc hại đang đe dọa làm hỏng máy tính nếu không trả tiền chuộc. Cuối tháng 5, người dùng iOS trên toàn thế giới thức dậy và nhận thấy thiết bị iDevices được khóa thông qua dịch vụ Find My iPhone của Apple với tin tặc đòi tiền. Sau đó, vào tháng 6, công ty bảo mật ESET tìm thấy ví dụ đầu tiên của tập tin mã hóa ransomware trên Android. Các trang web như quản lý dự án ứng dụng web Basecamp cũng bị đòi tiền chuộc.
Lỗi “goto fail” của Apple và thư viện GnuTLS
![]()
Heartbleed không phải là lỗi SSL/TLS duy nhất trong năm 2014. Vào tháng 2 và 3, cả Apple và cộng đồng Linux đã cố gắn sửa chữa sai sót trong việc triển khai các giao thức bảo mật trực tuyến.
Trong trường hợp của Apple, đoạn code lỗi ‘goto fail’ khiến tin tặc có thể nắm các dữ liệu mã hóa gửi qua SSL/ TLS. Trong trường hợp Linux, thư viện GnuTLS đã có một lỗ hổng lập trình lộ dữ liệu người sử dụng tương tự như vấn đề ‘goto fail’ của Apple. Tuy nhiên, trong trường hợp của GnuTLS, nó được cho là lỗ hổng lập trình tồn tại trong 10 năm.
An ninh Bitcoin
![]()
An ninh của Bitcoin gặp rắc rối vào tháng 2 năm 2014. Một lỗ hổng đã dẫn đến các cuộc tấn công vào các giao dịch Bitcoin. Theo lý thuyết lỗ hổng cho phép các tin tặc đổi giao dịch giả mạo lấy giao dịch gốc. Sự cố này nghiêm trọng đến nỗi sàn giao dịch tiền ảo này đóng cửa để kiểm tra. Và vào tháng 3 vừa qua, Bitcoin đã tung ra bản vá lỗi.
Theo dõi Outlook
![]()
Vào tháng 3, Microsoft cho hay họ đã theo dõi email cá nhân của cả blogger và nhân viên cũ để tìm kiếm bằng chứng nhân viên đang tiết lộ thông tin công ty độc quyền cho blogger. Sau tất cả, các email cá nhân ở bên phục vụ thứ ba cũng nên được đảm bảo riêng tư giống như những bức thư.
Vừa qua, Phòng cảnh sát Phòng chống tội phạm công nghệ cao - PC50 cho biết vừa chuyển vụ việc Công ty TNHH Công nghệ Việt Hồng kinh doanh phần mềm nghe lén điện thoại, vi phạm Luật công nghệ thông tin, cho Công an Hà Nội điều tra theo thẩm quyền. được biết khoảng 14.000 điện thoại đã chính thức bị chiếm quyền điều khiển. Tất cả dữ liệu như danh bạ, tin nhắn, các cuộc gọi đi - đến, âm thanh ghi âm xung quanh, hình ảnh, video, thống kê lịch sử truy cập trang web, lộ trình di chuyển, vị trí hiện tại của máy sẽ được phần mềm lưu lại và đẩy lên máy chủ.
Trái tim rỉ máu Heartbleed ảnh hưởng đến nhiều trang web
Như đã biết, vào tháng 4 vừa qua, hàng ngàn trang web lớn trên toàn thế giới đã bị ảnh hưởng sau khi một lỗ hổng xuất hiện trong OpenSSL-một công cụ phổ biến để đảm bảo thông tin liên lạc trực tuyến, bao gồm các trang web HTTPS. Được mệnh danh là Heartbleed, lỗi bảo mật nghiêm trọng này đe dọa lộ tên người dùng và mật khẩu, dữ liệu người dùng.
Các trang web bị ảnh hưởng gồm cả Instagram, Netflix, và Tumblr. Mặc dù nó là một lỗ hổng nghiêm trọng nhưng Heartbleed cũng truyền cảm hứng cho một số công ty công nghệ lớn để tài trợ cho các dự án mã nguồn mở chưa được hỗ trợ. Nhóm đầu tiên để nhận được hỗ trợ là OpenSSL Software Foundation.
TrueCrupt đóng cửa shop
Vào tháng 5 năm 2014, các khách hành đã bị sốc khi đột nhiên bị chuyển hướng từ trang web của phần mềm mã hóa TrueCrupt đến trang SourceForge của dự án. Tại đây, họ thấy một tin nhắn cho hay việc sử dụng TrueCrupt không an toàn bởi vì nó còn một số lỗ an ninh chưa được sửa lại.
Lúc đầu, nó trông giống như một trò chơi khăm hay bị hack, bởi vì lời khuyên của TrueCrypt để chuyển sang công cụ mã hóa BitLocker nguồn đóng của Microsoft đã đối nghịch với quan điểm của dự án. Tuy nhiên, vài tuần sau đó, sự sụp đổ của TrueCrypt dường như là có thực. Đã có những nỗ lực phục hồi lại dự án thuộc quyền quản lý mới, ngay cả khi những tin đồn về các tin nhắn Latin ẩn từ các nhà phát triển của TrueCrypt vẫn xuất hiện.
Nhiều lỗ hổng an ninh
EBay là nạn nhân đáng chú ý nhất. Trong tháng 5, trang web này đã công bố một lỗ hổng an ninh nghiêm trọng bao gồm tên, địa chỉ email và nhà, số điện thoại, ngày sinh, và mật khẩu được mã hóa. Theo các báo cáo, khoảng 145 triệu người dùng bị ảnh hưởng.
Trong khi đó, nhà bán lẻ Michael’s, diễn đàn trực tuyến của Avast, khách sạn Holiday Inn và Marriott, và Neiman Marcus cũng dính lỗ bảo mật. Gần đây, chuỗi nhà hàng P.F. Chang vừa công bố họ cũng đang điều tra lỗ hổng dữ liệu. Và hơn 360 triệu người dùng và mật khẩu đã xuất hiện trên các diễn đàn hacker trong tháng 2.
LaCie
Vào tháng 4 năm nay, LaCie- nhà sản xuất ổ cứng và thiết bị lưu trữ ngoài đã cho hay cửa hàng trực tuyến của họ đã chịu đựng việc xâm nhập dữ liệu trong thời gian dài từ ngày 27/3/2013 đến 10/3/2014. LaCie không chắc chắn loại dữ liệu đã bị ăn cắp nhưng có thể là có tên người dùng, địa chỉ email, số thẻ tín dụng và ngày hết hạn thẻ.
Đòi tiền chuộc tràn lan
Nếu 2013 là năm của vi phạm dữ liệu cá nhân, thì năm 2014 là năm của con tin kỹ thuật số và ransomware. Phần mềm độc hại đang đe dọa làm hỏng máy tính nếu không trả tiền chuộc. Cuối tháng 5, người dùng iOS trên toàn thế giới thức dậy và nhận thấy thiết bị iDevices được khóa thông qua dịch vụ Find My iPhone của Apple với tin tặc đòi tiền. Sau đó, vào tháng 6, công ty bảo mật ESET tìm thấy ví dụ đầu tiên của tập tin mã hóa ransomware trên Android. Các trang web như quản lý dự án ứng dụng web Basecamp cũng bị đòi tiền chuộc.
Lỗi “goto fail” của Apple và thư viện GnuTLS
Heartbleed không phải là lỗi SSL/TLS duy nhất trong năm 2014. Vào tháng 2 và 3, cả Apple và cộng đồng Linux đã cố gắn sửa chữa sai sót trong việc triển khai các giao thức bảo mật trực tuyến.
Trong trường hợp của Apple, đoạn code lỗi ‘goto fail’ khiến tin tặc có thể nắm các dữ liệu mã hóa gửi qua SSL/ TLS. Trong trường hợp Linux, thư viện GnuTLS đã có một lỗ hổng lập trình lộ dữ liệu người sử dụng tương tự như vấn đề ‘goto fail’ của Apple. Tuy nhiên, trong trường hợp của GnuTLS, nó được cho là lỗ hổng lập trình tồn tại trong 10 năm.
An ninh Bitcoin
An ninh của Bitcoin gặp rắc rối vào tháng 2 năm 2014. Một lỗ hổng đã dẫn đến các cuộc tấn công vào các giao dịch Bitcoin. Theo lý thuyết lỗ hổng cho phép các tin tặc đổi giao dịch giả mạo lấy giao dịch gốc. Sự cố này nghiêm trọng đến nỗi sàn giao dịch tiền ảo này đóng cửa để kiểm tra. Và vào tháng 3 vừa qua, Bitcoin đã tung ra bản vá lỗi.
Theo dõi Outlook
Vào tháng 3, Microsoft cho hay họ đã theo dõi email cá nhân của cả blogger và nhân viên cũ để tìm kiếm bằng chứng nhân viên đang tiết lộ thông tin công ty độc quyền cho blogger. Sau tất cả, các email cá nhân ở bên phục vụ thứ ba cũng nên được đảm bảo riêng tư giống như những bức thư.
