Lỗi “trái tim rỉ máu”: Thay đổi mật khẩu có hiệu quả?

Sau những tiết lộ về lỗ hổng trong các chương trình an ninh của các trang web, cư dân mạng được khuyến cáo thay đổi mật khẩu để tránh bị đánh cắp thông tin cá nhân. Tuy nhiên, các chuyên gia trong lĩnh vực an ninh mạng cho rằng giải phải này không hoàn toàn hiệu quả do khó có thể tìm ra nguồn gốc của lỗi này. 

David Emm, nhà nghiên cứu cao cấp của hãng Kaspersky Lab, cho biết: “Chúng tôi không biết được phạm vi lỗ hổng mà các tin tặc nhắm tới và cũng hoàn toàn không biết được lỗ hổng này sẽ được sử dụng như thế nào. Bởi vậy, chúng tôi không thể định lượng được quy mô thiệt hại”.

Lỗi “trái tim rỉ máu”, được công ty an ninh Condenomicon tiết lộ, được tìm thấy trong phần mềm OpenSSL, thư viện hiện được sử dụng bởi 2/3 số lượng  website để mã hóa dữ liệu và bảo vệ các thông tin được gửi giữa các trang web.

Các tin tặc có thể sử dụng lỗ hổng an ninh để đánh cắp những thông tin cá nhân quan trọng của người dùng.

Tình hình đáng lo ngại hơn là các tin tặc này có thể lấy lại quyền truy cập vào thông tin nếu chúng ăn cắp được mã “khóa chính”, việc này sẽ hoàn toàn vô hiệu hóa việc thay đổi mật khẩu người dùng.

OpenSSL đã tung ra phiên bản nâng cấp phần mềm của mình để sửa chữa lỗ hổng, các công ty bao gồm Google, Yahoo và Facebook đã cập nhật phiên bản này. Tuy nhiên, các công ty khác vẫn chưa xác nhận việc nâng cấp phần mềm này. Do đó, việc bảo vệ người dùng một cách đồng bộ hiện vẫn gặp nhiều khó khăn.

Nếu một công ty không cập nhật phiên bản mới của OpenSLL trên hệ thống website của mình, thì cho dù người dùng thay đổi mật khẩu, khả năng bị tấn công và bị ăn cắp thông tin vẫn cao như khi không đổi mật khẩu.

Các chuyên gia trong lĩnh vực an ninh mạng khuyến cáo người dùng chỉ nên thay đổi mật khẩu sau khi website xác nhận là đã sửa được lỗ hổng an ninh.

Ernest Hilbert, cựu nhân viên FBI phụ trách về việc điều tra an ninh mạng, cho biết: “Mật khẩu được lưu giữ dưới định dạng được mã hóa. Các lỗi mới nhất có thể cung cấp cho các tin tặc quyền truy cập vào chìa khóa vạn năng để mở ra tệp tin trung tâm có tất cả các mật khẩu trong đó. Bởi vậy, các tin tặc có thể truy cập và biết được tất cả các mật khẩu của bạn cho dù bạn có thay đổi bao nhiêu lần”.

Theo một nghiên cứu, lỗi “trái tim rỉ máu” đã tồn tại được gần 2 năm, bởi vậy phạm vi tấn công của tin tặc là cực kỳ lớn. Trong khi đó, người dùng hoàn toàn không thể biết được liệu những website mà họ đang sử dụng có bị ảnh hưởng hay không.

Các chuyên gia khuyến cáo người dùng cần phải theo dõi các tài khoản ngân hàng cũng như các lĩnh vực khác có khả năng bị tấn công và xem liệu có bất kỳ hoạt động trái phép nào xảy ra hay không. Cùng với đó, các công ty cũng cần phải thông báo chính xác về tình trạng an ninh website của họ với khách hàng.