Kính chào quý khách,

Trong những ngày vừa qua, lỗi OpenSSL Heartbleed được công bố rộng rãi trên Internet thông qua các trang diễn đàn bảo mật lớn nhất thế giới và các trang báo mạng điện tử.

Heartbleed (tạm dịch: Trái tim rỉ máu, tên mã: CVE-2014-0160), tên gọi mang hình tượng "rò rỉ dữ liệu quan trọng" được giới an ninh mạng đặt tên một lỗi trong OpenSSL (*) ở cấp độ "cực kỳ nghiêm trọng". Và bất ngờ hơn, lỗi nguy hiểm trong OpenSSL vừa được phát hiện đã hiện diện hơn hai năm qua, cho phép bất kỳ ai trên Internet có thể "chạm tay" đến tên, mật khẩu, và nội dung của người truy cập gửi đến một website tưởng chừng bảo mật.
Lỗi tiếp tay tin tặc lần mò vào bộ nhớ máy chủ, nơi lưu trữ những dữ liệu nhạy cảm của người dùng như thông tin cá nhân, tên tài khoản, mật khẩu và có thể bao gồm cả thẻ tín dụng.
Khai thác lỗi, kẻ tấn công có thể "nghe trộm" thông tin liên lạc giữa trình duyệt Web và máy chủ Web, đánh cắp trực tiếp dữ liệu từ các dịch vụ và người dùng, đồng thời có thể mạo danh các dịch vụ và người dùng.

Hơn 66% website trên toàn cầu sử dụng OpenSSL. Rất nhiều website vẫn còn sử dụng phiên bản cũ OpenSSL, mang nguy cơ bị tấn công khai thác lỗi Heartbleed.

Những nghiên cứu ban đầu cho thấy Heartbleed chỉ ảnh hưởng đến các phiên bản OpenSSL từ 1.0.1 đến 1.0.1f và bản 1.0.2 beta. Rất nhiều website vẫn còn đang vận hành với phiên bản OpenSSL cũ sẽ bị đe dọa bởi lỗi. Hàng loạt những website lớn đang tích cực cập nhật phiên bản OpenSSL 1.0.1g vừa được phát hành.

Ngày 10-4, Công ty An ninh mạng Bkav đã ra thông báo, hướng dẫn kiểm tra lỗ hổng OpenSSL trong giao dịch trực tuyến. Theo đó, lỗ hổng OpenSSL là rất nghiêm trọng trong hệ thống giao dịch trực tuyến toàn cầu đã đặt hàng triệu người sử dụng vào nguy cơ mất thông tin, mất tiền khi tham gia thanh toán trực tuyến. Trong khi nhiều hệ thống chưa được vá lỗi, người sử dụng tại Việt Nam có thể kiểm tra một trang web có an toàn để giao dịch hay không bằng công cụ được Bkav cung cấp tại địa chỉ bkav.com.vn/sslscan.

Bkav cho biết, lỗ hổng nằm trong phần mềm OpenSSL, là thư viện mà các website quan trọng thường dùng để mã hóa dữ liệu, như các website ebanking, thương mại điện tử hay những dịch vụ e-mail như Yahoo, Google… Nhiều cơ quan doanh nghiệp cũng sử dụng OpenSSL để mã hóa dữ liệu, cho phép nhân viên có thể truy cập vào các ứng dụng nội bộ của cơ quan, làm việc từ xa qua internet.

Khai thác lỗ hổng OpenSSL, tội phạm mạng có thể chiếm được phiên giao dịch của người dùng để thực hiện chuyển tiền vào tài khoản khác nếu website là dịch vụ ebanking, truy cập hộp thư của người dùng nếu là dịch vụ e-mail. Chúng cũng có thể truy cập vào mạng nội bộ của cơ quan mà không cần tài khoản đăng nhập

Đối với PowerNet, là đơn vị sử dụng giao thức SSL cho tất cả mọi kết nối đến website powernet.vn. Qua quá trình kiểm tra, chúng tôi nhận thấy rằng phiên bản OpenSSL của hệ thống khác với các phiên bản bị lỗi, và như thế mọi dữ liệu của khách hàng không bị mất mát hay rò rĩ, toàn bộ thông tin của hơn 10,000 khách hàng tại PowerNet được bảo đảm an toàn, mọi thông tin quý khách gửi đến website được mã hóa với chứng chỉ GeoTrust Extended Validation SSL CA (Có tên công ty màu xanh trên trình duyệt của quý khách). Quý khách có thể kiểm tra theo công cụ được cung cấp tại địa chỉ: bkav.com.vn/sslscan.
Đối với các website sử dụng SSL của khách hàng, vui lòng liên hệ với chúng tôi để được hướng dẫn khắc phục.

Nhân sự việc này, PowerNet gửi đến quý khách thông tin như trên và khuyến nghị đến khách hàng một số nội dung sau:
  • Khi sử dụng dịch vụ của PowerNet tuyệt đối không thực hiện gián tiếp thông qua các đường link nhận được từ email/tin nhắn hoặc trên trang Web nào đó tạo ra mà phải truy cập trực tiếp vào trang chủ của PowerNet với địa chỉ truy cập là https://powernet.vn hoặc powernet.vn (hệ thống sẽ tự chuyển đổi thành https)
  • Website powernet.vn khi truy cập có thanh hiển thị màu xanh với thông tin tên công ty, quý khách hãy kiểm tra lại liên kết đang truy cập nếu không có thanh hiển thị đó.
  • Khi có bất cứ nghi vấn liên quan, quý khách hàng thông báo ngay cho PowerNet theo số điện thoại: 0511 267 5555.
  • Chúng tôi không bao giờ hỏi về thông tin mật khẩu tài khoản, mật khẩu dịch vụ của quý khách qua Email.
  • Email từ PowerNet gửi đến quý khách đều có chữ ký số signed-by: powernet.vn

Cảm ơn quý khách đã sử dụng dịch vụ của PowerNet.

Trân trọng!

10:39:00 16/04/2014