Khi eBay thừa nhận hôm 20/5 là trở thành nạn nhân của một cuộc tấn công mạng, công ty này cho biết đã yêu cầu tất cả 145 triệu người đang sử dụng thay mật khẩu.

Nhưng những kẻ thâm nhập đã truy cập vào một cơ sở dữ liệu có chứa các thông tin cá nhân khác, gồm tên, địa chỉ gửi thư và ngày sinh - các dữ liệu không dễ dàng được thay đổi.

Tin tốt là eBay cho biết là không có thông tin tài chính và tín dụng nào bị đánh cắp. Dữ liệu tài chính được lưu trong các hệ thống riêng, và eBay cho biết không có dấu hiệu nào cho thấy bất cứ dữ liệu PayPal nào bị đánh cắp. Tin không tốt là các dữ liệu bị đánh cắp vẫn khá quan trọng.

Các đại diện của eBay cho Mashable biết eBay không rõ bao nhiêu trong số 145 triệu tài khoản đang hoạt động bị những kẻ xâm nhập biết. Hàng triệu tài khoản chưa kích hoạt cũng có thể bị ảnh hưởng.

eBay cho biết cuộc tấn công đã xảy ra từ cuối tháng 2 và tháng 3 và các thông tin đã bị các tin tặc thâm nhập gồm: Tên khách hàng, mật khẩu được mã hóa, địa chỉ thư điện tử, địa chỉ vật lí, số điện thoại, Ngày sinh.

Đó là những thông tin quan trọng. Trên thực tế, khi cuộc tấn công mà nhà báo Wired Mat Honan cho biết, việc truy cập trái phép chỉ vào các thông tin như số điện thoại, thư điện tử và địa chỉ ngân hàng – cùng với kĩ thuật xã hội kiểu cũ có thể dẫn tới sự đe dọa trên diện rộng.

Nhiều yêu cầu thiết lập lại mật khẩu gồm ngày sinh, số điện thoại và địa chỉ vật lí. Ít nhất, loại dữ liệu này có thể dễ dàng cho những kẻ tội phạm cố gắng vượt rào các thiết lập an ninh. Nó cũng có thể dễ dàng được sử dụng để hỗ trợ các chương trình đánh cắp nhân thực.

Như nhà nghiên cứu Ashkan Soltani cho biết, có ít nhất một người rao bán cơ sở dữ liệu người sử dụng bị xâm nhập. Người nghi ngờ này muốn 753 USD để đổi lấy việc truy cập vào khoảng 145.312.663 thông tin riêng. Nhưng dường như đây là một thông tin giả, dựa trên phản hồi của eBay:

Tuy vậy, dường như nhiều khả năng một số dữ liệu bị đánh cắp sẽ mở đường cho nhiều chợ đen thực hiện trao đổi dữ liệu cá nhân.

Chú ý thư điện tử và những giả mạo điện thoại

Nhà báo về an ninh Brian Krebs cho biết có thể các địa chỉ trong danh sách này sẽ nhận nhiều spam. Nhà báo này cho biết spam sẽ “có thể bao gồm các cuộc tấn công giả mạo (phishing) nhắm vào lấy các thông tin đăng nhập hoặc reo rắc mã độc”.

Krebs tin là loại CSDL này có thể là “một mỏ vàng cho các nghệ sĩ giả mạo điện thoại”.

Krebs cho biết thêm chỉ nhắm vào các thông tin về người sử dụng, các nghệ sĩ giả mạo có thể thường xuyên gia tăng sự thành công công của các chương trình đáng kể mà nỗ lực thủ đoạn lấy đi nhiều dữ liệu cá nhân và tài chính hơn”.

Không phải tất cả các dữ liệu được mã hóa

Đối với tôi, khía cạnh quan tâm lớn nhất là cuộc tấn công này là thông tin duy nhất eBay mã hóa trong CSDL là mật khẩu người sử dụng. Phụ thuộc vào loại chương trình mật mã được sử dụng, phá vỡ các mật khẩu đó rất khó hoặc rất dễ đối với một kẻ tấn công. Tuy vậy, ít nhất các mật khẩu đó có một số hình thức mã hóa.

Điều bất ngờ là tên, số điện thoại, ngày sinh, địa chỉ thư điện tử và các địa chỉ gia đình không được mã hóa - mà còn được lưu ở dạng text đơn giản. Và nên chú ý là dữ liệu này không bắt buộc. Để đăng nhập vào một tài khoản eBay, một người sử dụng phải cung cấp tên, địa chỉ và số điện thoại. Nếu bạn muốn bán thứ gì đó trên eBay, bạn phải cung cấp thông tin ngày sinh chứng minh bạn trên 18 tuổi.

Do đó đối với 145 triệu tài khoản eBay kích hoạt, người sử dụng không có quyền lựa chọn thông tin nào để gửi eBay. Sửng sốt là eBay đã lựa chọn việc không mã hóa loại thông tin nhạy cảm đó.

Đã đến lúc cần có các tiêu chuẩn an ninh dữ liệu?

Các cuộc tấn công mạng sẽ ngày càng gia tăng. Gần như hàng tuần chúng ta nghe thấy các lỗ hổng dữ liệu hay việc phải thay đổi mật khẩu. Nhưng các dữ liệu thẻ tín dụng và mật khẩu không phải là phần duy nhất của vấn đề.

Đối với những người ủng hộ sự riêng tư, thực tế là quá nhiều dịch vụ và các ti yêu cầu quá nhiều thông tin cá nhân đã quá rắc rối. Nhưng thậm chí nếu bạn đặt các vấn đề riêng tư sang một bên, thì đã đến lục yêu cầu các công ty lưu thông tin cá nhân một cách an toàn?

Đã có các tiêu chuẩn ngành xung quanh làm thế nào để thông tin thanh toán được lưu và bảo mật. Có thể đã đến lúc chúng ta yêu cầu các dịch vụ trực tuyến đổi xử với thông tin cá nhân của chúng ta theo cách tôn trọng tương tự.

Một người sử dụng có thể thay đổi mật khẩu. Người sử dụng có thể không làm thường xuyên được như cách phải nên như vậy, nhưng một mật khẩu có thể được thay đổi. Một khi những thông tin nhân thực quý báu bị tiết lộ - đặc biệt khi những thông tin đó được liên kết tới một nhân thực trực tuyến - mà việc đó người sử dụng không thể kiểm soát.

Các thẻ tín dụng và ngân hàng thực hiện ngăn chặn lỗi. Loại ngăn chặn tương tự không dành cho lấy cắp nhân thực (và đó là cái tốn thời gian và tiền bạc).

Nếu các công ty tỉ đô muốn chúng ta trao thông tin cá nhân của chúng ta, chúng ta chưa chắc là họ sẽ bảo vệ các thông tin đó?

Lỗ hổng trên eBay sẽ lớn hơn lỗ hổng mà công ty Target thông báo tháng 12 năm ngoái, gồm khoảng 40 triệu số thẻ thanh toán và 70 triệu thông tin khách hàng khác.

Theo ICTPress/Mashable/Reuters