安全性差，应暂时停止银行网上支付

专家称，4月8日，约15家越南银行的电子银行网站和支付网关遭到黑客攻击，攻击方式是通过OpenSSL Heartbleed安全漏洞。

鉴于上述规模，专家表示，与被盗卡和登录账户相关的敏感信息量无法估计。

此前，OpenSSL Heartbleed 错误于 4 月 7 日晚在全球最大的论坛 Reddit 和 Heartbleed.com 网站上公布，据信该错误能够威胁到通过支付网关和银行网站进行的数百万个在线交易账户。

HVA Online 安全论坛专家阮洪福 (Nguyen Hong Phuc) 表示，OpenSSL Heartbleed 漏洞被专家视为极其危险的漏洞，因为它与安全系统的基础设施息息相关。“该漏洞存在于最基本的加密平台中，因此，如果系统受到该漏洞的影响，则所有其他加密层都可能被攻破。”阮洪福说道。

网络攻击指南

目前，互联网交易基于 SSL/TLS 连接安全加密协议进行安全保护。该平台帮助加密互联网连接，确保用户发送到服务器的数据不会在中间受到干扰。

然而，OpenSSL Heartbleed漏洞允许黑客访问OpenSSL缓存——其中包含解密的敏感数据，例如银行卡信息、信用卡信息以及用户名和密码等登录信息。窃取这些信息后，黑客可以从账户中窃取资金，并使用用户的个人数据库进行后续攻击。

OpenSSL Heartbleed漏洞的危险之处在于，该漏洞公布仅几小时后，针对该漏洞的初始利用代码就被黑客发布到网上。到4月8日下午，完整的漏洞利用工具已经出现在互联网上。“这些工具允许具有基础知识的人攻击任何存在漏洞的系统，”Phuc先生说道。

网上支付应该暂停。

据HVA Online的一位代表称，由于补丁已于4月7日晚间发布到网上，修复该漏洞并不困难，但对于大型系统而言，处理该漏洞需要大量时间。4月8日，专家发现包括Yahoo.com在内的全球许多大型网站都受到了一系列攻击。雅虎本身也花了大约24小时才完成该漏洞的修复。

据 HVA Online 报道，越南安全专家于 4 月 7 日晚间收到有关该错误的信息，并持续监控错误情况，并向系统管理员社区通报最新情况。4 月 8 日，HVA Online 记录到，几家大型在线服务网站已于上午修复了该错误。4 月 8 日下午，当该漏洞利用工具开始流行时，有报道称，约有 15 个越南银行的电子银行网站和支付网关遭到攻击。据 HVA Online 称，被盗的卡信息和登录信息等敏感信息量无法估计。

据HVA Online报道，昨天（4月9日）上午，大多数银行的电子银行主页已修复漏洞，但目前尚不清楚银行的整个电子银行系统是否已修复。Phuc先生表示，通常情况下，银行需要24到48小时才能更新外层设备层的补丁。然而，由于银行的基础设施系统非常庞大，内部和外部交易都经过加密，因此修复内层的错误可能需要更多时间。

HVA Online 确认的支付网关大多已于 4 月 8 日下午修复，例如 smartlink、123pay、paygate 等。截至 4 月 8 日晚，仍有安全专家报告称 nganluong.vn、onepay.vn 等网关尚未修复。根据安全专家的建议，银行应立即将 OpenSSL 更新至最新版本，重启（强制）系统，并立即更改所有使用 OpenSSL 系统的 SSL 数字证书。因为此错误不仅会给 Web 环境带来漏洞利用，还会对所有使用 OpenSSL 库的环境造成影响。

阮福先生表示，目前国际安全界大多数权威专家给出的唯一建议是，用户和社区应暂时停止所有通过支付网关和电子银行进行的在线交易，直到支付网关和电子银行网关正式确认其网站安全为止。阮福先生还建议，自4月7日以来使用过电子银行服务或在线支付网关的用户应更改密码，因为他们的账户信息有可能在不知情的情况下被泄露。

据 Thanh Nien 称