Низкий уровень безопасности, следует временно приостановить онлайн-платежи в банках
По словам экспертов, 8 апреля около 15 сайтов интернет-банкинга вьетнамских банков и платежных шлюзов подверглись хакерской атаке через уязвимость безопасности OpenSSL Heartbleed.
Эксперты утверждают, что при таких масштабах невозможно оценить объем конфиденциальной информации, связанной с украденными картами и учетными записями.
 |
Ранее об ошибке OpenSSL Heartbleed, которая, как считается, способна поставить под угрозу миллионы аккаунтов онлайн-транзакций через платежные шлюзы и банковские сайты, было объявлено на крупнейшем в мире форуме Reddit и Heartbleed.com вечером 7 апреля.
По словам Нгуена Хонг Фука, эксперта форума HVA Online по безопасности, ошибка OpenSSL Heartbleed считается экспертами крайне опасной, поскольку связана с инфраструктурой системы безопасности. «Эта ошибка кроется в самой базовой платформе шифрования, поэтому, если система затронута этой ошибкой, считается, что все остальные уровни шифрования нарушены», — сказал г-н Фук.
Руководство по кибератакам
В настоящее время интернет-транзакции надёжно защищены благодаря протоколу шифрования SSL/TLS. Эта платформа позволяет шифровать интернет-соединения, предотвращая повреждение данных, отправляемых пользователями на сервер.
Однако уязвимость OpenSSL Heartbleed позволяет хакерам получить доступ к кэшу OpenSSL, содержащему расшифрованные конфиденциальные данные, такие как данные банковских карт, кредитных карт, а также данные для входа в систему, такие как имена пользователей и пароли. Похитив эту информацию, хакеры могут похитить деньги со счёта и использовать личную базу данных пользователя для последующей эксплуатации.
Единственная рекомендация, данная на данный момент наиболее авторитетными экспертами в области международной безопасности, заключается в том, что пользователям и сообществу необходимо временно приостановить все онлайн-транзакции через платежные шлюзы и электронный банкинг до тех пор, пока платежные шлюзы и шлюзы электронного банкинга официально не подтвердят, что их веб-сайты безопасны. |
Опасность уязвимости OpenSSL Heartbleed заключается в том, что всего через несколько часов после её публикации хакеры опубликовали в интернете первоначальный код эксплойта, нацеленного на эту уязвимость. К полудню 8 апреля в интернете появились готовые инструменты для её эксплуатации. «Эти инструменты позволяют людям с базовыми знаниями использовать их для атаки на любую систему с уязвимостями», — сказал г-н Фук.
Онлайн-платежи следует приостановить.
По словам представителя HVA Online, исправить ошибку было несложно, поскольку патч был опубликован вечером 7 апреля, но для крупных систем его устранение требует значительного времени. 8 апреля эксперты выявили серию атак на многие крупные сайты по всему миру, включая Yahoo.com. Самой Yahoo потребовалось около 24 часов, чтобы устранить эту уязвимость.
По данным HVA Online, вьетнамские эксперты по безопасности получили информацию об ошибке ночью 7 апреля и постоянно отслеживали её, чтобы информировать сообщество системных администраторов. 8 апреля HVA Online зафиксировала, что утром несколько крупных сайтов онлайн-сервисов исправили ошибку. Днём 8 апреля, когда эксплойт начал набирать популярность, сообщения показали, что атаке подверглись около 15 сайтов интернет-банкинга вьетнамских банков и платёжных систем. По данным HVA Online, объём украденной конфиденциальной информации, такой как данные банковских карт и логины, оценить невозможно.
Также, по данным HVA Online, вчера утром (9 апреля) большинство главных страниц интернет-банкинга банков были исправлены, но пока неизвестно, исправлена ли вся система интернет-банкинга банков. По словам г-на Фука, обычно обновление патча для внешних уровней устройств занимает от 24 до 48 часов. Однако, поскольку инфраструктура банков очень обширна, внутренние и внешние транзакции шифруются, поэтому исправление ошибок во внутреннем уровне может занять больше времени.
HVA Online подтвердила, что большинство платёжных шлюзов, таких как smartlink, 123pay, paygate и др., были исправлены днём 8 апреля. К вечеру 8 апреля эксперты по безопасности всё ещё сообщали, что такие шлюзы, как nganluong.vn и onepay.vn, ещё не исправили ошибку. Согласно рекомендациям экспертов по безопасности, банкам следует немедленно обновить OpenSSL до последней версии, принудительно перезапустить систему и немедленно сменить цифровой SSL-сертификат во всей системе, использующей OpenSSL. Поскольку эта ошибка не только открывает возможность эксплуатации в веб-среде, но и затрагивает все среды, использующие библиотеку OpenSSL.
По словам г-на Фука, единственная рекомендация, данная на данный момент наиболее авторитетными экспертами в области международной безопасности, заключается в том, что пользователям и сообществу следует временно приостановить все онлайн-транзакции через платёжные шлюзы и системы электронного банкинга до тех пор, пока эти шлюзы официально не подтвердят безопасность своих сайтов. Г-н Фук также рекомендует всем, кто пользовался услугами электронного банкинга или онлайн-платёжных систем с 7 апреля по настоящее время, сменить пароли, поскольку существует вероятность утечки данных их учётных записей без их ведома.
Проверьте систему безопасности еще раз. Г-н Нгием Си Тханг, заместитель генерального директора LienViet Commercial Joint Stock Bank (LienVietPostbank), отвечающий за информационные технологии, карты и электронный банкинг, подтвердил, что платёжные сайты во всей системе LienVietPostBank по-прежнему безопасны и не имеют признаков атак, но «мы будем проверять их самым тщательным образом, и если обнаружим какие-либо уязвимости, мы немедленно вышлем предупреждения клиентам». Заместитель генерального директора Vietcombank Дао Минь Туан признал: «Новая уязвимость также очень серьезна, поэтому мы немедленно пересмотрим всю систему сетевой инфраструктуры, чтобы предотвратить возможность хакерских атак», — сказал г-н Туан, также посоветовав клиентам быть осторожными при использовании информации на сайтах для онлайн-транзакций. Директор Центра информационных технологий BIDV г-н Нгуен Суан Хоа также отметил: «Мы подписали контракт с A70 (Департамент технических операций – Главное управление безопасности) и BKAV на регулярные проверки. Техническая команда банка также отслеживает, обрабатывает и контролирует атаки. В прошлом мы обнаружили и предотвратили множество атак на OpenSSL системы BIDV». |
По словам Тхань Ниена
