Tin Tức  Tin Quốc Tế
 
Bkis: 100% ngân hàng điện tử hổng bảo mật
21:23 | 15/04/2010

Tất cả các hệ thống ngân hàng điện tử của 20 ngân hàng hàng đầu ở Việt Nam được Bkis kháo sát đều có những lổ hổng bảo mật cho phép hacker lợi dụng.

Hôm qua, ngày 14/4, Trung tâm An ninh mạng Bách Khoa (Bkis) đã tổ chức hội thảo cảnh báo các lỗ hổng bảo mật trong các hệ thống ngân hàng điện tử ở Việt Nam với sự tham dự của đại diện hơn 50 ngân hàng đang hoạt động tại Việt Nam.

Ông Nguyễn Minh Đức, Giám đốc bộ phận an ninh mạng của Bkis cho biết trung tâm này đã khảo sát tổng thể hệ thống của hơn 20 ngân hàng hàng đầu tại Việt Nam đã triển khai hệ thống ngân hàng điện tử (Internet Banking). Kết quả khảo sát phát hiện thấy tất cả hệ thống ngân hàng điện tử của các ngân hàng này có lỗ hổng bảo mật. Các lỗ hổng này cho phép hacker có thể tấn công kiểm soát máy tính của người dùng, ăn cắp thông tin, cài mã độc vào máy chủ của ngân hàng và kiểm soát toàn bộ hệ thống.

Theo thống kê của Bkis, khoảng 80% trong số hơn 50 ngân hàng đang hoạt động tại Việt Nam đã triển khai các giải pháp ngân hàng điện tử cho phép khách hàng thực hiện một số giao dịch ngân hàng trực tuyến như vấn tin tài khoản, xem sao kê, số dư tài khoản hoặc chuyển tiền qua tin nhắn.

Ông Nguyễn Ngọc Minh, phụ trách an ninh thương mại điện tử của Bkis, cho biết trung tâm an ninh mạng này cũng đã xây dựng một hệ thống ngân hàng điện tử hoàn chỉnh mô phỏng giống với môi trường thực tế của các ngân hàng để tiến hành các thử nghiệm bảo mật, phát hiện các lỗ hổng và những khả năng khai thác các lỗ hổng đó của hacker.

Theo đánh giá của Bkis, các lỗ hổng bảo mật trong các hệ thống ngân hàng Việt Nam xuất hiện trong tất cả các khâu từ quá trình xử lý dữ liệu đầu vào, môi trường hệ thống lỏng lẻo cho đến chính sách bảo mật của các ngân hàng chưa đúng quy chuẩn.

Trong đó, có 7 lỗ hổng xuất hiện phổ biến nhất trong các hệ thống ngân hàng điện tử ở Việt Nam hiện nay là: lỗ hổng XSS (Cross Site Scripting) cho phép hacker tấn công trực tiếp vào máy tính người dùng (93% ngân hàng mắc lỗ hổng này); lỗ hổng CSRF lừa người dùng truy cập vào đường link chứa mã độc để ăn cắp thông tin hoặc chiếm quyền kiểm soát (93%); lỗ hổng trong quá trình xác thực cho phép hacker tấn công vào người dùng khác trong hệ thống (64%); không cập nhật bản vá và cấu hình lỏng lẻo (80%); lỗi SQL Injection mở đường cho hacker tấn công trực tiếp vào cơ sở dữ liệu (10%), và lỗ hổng MFU (Malicious File Uploading) cho phép hacker tấn công vào hệ thống hosting (16%).

Các chuyên gia an ninh mạng của Bkis cho rằng sở dĩ các hệ thống ngân hàng điện tử ở Việt Nam mắc nhiều lỗ hổng bảo mật như vậy là do thiếu quy trình đánh giá bảo mật độc lập về an ninh mạng khi triển khai hệ thống và không áp dụng các tiêu chuẩn về an ninh mạng một cách đồng bộ.

Trao đổi qua điện thoại với biên tập viên ICTnews, ông Bùi Thanh Tú, trưởng bộ phận Internet Banking của ngân hàng Sacombank cho rằng các lỗ hổng Bkis cảnh báo không mới, đều là những lổ hổng cổ điển nhưng không phải ai cũng biết và chắc chắn các ngân hàng có một trong những lổ hổng đó.

Mặc dù Sacombank đến nay chưa xảy ra hiện tượng hacker lợi dụng các lỗ hổng để tấn công vào ngân hàng và các khách hàng nhưng theo ông Tú, lý do chủ yếu là do hacker và cả ngân hàng chưa thực sự quan tâm vì các giao dịch ngân hàng điện tử mới chỉ là truy vấn, chưa có giao dịch chuyển tiền trực tuyến.

Tuy nhiên, ông Tú cho rằng điều này sẽ thay đổi khi các ngân hàng sắp sửa cung cấp dịch vụ chuyển tiền trực tuyến trên mạng Internet. Sacombank dự kiến sẽ cho phép các khách hàng chuyển khoản trực tuyến trên mạng Internet vào tháng 5 tới, sau đó có thể sẽ mở rộng dịch vụ chuyển tiền qua điện thoại di động.

“Khi cung cấp dịch vụ chuyển tiền trực tuyến, nguy cơ sẽ rất lớn nếu bị hacker lợi dụng”, ông Tú nói. “Cách khắc phục của chúng tôi là thuê các tổ chức bảo mật độc lập như Bkis khảo sát toàn bộ hệ thống để phát hiện và lấp các lỗ hổng bảo mật trước khi cung cấp dịch vụ. Bên cạnh đó, Sacombank đang có kế hoạch triển khai ứng dụng chữ ký số để đảm bảo an toàn cho các giao dịch ngân hàng điện tử".

Không chỉ Sacombank, nhiều ngân hàng Việt Nam đang chuẩn bị nâng cấp dịch vụ ngân hàng điện tử lên mức cao hơn, cho phép chuyển tiền trực tuyến chứ không chỉ dừng lại ở mức vấn tin và xem số dư như hiện nay. Vì vậy, như ông Tú nói cảnh báo của Bkis là thông tin hữu ích với các ngân hàng hiện nay.

Trung Nghĩa (Theo ITC news)

 
Ý kiến phản hồi và bình luận Góp ý kiến của bạn

Các tin mới nhất :
- Microsoft Hỗ Trợ Windows Server 2008 Thêm 2 Năm Nữa
- 6 Ngân Hàng Của Mỹ Bị Hacker Tấn Công
- Đặt Điểm Kỹ Thuật Của DDR4 Mới.
- Hacker đòi Symantec 50.000 USD chuộc mã nguồn sản phẩm
- Đột nhập vào trụ sở CNN để… đăng nhập Facebook
- Trung Quốc rót 660 triệu NDT vào điện toán đám mây
- IBM giải quyết “Big data” với phần mềm mới
- ScaleXtreme ra mắt dịch vụ quản lý điện toán đám mây lai
- 10 ngày làm thay đổi vĩnh viễn làng công nghệ
- IBM – HP trong cuộc cạnh tranh vị trí dẫn đầu thị trường sever thế giới: IDC
Các tin liên quan :
- Thường xuyên đổi mật khẩu là vô ích
- Mỹ ráo riết chiêu mộ hacker
Bài nhiều người đọc cùng chuyên mục
Đột nhập vào trụ sở CNN để… đăng nhập Facebook
 
IBM – HP trong cuộc cạnh tranh vị trí dẫn đầu thị trường sever thế giới: IDC
 
Kẻ chiến thắng trong vụ kiện Oracle – Google: Microsoft
 
Trung Quốc rót 660 triệu NDT vào điện toán đám mây
 
IBM giải quyết “Big data” với phần mềm mới
 
USPS triển khai dịch vụ “Every Door Direct Mail”
 
ICANN thông qua “quyết định lịch sử” của Internet
 
Trang chủ | Giới thiệu | Quảng cáo | Liên hệ
Giấy phép ICP số 199/GP-TTĐT. Bộ Thông tin và Truyền thông cấp.
Cơ quan quản lý  : Công Ty Cổ Phần Kênh Giải Pháp
Bản quyền © 2010-2011 Kenhgiaiphap.vn . Giữ toàn quyền.
Ghi rõ nguồn "Kenhgiaiphap.vn" khi phát hành lại thông tin từ website này.

return false; });