Những điều cần biết về thảm hoạ bảo mật Cloudbleed vừa xảy ra
Thế giới internet mới đây lại vừa xảy ra một thảm hoạ bảo mật nghiêm trọng mang tên Cloudbleed. Cloudbleed là gì, nó ảnh hưởng tới bạn như thế nào, và bạn có thể làm gì để bảo vệ mình. Bài viết dưới đây sẽ giúp bạn có câu trả lời cho những thắc mắc đó.
Cloudbleed là lỗi bảo mật nghiêm trọng mới nhất xảy ra với internet gây nguy cơ làm lộ thông tin cá nhân riêng tư của người dùng. Thông tin về lỗi này lộ ra vào cuối ngày 23/2 nhưng hiện vẫn còn rất nhiều tranh cãi về nó cũng như ảnh hưởng thực sự của nó với thông tin của người dùng. Dưới đây là những điều bạn cần biết về Cloudbleed cũng như cách phản ứng phù hợp với lỗi bảo mật này.
Cloudbleed là gì?
Cloudbleed là tên của một lỗi bảo mật lớn xuất phát từ công ty internet Cloudflare. Lỗi này làm lộ mật khẩu, các thông tin nhạy cảm khác của hàng ngàn website trong vòng 6 tháng qua. Tên này được đặt bởi chuyên gia bảo mật Tavis Ormandy đến từ đội Project Zero của Google. Chuyên gia này phát hiện ra lỗi và báo cáo nó cho Cloudflare. Cloudbleed được Ormandy đặt theo tên gọi của một lỗ hổng nghiêm trọng khác - lỗ hổng Heartbleed - từng gây xôn xao hồi năm 2014.
Cloudbleed có tồi tệ hơn Heartbleed?
Hiện tại, rất may câu trả lời vẫn đang là "không". Heartbleed ảnh hưởng tới nửa triệu website, còn lần này chỉ có 3.400 website được cho là bị ảnh hưởng bởi lỗi Cloudbleed.
Tuy nhiên, điều đáng lo ngại đó là 3.400 website này đã làm lộ thông tin cá nhân riêng tư của các khách hàng khác sử dụng dịch vụ của Cloudflare, bởi vậy, số website và người dùng thực sự bị ảnh hưởng có thể lớn hơn nhiều.
Cloudbleed vẫn còn đang nguy hiểm?
Không. Bạn có thể hiểu Cloudbleed giống như một người đã sống sót sau khi trải qua một cơn đau tim. Nạn nhân rất đau đớn, cần có các giải pháp để ngăn cơn đau quay lại, nhưng ít nhất thì nhất cơn đau đã qua đi. Cloudflare đã ngăn được lỗi trong vòng 44 phút kể từ khi nó được phát hiện, và tiến hành tìm hiểu, fix lỗi hoàn toàn trong 7 giờ đồng hồ.
Dù vậy, giới bảo mật tin rằng Cloudbleed đã ảnh hưởng tới các website từ tháng 9 năm ngoái, trong đó ảnh hưởng nghiêm trọng nhất xảy ra trong thời gian từ 13 đến 18/2 năm nay. Với thời gian lâu như thế, một khi các bên liên quan nghiên cứu và dò xét lại, nhiều khả năng thông tin cá nhân khách hàng của họ đã bị rò rỉ, ảnh hưởng.
Cloudflare là ai?
Cloudflare là hãng cung cấp hạ tầng internet và bảo mật thiết yếu cho hàng triệu website. Trên website của mình, Cloudflare liệt kê Nadaq, Bain Capital, OKCupid, ZenDesk, Cisco, cùng nhiều công ty khác, trong danh sách khách hàng của hãng.
Ngay cả khi bạn chưa từng nghe đến cái tên Cloudflare, nhiều khả năng những website bạn truy cập sử dụng dịch vụ của công ty này để bảo mật hay để cung cấp thông tin.
Những website nào bị ảnh hưởng?
Hiện tại, chúng ta mới biết rằng 3 website bị ảnh hưởng trực tiếp bởi Cloudbleed là Uber, FitBit và OKCupid. Tuy nhiên, ngoài ra còn có hàng ngàn website khác.
Phản ứng trước thông tin về vụ rò rỉ bảo mật, các công ty đã lên mạng Twitter thông báo đang tìm hiểu về Cloudbleed và trấn an khách hàng.
Bao nhiêu người gặp nguy hiểm do Cloudbleed?
Rất khó để xác định con số chính xác, tuy nhiên, có thể khẳng định số người bị ảnh hưởng là không cao. Như đã nói ở trên, thời điểm mà Cloudbleed gây ảnh hưởng nghiêm trọng nhất là từ 13 đến 18/2. Ở một bài viết đăng trên website, Cloudflare chia sẻ rằng, trong thời gian này, " chỉ 1 trong mỗi 3.300.000 yêu cầu HTTP qua Cloudflare tiềm ẩn nguy cơ gây lỗi rò rỉ bộ nhớ".
Loại thông tin gì bị rò rỉ?
Khi bạn nhìn vào địa chỉ web của website mà bạn đang truy cập, thi thoảng bạn sẽ thấy chữ "http" ở đầu. Nhưng khi bạn truy cập vào một website kiểu như trang web của ngân hàng hay các trang đăng nhập tài khoản, bạn sẽ thấy chữ "https" ở đầu, và nó có nghĩa là trang web sử dụng chuẩn bảo mật an toàn.
Các dịch vụ như Cloudflare giúp chuyển thông tin được nhập trên các website "https" giữa người dùng với máy chủ một cách an toàn. Sự việc xảy ra ở đây là một số thông tin bảo mật đó được lưu ở nơi không thuộc về chúng. Tệ hơn nữa, một số thông tin bảo mật được lưu lại này có thể được tìm thấy qua các công cụ tìm kiếm như Google, Bing, hay Yahoo.
Thông tin bị rò rỉ có thể là tên sử dụng và mật khẩu, một bức ảnh hay video cũng như thông tin máy chủ và các giao thức bảo mật. Hiện tại ở thời điểm này chưa có dấu hiệu nào cho thấy, thông tin bị rò rỉ đã bị hacker truy cập và khai thác.
Bạn nên làm gì?
Xác thực 2 bước là cách có thể giúp bạn bảo vệ tài khoản an toàn.
Bạn cần biết rằng những gì mình làm lúc này không thể cứu vãn những gì đã xảy ra. Nếu thông tin của bạn đã bị rò rỉ và mất cắp, bạn sẽ phải chấp nhận thực tế đó. Hành động vào lúc này chỉ giúp bạn tránh được những thảm hoạ bảo mật có nguy cơ xảy đến trong tương lai mà thôi.
Việc đầu tiên bạn cần làm đó là thay đổi mật khẩu tài khoản. Đó là cách để đảm bảo tài khoản của bạn không còn có nguy cơ bị thâm nhập thêm một lần nữa.
Tiếp theo, nếu một website hay dịch vụ mà bạn sử dụng có cung cấp bảo mật 2 bước, hãy sử dụng nó. Bảo mật 2 bước là cách bảo mật mà ngoài việc yêu cầu mật khẩu truyền thống, bạn còn phải nhập một đoạn mã được nhà cung cấp dịch vụ gửi về số điện thoại của mình, mới có thể đăng nhập được vào tài khoản.
Chuyện gì xảy ra tiếp theo?
Thông tin về Cloudbleed bị lộ ra và được đăng tải công khai hôm 23/2, và trong thời gian tới nhiều khả năng sẽ có các thông tin mới về vụ việc. Liệu có dịch vụ nào khác ngoài Uber, Fitbit, và OK Cupid, bị ảnh hưởng hay không, chúng ta sẽ sớm có câu trả lời.
Suckhoecuocsong.com.vn (Nguồn GenK)
Các tin khác
-
Tại sao 2 máy điện thoại cài Bluezone đặt cạnh nhưng không quét thấy nhau
Nhưng một số người dùng ứng dụng Bluezone cho biết khi đặt hai máy có cài đặt ứng dụng cạnh nhau nhưng chẳng thể “quét” ra người bên cạnh. Vậy nguyên nhân do đâu, cách xử trí như nào? -
Ứng dụng Bluezone hoạt động như thế nào để tìm người nghi nhiễm Covid-19
Để đảm bảo an toàn cho bản thân và cộng đồng Bộ TT&TT và Bộ Y tế khuyến cáo người dân nên cài đặt ứng dụng Bluezone. Nhưng ứng dụng Bluezone hoạt động như thế nào để tìm người nghi nhiễm Covid-19. -
Không thể cài đặt ứng dụng trên iPhone phải làm sao?
Khi sử dụng các sản phẩm điện thoại iPhone bạn muốn tải một ứng dụng trên App store như không thể cài đặt ứng dụng đó về máy. Vậy phải làm thế nào khắc phục lỗi này? -
Microsoft triển khai 'vũ khí' quan trọng chống virus SARS-CoV-2
Vào ngày 20/4, Microsoft chính thức triển khai công nghệ xét nghiệm trực tuyến có tên gọi là CoVIg-19 Plasma Bot. -
Dịch Covid-19, Google hỗ trợ họp trực tuyến thông qua Gmail
Nhằm hỗ trợ các doanh nghiệp, cơ quan mới đây Google đã tích hợp Meet - một tính năng họp trực tuyến tương tự phần mềm gọi video Zoom ngay trên nền tảng Gmail. -
Cách chuyển nội dung Word sang PowerPoint tự động
Dịch bệnh Covid-19 khiến học sinh, sinh viên các trường vẫn phải nghỉ học tại nhà, để cung cấp kiến thức cho học sinh các giáo viên chuyển sang dạy học trực tuyến qua các ứng dụng như: Zoom, Cisco Webex, TranS.... -
Google chính thức hủy Google I/O 2020 vì dịch Covid-19
Trước diễn biến phức tạp của đại dịch Covid-19, để đảm bảo an toàn mới đây gã khổng lồ công nghệ Google đã chính thức thông báo hủy sự kiện Google I/O lớn nhất trong năm. -
Apple, Google, Facebook ‘quét’ loạt nội dung không đáng tin về Covid-19
Các phần mềm, ứng dụng, quảng cáo không đáng tin cậy về dịch Covid-19 sẽ bị gỡ bỏ trên của hàng ứng dụng của Apple và Google, trong khi Facebook gỡ quảng cáo sai lệch về Covid-19. -
Bạn có biết máy tính có thể bị hack chỉ qua độ sáng màn hình
Mới đây, các nhà nghiên cứu cho biết họ đã phát hiện phương thức đánh cắp dữ liệu từ PC air-gapped dựa trên độ sáng màn hình máy tính. -
Điểm danh những xu hướng công nghệ năm 2020
Bước sang năm 2020, chúng ta sẽ được chứng kiến những xu hướng công nghệ nổi bật nào? Hãy cùng chúng điểm qua những xu hướng công nghệ năm 2020 của thế giới.