Đệ nhất phu nhân Mỹ đọ sắc với Hoàng hậu Tây Ban Nha

Liệu bạn có cảm thấy lo lắng không khi sẽ có ai đó có thể thâm nhập vào tài khoản cá nhân của bạn để theo dõi nhất cử nhất động của bạn, từ việc luyện tập thể dục cho tới những thứ mà bạn yêu thích trong cuộc sống này?

Theo Cnet, dù vẫn chưa thấy dấu hiệu các hacker sử dụng các tài khoản và mật khẩu của người dùng hay đánh cắp thông tin riêng tư của mọi người gửi gắm thông qua các dịch vụ này, nhưng thông tin đã bị lộ qua kết quả tìm kiếm trên cả hai phiên bản web và bộ nhớ đệm (cache) của các dịch vụ tìm kiếm như Google và Bing.

"Lỗ hổng này rất nghiêm trọng vì rò rỉ các "bản ghi" có thể chứa thông tin riêng tư và một phần do nó được lưu vào bộ nhớ đệm (cache) của các công cụ tìm kiếm", John Graham-Cumming, Giám đốc kỹ thuật của công ty an ninh mạng Cloudflare, đã chia sẻ trên một bài blog về chi tiết các lỗ hổng được đăng vào hôm thứ Năm vừa rồi.

Nhà nghiên cứu bảo mật của Google là Tavis Ormandy đã xác định được các lỗ hổng và liên hệ với những phát hiện của Cloudflare vào cuối tuần trước. Trong bản báo cáo của anh về lỗ hổng này – vốn được công bố vào hôm thứ Năm vừa rồi, Ormandy cho biết, anh đã tìm thấy "các tin nhắn từ những trang web hẹn hò lớn, thậm chí là nội dung đầy đủ của các tin nhắn từ một dịch vụ chat nổi tiếng, các dữ liệu quản lý mật khẩu trực tuyến, các dữ liệu riêng tư từ các trang video "người lớn" và cả các thông tin đặt phòng khách sạn".

Cũng trong bản báo cáo về lỗ hổng, Ormandy đã bông đùa rằng có thể đặt tên lỗ hổng này "CloudBleed", một cái tên gợi nhớ tới lỗ hổng Trái tim rỉ máu (Heartbleed) đã từng gây bão trước đó, một lỗ hổng trong giao thức web phổ biến vốn liên quan tới các lưu lượng thông tin Internet nhạy cảm trong nhiều năm cho tới khi nó bị phát hiện vào năm 2014. Cái tên CloudBleed lập tức được nhắc tới trên các trang mạng xã hội kể từ khi bản báo cáo của Ormandy được đăng tải vào hôm thứ Năm vừa qua.

Một "Trái tim rỉ máu" mới?

Lỗ hổng này xuất phát từ một công cụ của chính CloudFlare đang được sử dụng rộng rãi để quản lý và bảo vệ các lưu lượng Internet cho các trang web khỏi bị lây nhiễm mã độc. Ngoài tên tài khoản và mật khẩu, các tin nhắn được gửi qua bất kỳ trang nào thuộc các nền tảng này và các thông tin khác gửi qua trình duyệt web tới các trang bị ảnh hưởng – cũng có thể đã bị rò rỉ.

Graham-Cumming cho biết, tổng cộng đã có tới 3.400 trang web sử dụng công cụ có chứa lỗ hổng của công ty anh và xác nhận trong đó có cả những trang web lớn như Uber, Fibit và OkCupid cũng là nạn nhân của họ. Anh từ chối nêu thêm tên cụ thể của các dịch vụ khác có thể bị rò rỉ dữ liệu từ lỗ hổng này.

Trong một e-mail chia sẻ về lỗ hổng này, Ormandy cho biết trong số 3.400 trang web bị rò rỉ dữ liệu, tất cả đều là các khách hàng của Cloudflare. Anh cũng nói rằng ông tìm được cả dữ liệu từ dịch vụ quản lý mật khẩu 1Password và đã giúp họ xóa bỏ dữ liệu nhạy cảm này từ cache của trình tìm kiếm Google. Hơn nữa, Jeffrey Goldberg– một chuyên gia bảo mật của 1Password cũng lập tức cho rằng, dù sao đi nữa thì dữ liệu người dùng của họ cũng đã được an toàn.

Thậm chí, do đã được mã hóa nên dù có bị rò rỉ qua lỗ hổng này đi chăng nữa thì bất cứ ai có được dữ liệu từ 1Password cũng không thể giải mã/phân tích nó được. "Chúng tôi đã thiết kế 1Password để không bị phụ thuộc vào giao thức bảo mật HTTPS", Goldberg viết.

Phía Uber cho biết, các mật khẩu của dịch vụ này không bị rò rỉ và "chỉ có một số ít các section tokens" bị ảnh hưởng và đã được thay đổi (vá lỗi) kể từ khi được phát hiện. Trong khi đó, đại diện Fitbit cũng cho biết họ đã đánh giá các tác động tiềm tàng về việc sử dụng hệ thống của họ do các lỗ hổng của Cloudflare, và đã thực hiện một số biện pháp nội bộ để ngăn chặn các thiệt hại trong tương lai. "Những người dùng trong diện bị ảnh hưởng có thể thay đổi mật khẩu của tài khoản, sau đó thoát ra và sau đó đăng nhập lại trên ứng dụng di động với mật khẩu mới", công ty này thông báo trên website của họ. Ngoài ra, Fibit cũng đưa ra một hướng dẫn cho người dùng về những gì mà họ có thể làm để bảo vệ mình trước lỗ hổng.

OkCupid cũng đã nhận thấy vấn đề và họ cho biết sẽ thực hiện bất kỳ biện pháp nào cần thiết để bảo vệ người dùng của mình. "Cuộc điều tra ban đầu của chúng tôi cho thấy, đã có có rất ít thông tin bị rò rỉ (nếu có)", Elie Seidman, CEO của OkCupid cho biết.

Một lỗ hổng nhỏ và kéo theo đó là một hệ lụy lớn

Lỗ hổng hiện nay đã được vá và các thông tin rò rỉ đã được các dịch vụ tìm kiếm thanh lọc, nhưng không có nghĩa là nó không còn bị phát tán trên Internet. Sau khi Ormandy nhận được thông báo từ Cloudflare, Google ngay lập tức đã thành lập một đội để khắc phục lỗ hổng ngay sau đó một vài giờ. Cuối cùng, lỗ hổng cũng chính thức được bít lại vào hôm nay (25/2).

Các thông tin bị rò rỉ dần dần bắt đầu từ những tương tác của người dùng với các website trong diện bị ảnh hưởng từ hồi tháng Chín năm ngoái. Vụ rò rỉ lên đến đỉnh điểm vào ngày 13-17/2 vừa rồi, Graham-Cumming chia sẻ trong một bài phỏng vấn. Các thông tin xuất hiện trên các trang web trông giống như các chuỗi ký tự vô nghĩa, khiến người dùng có thể không biết xử lý thế nào. Việc rò rỉ dữ liệu này mang tính "phù du" do nó sẽ biến mất ngay sau khi người dùng đóng trang web vài giây.

Tuy nhiên, điều đáng lo ngại là các dữ liệu rò rỉ này cũng được các công cụ tìm kiếm như Google và Bing lưu lại, dưới dạng các dữ liệu tự động thu thập hằng ngày để cung cấp kết quả cho người dùng ngay cả khi các trang web gặp sự cố.

Sau khi vá lỗ hổng, Cloudflare đã tập trung vào việc xóa dấu vết các thông tin bị rò rỉ trên Internet. Điều đó có nghĩa là họ phải làm việc với các dịch vụ tìm kiếm để xóa bỏ các bản ghi cache (bộ nhớ đệm/lưu trữ) của các trang web.

Nguy hiểm cỡ nào?

Graham-Cumming cho biết, người dùng thông thường không cần phải đổi mật khẩu, bởi khả năng những kẻ xấu lấy được thông tin đăng nhập của họ là rất thấp.

Tuy nhiên, trong bản báo cáo về lỗ hổng, chuyên gia bảo mật Ormandy của Google cho rằng Cloudflare đã "hạ thấp về tầm nghiêm trọng của lỗ hổng đối với khách hàng [của Cloudflare]". Ormandy đã đề cập tới một dự thảo tiết lộ việc ông biết [về lỗ hổng] trước khi Cloudflare công bố rộng rãi vào hôm thứ Năm vừa rồi.

Qua chia sẻ email, Ormandy khuyến cáo người dùng nên thay đổi mật khẩu cho tài khoản các website sử dụng dịch vụ Cloudflare. Các công ty sở hữu các website đang dùng dịch vụ này cũng nên kiểm tra và vá lỗi nội bộ nhằm bảo vệ người dùng cũng như dịch vụ của họ.

Thế giới internet mới đây lại vừa xảy ra một thảm hoạ bảo mật nghiêm trọng mang tên Cloudbleed. Cloudbleed là gì, nó ảnh hưởng tới bạn như thế nào, và bạn có thể làm gì để bảo vệ mình. Bài viết dưới đây sẽ giúp bạn có câu trả lời cho những thắc mắc đó. 

Cloudbleed là lỗi bảo mật nghiêm trọng mới nhất xảy ra với internet gây nguy cơ làm lộ thông tin cá nhân riêng tư của người dùng. Thông tin về lỗi này lộ ra vào cuối ngày 23/2 nhưng hiện vẫn còn rất nhiều tranh cãi về nó cũng như ảnh hưởng thực sự của nó với thông tin của người dùng. Dưới đây là những điều bạn cần biết về Cloudbleed cũng như cách phản ứng phù hợp với lỗi bảo mật này.

Cloudbleed là gì?

Cloudbleed là tên của một lỗi bảo mật lớn xuất phát từ công ty internet Cloudflare. Lỗi này làm lộ mật khẩu, các thông tin nhạy cảm khác của hàng ngàn website trong vòng 6 tháng qua. Tên này được đặt bởi chuyên gia bảo mật Tavis Ormandy đến từ đội Project Zero của Google. Chuyên gia này phát hiện ra lỗi và báo cáo nó cho Cloudflare. Cloudbleed được Ormandy đặt theo tên gọi của một lỗ hổng nghiêm trọng khác - lỗ hổng Heartbleed - từng gây xôn xao hồi năm 2014. 

Cloudbleed có tồi tệ hơn Heartbleed?

Hiện tại, rất may câu trả lời vẫn đang là "không". Heartbleed ảnh hưởng tới nửa triệu website, còn lần này chỉ có 3.400 website được cho là bị ảnh hưởng bởi lỗi Cloudbleed. 

Tuy nhiên, điều đáng lo ngại đó là 3.400 website này đã làm lộ thông tin cá nhân riêng tư của các khách hàng khác sử dụng dịch vụ của Cloudflare, bởi vậy, số website và người dùng thực sự bị ảnh hưởng có thể lớn hơn nhiều. 

Cloudbleed vẫn còn đang nguy hiểm?

Không. Bạn có thể hiểu Cloudbleed giống như một người đã sống sót sau khi trải qua một cơn đau tim. Nạn nhân rất đau đớn, cần có các giải pháp để ngăn cơn đau quay lại, nhưng ít nhất thì nhất cơn đau đã qua đi. Cloudflare đã ngăn được lỗi trong vòng 44 phút kể từ khi nó được phát hiện, và tiến hành tìm hiểu, fix lỗi hoàn toàn trong 7 giờ đồng hồ.

Dù vậy, giới bảo mật tin rằng Cloudbleed đã ảnh hưởng tới các website từ tháng 9 năm ngoái, trong đó ảnh hưởng nghiêm trọng nhất xảy ra trong thời gian từ 13 đến 18/2 năm nay. Với thời gian lâu như thế, một khi các bên liên quan nghiên cứu và dò xét lại, nhiều khả năng thông tin cá nhân khách hàng của họ đã bị rò rỉ, ảnh hưởng. 

Cloudflare là ai?

Cloudflare là hãng cung cấp hạ tầng internet và bảo mật thiết yếu cho hàng triệu website. Trên website của mình, Cloudflare liệt kê Nadaq, Bain Capital, OKCupid, ZenDesk, Cisco, cùng nhiều công ty khác, trong danh sách khách hàng của hãng. 

Ngay cả khi bạn chưa từng nghe đến cái tên Cloudflare, nhiều khả năng những website bạn truy cập sử dụng dịch vụ của công ty này để bảo mật hay để cung cấp thông tin. 

Những website nào bị ảnh hưởng?

Hiện tại, chúng ta mới biết rằng 3 website bị ảnh hưởng trực tiếp bởi Cloudbleed là Uber, FitBit và OKCupid. Tuy nhiên, ngoài ra còn có hàng ngàn website khác. 

Phản ứng trước thông tin về vụ rò rỉ bảo mật, các công ty đã lên mạng Twitter thông báo đang tìm hiểu về Cloudbleed và trấn an khách hàng. 

Khi duyệt web, các nhà quảng cáo theo dõi gần như mọi website bạn ghé qua, thu thập lượng thông tin khổng lồ về thói quen của bạn. Khi ghé thăm một website tin tức, họ có thể biết bạn là người hâm mộ môn thể thao nào, loại hình âm nhạc nào, từ đó lựa chọn các quảng cáo phù hợp với thị hiếu của bạn. Nhà quảng cáo sử dụng thông tin để tạo ra trải nghiệm mang tính cá nhân cao nhưng về cơ bản, họ không biết chính xác bạn là ai. Họ chỉ quan sát dấu chân trên mạng chứ không phải danh tính, do đó bạn vẫn cảm giác như mình được an toàn.

Tuy nhiên, thực tế, theo tác giả Jessica Su, Ansh Shukla, Sharad Goel và Arvind Narayanan, ngay cả các bản ghi duyệt web ẩn danh cũng phần nào đó liên hệ trở lại danh tính trong thế giới thực.

Để thử nghiệm, họ viết một website nơi mọi người đóng góp lịch sử duyệt web cho mục đích nghiên cứu. Sau đó, họ xem có thể kết nối chúng với tài khoản Twitter chỉ bằng dữ liệu công khai có sẵn. 72% những người muốn ẩn danh đã được xác định là ứng cử viên đầu tiên trên kết quả tìm kiếm, 81% nằm trong 15 ứng cử viên hàng đầu.

Như vậy, nó gọi ra chính xác người dùng trong số hàng trăm triệu tài khoản Twitter. Ngoài ra, phương pháp của nhóm tác giả chỉ yêu cầu một người bấm vào link hiện ra trên feed chứ không cần đăng bất kỳ nội dung nào. Vì vậy, những người vẫn cẩn trọng khi chia sẻ trên Internet đều có nguy cơ bị lộ danh tính.

Phương thức hoạt động

Cách tiếp cận của nhóm dựa trên quan sát đơn giản: Mỗi người đều có mạng lưới riêng biệt, bao gồm gia đình và bạn học, đồng nghiệp cùng các giai đoạn khác nhau trong đời. Như một hệ quả, bộ đường link trên feed Facebook và Twitter cũng khác biệt. Bấm vào những link này để lại một dấu ấn trong lịch sử duyệt web của họ.

Nhìn vào bộ website mà một cá nhân ghé thăm, họ có thể chọn ra các feed mạng xã hội tương tự, rút gọn danh sách những người có thể tạo ra lịch sử duyệt web đó. Bằng cách này, họ gắn một người cụ thể ngoài đời với bộ link mà họ ghé qua, bao gồm cả những link chưa bao giờ được đăng trên bất kỳ trang mạng xã hội nào.

Phương thức chính xác hơn với những ai hoạt động Twitter thường xuyên. 90% những người tham gia bấm hơn 100 link trên Twitter khớp với danh tính.

Nhiều công ty sở hữu nguồn lực theo dõi để thực hiện một cuộc tấn công như thử nghiệm nói trên mà không cần có sự đồng ý của người dùng.