Các mạng di động liên tục khuyến mãi để tăng thuê bao nhưng khách hàng luôn băn khoăn về chất lượng dịch vụ và vấn đề an ninh mạng. |
Công ty Thông tin di động MobiFone vừa phát hiện một hacker tấn công website riêng của mạng di động này.
Tại website của mạng di động VinaPhone, các thuê bao (cả trả trước và trả sau) khi trở thành thành viên (nếu còn tài khoản) sẽ được sử dụng nhắn tin qua mạng miễn phí 5 tin/ngày và nhắn tin mất phí không hạn chế (200 đồng/tin). Để có được tiện ích này, khách hàng chỉ cần khai báo theo những đề mục yêu cầu trên website, sau đó sẽ nhận được tin nhắn mật khẩu (password) từ website. Tuy nhiên, do sơ ý nhiều khách hàng đã bị kẻ gian trộm password rất dễ dàng.
Anh N.H.L. (Hà Nội), một khách hàng của mạng DĐ VinaPhone, cho biết nhiều tháng nay, anh liên tục phải trả tiền cho những tin nhắn từ số máy của mình đến số máy lạ mà anh không hề thực hiện nhắn tin. Sự thực của việc “người ăn ốc, kẻ đổ vỏ” này là một kẻ gian đã lấy số điện thoại của anh N.H.L. rồi tự động khai báo vào website. Sau khi khai báo ít phút, hệ thống tự động của website sẽ nhắn mật khẩu (password) đến số máy của anh N.H.L.. Đặc biệt là có lẽ do chưa nắm rõ dịch vụ này nên kẻ gian đã giả danh là nhân viên Trung tâm Dịch vụ chăm sóc khách hàng (151) và Công ty VinaPhone yêu cầu anh đọc lại mật khẩu. Sau khi có được mật khẩu, kẻ gian "vô tư" dùng số thuê bao của anh N.H.L. để nhắn tin mỗi ngày mà chủ thuê bao không hề hay biết.
Tương tự như vậy, khách hàng của mạng di động MobiFone cũng dễ dàng bị gạt và để lộ mật khẩu thành viên trên website: http://www.mobifone. com.vn. Khách hàng của các mạng khác cũng không ngoại lệ.
Hệ thống bảo mật có thật sự an toàn?
Trưởng Phòng Tin học - Tính cước của MobiFone, ông Nguyễn Mạnh Hùng, thừa nhận trong thời gian gần đây, thông tin trên website của MobiFone (http://www.mobifone. com.vn) đã bị hacker tấn công, nên có thể thông tin bí mật của khách hàng bị rò rỉ. Vừa qua (ngày 24/10), MobiFone đã phát hiện một hacker (theo MobiFone đây là một hacker có tên tuổi trong VietHacker) đã truy cập trái phép trang webportal của MobiFone để tải các file r.php.gif vào thư mục deploy của website. Đồng thời hacker này còn đọc các cấu hình, upload một số file ảnh vào thư mục picture Gallere để tải một số file JSP của hệ thống và sửa file check Password.jsp. Ông Hùng thừa nhận, đây chỉ là số ít các hacker bị phát hiện và cuộc chiến giữa hacker và nhà cung cấp dịch vụ là cuộc chiến không có hồi kết.
MobiFone cho rằng, khách hàng có thể bị mất tiền tối đa là 2.000 đồng/ngày nếu bị hacker sử dụng SMS “chùa”. Nếu hacker sử dụng những thông tin cá nhân của khách hàng để làm những chuyện khác thì không thể tính được mức độ thiệt hại. Tuy nhiên, ông Hùng cho biết, đến thời điểm này chưa có khách hàng nào thông báo về vấn đề bị lộ thông tin cá nhân và những thiệt hại.
Xung quanh thông tin việc hacker có thể sử dụng tài khoản của khách hàng khác trên server để nhắn tin “chùa” hay tự động tạo account của bất cứ số điện thoại nào thuộc mạng MobiFone để kiểm soát thông tin của số điện thoại đó thông qua hệ thống website... là không đáng tin cậy. MobiFone vẫn một mực khẳng định, mạng của mình có mức bảo mật tốt nhất của VN hiện nay. Nhờ hệ thống bảo mật này nên bình quân mỗi ngày có khoảng 60 cuộc tấn công bất hợp pháp vào mạng MobiFone nhưng đều bị thất bại.
Tuy vậy, ông Nguyễn Minh, phụ trách nhóm kỹ thuật “Phòng chống xâm nhập” của Công ty Misoft, phân tích lỗi trên máy chủ web của MobiFone là lỗi do Oracle 9i Application Server cho phép người truy cập web có thể đọc được nội dung của các file. jsp trên máy chủ web. Lỗi này không gây ảnh hưởng đến truy cập web của những người sử dụng bình thường, tuy nhiên từ các file. jsp bị lộ này hacker có thể lấy được một số username và password của những người sử dụng khác. Đối với một ứng dụng web như Oracle 9i AS, hacker có thể dễ dàng tìm kiếm được các thông tin về điểm yếu từ các website an ninh mạng như www.securityforcus.org hay www.securiteam.com.
Không chỉ có MobiFone, một công ty chuyên về bảo mật cũng đã lên tiếng cảnh báo mạng S-Fone đã bị tấn công. Mặc dù phía S-Fone đã phủ nhận những thông tin này nhưng theo phân tích của công ty trên, website của S-Fone đơn giản hơn của MobiFone. Website này cho phép khách hàng S-Fone đăng ký account để nhắn tin thông qua website, download hình ảnh, nhạc chuông, game trực tuyến. Công ty này phân tích, do lập trình viên website lập trình hệ thống lỗi nên hacker có thể gửi thoải mái tin nhắn trong ngày hoặc sử dụng hệ thống website để spam "ngập lụt" tin nhắn đến một số máy bất kỳ. Cho phép hacker có thể tự động khởi tạo một account bất kỳ của một số điện thoại S-Fone nào trên hệ thống website. Cao hơn nữa thông qua lỗi lập trình, hacker tấn công vào hệ thống server và kiểm soát server.
Ngân hàng và viễn thông: Mục tiêu của hackerTrong buổi hội thảo về an ninh mạng diễn ra hồi đầu năm tại Hà Nội, các chuyên gia về bảo mật của Tập đoàn Cisco (Mỹ) cho biết, theo thống kê trên thế giới, thiệt hại lớn nhất do hacker gây ra là ngành ngân hàng, sau đó mới đến ngành viễn thông. Tuy nhiên, những thiệt hại về lĩnh vực viễn thông thường không được tiết lộ.
(Theo Người Lao Động)