Trên Facebook của nhóm hacker DIE Group cho biết nhóm này đãcảnh báo lỗ hổng bảo mật nhưng không nhận được phản hồi từ đơn vị chủ quảnwebsite và lỗ hổng bảo mật cũng không được khắc phục. Do đó, nhóm DIE Group đãcông khai danh sách của khách hàng VNPT trên một trang chia sẻ các tệp tin trựctuyến mega.co.nz và cho phép bất kỳ ai tải về.
Hình ảnh được chia sẻ bởi một thành viên trong nhóm DIEGroup trên Facebook. Số lượng được chia sẻ là 10.000 nhưng theo ông Mr. TrầnQuang Chiến, Giám đốc Công ty Cổ phần VNIST (VNIST Corp), người phụ tráchwebsite SecurityDaily.NET, qua phân tích công ty này phát hiện con số lên đến50.000 thông tin tài khoản.
Ông Chiến cho biết thông tin tiết lộ bao gồm cả mật khẩu ở dạngbản rõ (chưa được mã hóa). Bất cứ ai có các thông tin này đều có thể đăng nhậpvào tài khoản của người dùng trên website của VNPT.
Theo ông Trần Quang Chiến, việc để lộ các thông tin này chứngtỏ website của VNPT đang tồn tại các lỗ hổng nguy hiểm cho phép hacker có thểkiểm soát và lấy được hầu hết các thông tin trong cơ sở dữ liệu, rất có thể tàikhoản quản trị cũng đã bị đánh cắp. Nhận định ban đầu cho thấy lỗ hổng này rấtcó thể là lỗ hổng SQL Injection, một lỗ hổng cực kỳ nguy hiểm và phổ biến trongcác hệ thống website và đã được tin tặc khai thác rất nhiều để lấy các thôngtin từ cơ sở dữ liệu của website, chiếm quyền kiểm soát website.
Nếu có được các thông tin này, một kẻ tấn công có thể lợi dụngđể đăng nhập vào hệ thống và chiếm quyền của người dùng và thực hiện các bước tấncông leo thang đặc quyền khác. Ngoài ra,các thông tin bị tiết lộ kèm theo địa chỉ sẽ là miếng “mồi ngon” cho những kẻphát tán tin nhắn rác, tin nhắn lừa đảo đến người dùng các đầu số thuê bao này.
Được biết, gần đây một số website của Việt Nam cũng bị nhóm DIE Group tấn công theo hình thức trên, nhưng họ thay đổi giao diệnwebsite để để cảnh báo là chính. Ông Chiến cũng cho biết, trước đó, ngày 8/3 vừa qua, websitecủa Trường ĐH Luật cũng bị tấn công SQL Injection và thay đổi giao diện, do mộtnhóm hacker tự nhận đến từ Trung Quốc.
Hiện tại Dân trí đang liên lạc với VNPT để cập nhật thông tin về lỗ hổng trên.
Khôi LinhNguồn tin: Báo điện tử Dân Trí
Những tin mới hơn
Những tin cũ hơn