Sau vụ việc tấn công vào Vietnam Airlines, vnready nhận được thông tin về việc giải mã thành công mật khẩu của hơn 400 ngàn khách hàng chương trình Bông sen vàng và qua đó rất nhiều rủi ro có thể xảy từ vấn đề này mà báo chí và cộng đồng chưa đề cập đến. VNready xin gửi đến bạn đọc nguyên văn nội dung (được biết tác giả hiện là chuyên viên văn phòng của Bộ TTTT, tên tác giả gắn liền với trò chơi Lines 98 khá phổ biến tại VN những năm 2000)

Sau vụ tấn công vào Vietnam Airlines, hacker đã công bố lên mạng danh sách hơn 400.000 khách hàng thuộc nhóm Golden Lotus trong đó chứa nhiều thông tin quan trọng như: Tên, Ngày sinh, Địa chỉ, Điểm tích lũy, Tài khoản hội viên, Mật khẩu, Email,… trong đó mật khẩu đã được mã hóa và email được sửa toàn bộ thành xxxx, chỉ để lại phần tên miền sau @. Hiện tại chưa rõ mật khẩu do hacker mã hóa hay trên hệ thống Bông sen vàng của Vietnam Airlines đã mã hóa sẵn như vậy).

Ngay sau khi danh sách này bị công bố, Vietnam Airlines đã có thông báo kêu gọi khách hàng đổi mật khẩu tuy nhiên đến thời điểm này hệ thống vẫn chưa thể đăng nhập nên hầu hết khách hàng vẫn chưa thể thay đổi mật khẩu của mình, đó là chưa kể đến các khách hàng chưa biết hoặc không để ý.

Qua quan sát danh sách mật khẩu, tôi nhận thấy đây không phải là kiểu mã hóa mật khẩu một chiều (sử dụng hàm băm) mà chỉ là một phương pháp mã hóa khá đơn giản. Sau khoảng hơn nửa tiếng tiến hành thử nghiệm giải mã, tôi đã có được hơn 400 ngàn mật khẩu của các thành viên chương trình Bông sen vàng. Đối chiếu thử với một vài người bạn nhận được xác nhận đúng mật khẩu, ngoài ra cũng có thể dễ dàng xác nhận bằng mắt thường các mật khẩu sau khi được giải mã.

Qua theo dõi trên các phương tiện truyền thông và facebook, thông tin được phân tích mổ xẻ khá nhiều chiều, nhiều góc nhìn từ kỹ thuật đến khía cạnh quản lý, tuy nhiên vấn đề lộ mật khẩu và các hậu quả, rủi ro của nó thì lại hầu như không được đề cập đến. Bạn bè tôi một số thì dửng dưng “tưởng mật khâu nó công bố trong file excel rồi mà”, một số đã từng mở file excel thì ngạc nhiên “tưởng nó hash rồi cơ mà” (hash-hàm băm mã hóa 1 chiều, gần như không có khả năng giải mã).

Thực sự vấn đề nghiêm trọng hơn những gì mọi người vẫn tưởng. Các mật khẩu này được đặt một cách vô cùng bất cẩn, có thể do chính người dùng đặt, cũng có thể nhân viên khi nhập dữ liệu đã đặt hộ khách hàng. Tôi đã thử làm 1 bảng thống kê, không ngoài dự đoán khi mật khẩu 123456 được sử dụng phổ biến nhất chiếm 6,22%, ngoài ra có thể kể đến 1 số loại mật khẩu phổ biến như abc123, vietnam, iloveyou,…

Thống kê hành vi đặt mật khẩu các tài khoản Golden Lotus
Thống kê hành vi đặt mật khẩu các tài khoản Golden Lotus

Cho dù thế nào thì lại một lần nữa vấn đề nhận thức về an toàn thông tin lại đáng được báo động. Bên cạnh vấn đề rất cũ nhưng luôn nóng hổi này thì vẫn còn 1 số điểm đáng ngại sau:

  • Tại sao hệ thống của Vietnam Airlines lại lưu trữ mật khẩu khách hàng hớ hênh như vậy? Hầu như tất cả các hệ thống đơn giản nhất hiện nay cũng sử dụng hàm băm (hash) để mã hóa 1 chiều để lưu trữ mật khẩu chỉ phục vụ cho mục đích kiểm tra đúng sai. Sau khi mật khẩu đã được mã hóa (băm) thì cho dù bị lộ cũng không ai có thể dò ra được chính xác mật khẩu gốc là gì. Sau vụ việc, Vietnam Airlines cần rà soát lại tất cả các hệ thống thông tin của mình về vấn đề này, và cao hơn nữa, nên có tiêu chuẩn cụ thể về vấn đề này cho tất cả các hệ thống thông tin thuộc các CQNN quản lý?
  • Các cơ quan đã có văn bản cảnh báo gửi đi các nơi, Vietnam Airlines cũng có thông báo đề nghị khách hàng đổi mật khẩu Golden Lotus của mình trên hệ thống sau khi được khắc phục. Tuy nhiên có một việc chưa được đề cập đến đó là hậu quả của việc giải mã được mật khẩu, khi đó mật khẩu kèm theo tên, địa chỉ của khách hàng bị lộ, và không có gì đảm bảo thói quen của người dùng sẽ sử dụng chung 1 mật khẩu cho nhiều dịch vụ trực tuyến của mình, đó là: email, tài khoản ngân hàng, tài khoản thanh toán… Một ví dụ đơn giản: tôi có khoảng 20 người bạn có tên trong danh sách, vì là bạn nên tôi biết địa chỉ gmail của họ, tôi sẽ thử dò bằng mật khẩu đã được giải mã, nếu may mắn, tôi có thể dò được 1-2 người do thói quen sử dụng chung mật khẩu. Từ gmail, tôi có thể chiếm được rất nhiều tài khoản khác đã từng sử dụng email này để đăng ký từ tài khoản ngân hàng, chứng khoán, ví điện tử, …

Để giải quyết được vấn đề này, Vietnam Airlines cần ngay lập tức tạm ngưng toàn bộ việc đăng nhập của khách hàng, sau đó cung cấp được link để reset mật khẩu và được gửi đến email của từng khách hàng, nếu có thể gửi thêm tin nhắn sms nhắc nhở. Nội dung email bao gồm ít nhất link để khách hàng reset mật khẩu, thông báo về các khả năng có thể xảy ra và đề nghị khách hàng đổi mật khẩu các tài khoản cá nhân khác có liên quan nếu dùng chung mật khẩu. Chỉ sau khi KH reset mật khẩu mới cho phép đăng nhập bình thường.

P/S: Có thể chính việc công bố các mật khẩu phổ biến sẽ ảnh hưởng phần nào đến hệ thống Golden Lotus nhưng sẽ là áp lực để VNAirlines buộc khách hàng của mình phải đổi mật khẩu trước khi đăng nhập lần tới. Ngoài ra việc đưa ra thông tin của tôi về mật khẩu golden lotus không bị hash có thể sẽ làm nhiều bạn thử giải mã (mà việc giải mã không hề khó), khi đó rất có thể danh sách mật khẩu này bị công bố và sẽ có những hậu quả không nhỏ.

1-8-2016 RGV0978

VNREADY