Từ lỗ hổng bảo mật Zoom các ứng dụng miễn phí có thực sự đảm bảo an toàn?
Từ lổ hổng bảo mật Zoom đã cho thấy sự thiếu an toàn, mất dữ liệu bảo mật của các phần mềm làm việc từ xa, dạy học trực tuyến miễn phí.
Thời gian qua, "lộ lọt thông tin" hay "rò rỉ dữ liệu" cá nhân là những cụm từ được nhắc đến rất nhiều trong lĩnh vực an ninh mạng.
Năm 2018, hàng tỷ người dùng trên khắp thế giới đã bị rò rỉ thông tin cá nhân khi dùng các ứng dụng trên mạng xã hội và bị tin tặc tấn công.
Các vụ tấn công hệ thống thông tin, cài mã độc, rao bán thông tin người dùng... ngày càng diễn biến phức tạp, khiến yêu cầu bảo mật thông tin cá nhân trở nên cấp thiết. Do vậy, mỗi người dùng mạng Internet cần tự trang bị kỹ năng tự bảo vệ thông tin cá nhân để tránh những hậu quả đáng tiếc.
Các ứng dụng miễn phí có thực sự an toàn?
Từ đầu năm 2020, nhiều lỗ hổng bảo mật của Zoom đã được công bố (trong đó có lỗ hổng chưa được nhà cung cấp xử lý triệt để) với nhiều mức độ nguy hiểm khác nhau. Thông qua những lỗ hổng trên, tin tặc có thể truy cập bất hợp pháp vào các phòng họp, theo dõi, truyền bá các thông tin xấu độc, đánh cắp thông tin hoặc cài đặt mã độc trực tiếp trên máy tính người dùng.
Ở nhiều nước như Đức, Anh, Singapore… Zoom đã bị lên án, bị cấm sử dụng sau khi có các báo cáo về việc gửi dữ liệu tới Facebook, chia sẻ thông tin cho LinkedIn. Ngoài ra, tin tặc còn đột nhập vào một lớp học online thông qua phần mềm Zoom và hiện ra hình ảnh phản cảm.
Bản thân ông Eric Yuan, Giám đốc điều hành Zoom đã thừa nhận: “Zoom đã phát triển quá nhanh và có những bước đi sai lầm. Chúng tôi đã nhận cho mình những bài học. Giờ đây, chúng tôi sẽ lùi một bước để tập trung hoàn thiện quyền riêng tư và bảo mật cho người dùng”.
Sau khi các nước lên án ứng dụng Zoom để lộ thông tin, thì mới đây, Cục An toàn thông tin (Bộ Thông tin và Truyền thông) cũng đã phát đi cảnh báo cho các bộ, ngành, địa phương và các tổ chức, cá nhân về nguy cơ mất an toàn thông tin từ phần mềm họp trực tuyến Zoom. Theo khuyến cáo của Cục, các cơ quan, tổ chức hành chính nhà nước không nên sử dụng phần mềm Zoom để phục vụ các buổi họp trực tuyến tại đơn vị mình.
Cục An toàn thông tin, Trung tâm Ứng cứu khẩn cấp không gian mạng Việt Nam thuộc Cục đã ghi nhận có hơn 500.000 tài khoản Zoom đã bị lộ thông tin cá nhân của người sử dụng, bao gồm email, mật khẩu, đường dẫn URL các cuộc họp và mật khẩu kèm theo.
Zoom không phải là phần mềm học tập, làm việc online duy nhất bị phát hiện, khai thác lỗ hổng. Mới đây, Hãng bảo mật Kaspersky cho biết, từ kết quả phân tích đã phát hiện khoảng 1.300 tệp có tên tương tự những ứng dụng hội họp phổ biến như Zoom, Webex và Slack. Trong số 1.300 tệp tin có 200 mối đe dọa đã được phát hiện.
“Các ứng dụng họp trực tuyến mang đến phương thức để mọi người dễ dàng kết nối thông qua video, âm thanh hoặc văn bản khi không thể gặp mặt trực tiếp. Tuy nhiên, tin tặc cũng sẽ không bỏ qua cơ hội này để phát tán các mối đe dọa an ninh mạng dưới vỏ bọc của những ứng dụng phổ biến”, Kaspersky cho hay.
Ông Ngô Tấn Vũ Khanh, Giám đốc quốc gia Kaspersky tại Việt Nam cho biết, vấn đề lớn của các phần mềm làm việc, dạy học online miễn phí thường là đi kèm nhiều quảng cáo trên giao diện. Hầu hết các quảng cáo này đều dẫn tới một số đường link không được kiểm soát và đều có chức năng xâm nhập hay truy cập dữ liệu cá nhân.
Một số phần mềm miễn phí hỗ trợ họp trực tuyến còn có luôn chức năng theo dõi người dùng. Các phần mềm miễn phí hỗ trợ Voip IP hay Video Call sử dụng những điện toán đám mây công cộng, và việc xâm nhập cuộc thoại hay video là việc làm hoàn toàn không khó khăn đối với hacker.
“Hacker hoàn toàn có thể truy cập danh bạ cuộc gọi, theo dõi toàn bộ nội dung thoại, biết được người dùng đang ở đâu và làm gì, đặc biệt là các tài khoản ngân hàng nếu người dùng chuyển tiền bằng Internet banking hay các ví điện tử...”, ông Khanh nói.
Tuy nhiên, việc để lộ thông tin cá nhân của người sử dụng hiện nay ở Việt Nam hầu hết đều do chính người sử dụng tự đưa lên. Thông tin về ngày tháng năm sinh, trường học, nơi làm việc, nơi ở... kê khai trong các ứng dụng mạng xã hội được để ở chế độ mở. Thêm vào đó, nhiều người có thói quen cập nhật rất nhiều hoạt động trong ngày lên mạng xã hội. Điều này đồng nghĩa với việc ai cũng có thể thu thập được thông tin của họ, có thể dễ dàng lập tài khoản giả mạo và tiến hành các hành vi lừa đảo.
Chuyên gia đào tạo về an toàn thông tin mạng Ngô Việt Khôi từng chia sẻ: Khi bạn sử dụng mạng xã hội càng lâu, thì thông tin để vẽ lại chân dung của bạn càng rõ ràng. Vì đó là cơ sở dữ liệu lớn (Big data) mà những đơn vị vận hành mạng xã hội có thể thu thập qua từng ngày, từng giờ. Với việc ứng dụng trí tuệ nhân tạo, các thông tin đã thu thập được xử lý, tạo nên những trường dữ liệu mà ứng dụng xã hội có thể bán thông tin người dùng cho những đơn vị cần mua. Do vậy, khi chúng ta đã công khai chia sẻ các dữ liệu cá nhân thì việc các dữ liệu này bị thu thập, bị xử lý và chia sẻ sẽ nằm ngoài tầm kiểm soát của người sử dụng.
Sử dụng phần mềm nội, phần mềm có trả phí
Theo khuyến cáo của Cục An toàn thông tin, các doanh nghiệp, tổ chức, trường học nên ưu tiên lựa chọn các sản phẩm phần mềm học trực tuyến, tổ chức hội họp và làm việc từ xa do doanh nghiệp uy tín cung cấp như Viettel, VNPT, MobiFone, FPT, VNG, CMC, Nhân Hòa...
Cùng với đó, người dùng các phần mềm học trực tuyến, tổ chức hội họp và làm việc từ xa cần chú ý tải phần mềm từ các nguồn chính thống; thường xuyên cập nhật phiên bản mới nhất; không chia sẻ thông tin về phòng họp (ID, mật khẩu) để tránh các trường hợp bị kẻ xấu theo dõi, phá hoại...
Khủng hoảng an ninh bảo mật của Zoom cũng là bài học cho các doanh nghiệp Việt Nam cung cấp dịch vụ này. Đó là vấn đề đầu tư, trang bị đầy đủ các tính năng bảo mật cho phần mềm, bảo đảm an toàn thông tin cho người sử dụng, có đội ngũ kỹ thuật để hỗ trợ kịp thời cho khách hàng.
Đối với các tổ chức, doanh nghiệp, ngoài việc sử dụng các phần mềm chính thống, có bản quyền, trả phí, thường xuyên cập nhật phiên bản mới nhất của phần mềm, thì cần nâng cao nhận thức của cán bộ, nhân viên về tuân thủ các nguyên tắc bảo mật như: không chia sẻ thông tin về phòng họp, lớp học (ID, mật khẩu); đặt và đổi mật khẩu phức; kích hoạt chế độ xét duyệt người tham gia trước khi vào phòng họp; thiết lập các tính năng quản lý việc chia sẻ màn hình trong buổi họp; hạn chế việc lưu lại nội dung buổi họp trong trường hợp không cần thiết…
Trao đổi với PV TTXVN, Tiến sĩ Nguyễn Trọng Đường, Giám đốc Trung tâm Ứng cứu Khẩn cấp máy tính Việt Nam, Bộ Thông tin và Truyền thông đã chia sẻ: “Thứ nhất là chúng ta cần dùng những phần mềm có bản quyền, để không bị mất thông tin cá nhân. Thứ hai là cần sử dụng các ứng dụng từ nguồn chính thống, được cung cấp bởi các đơn vị tin cậy. Không nên truy cập vào các trang web không rõ, hay truy cập vào các đường dẫn trong mail, trên facebook…”.
Ngoài ra, người dùng cũng nên sử dụng phần mềm diệt virus, diệt mã độc chuyên dùng, nên cập nhật thường xuyên để tránh bị mất thông tin quan trọng trong các thiết bị máy tính, điện thoại di động hay các thiết bị cá nhân có kết nối mạng internet.
Trong thời đại mọi vật dụng xung quanh đều thông minh và có kết nối internet thì khi thông tin cá nhân bị lộ sẽ có nhiều nguy cơ rủi ro. Trước khi có các chế tài hiệu quả để bảo vệ người dùng trước những vụ tấn công, lừa đảo trên mạng thì mọi người cần hạn chế tối đa việc cung cấp, chia sẻ thông tin cá nhân để đảm bảo an toàn cho bản thân và những người xung quanh.
Nguyệt Hằng (T/h)