Sau khi đăng nhập thành cơng, các hacker đã thu thập thông tin cánhân của các tài khoản này và phát tán trên internet.THE LAZY MAN - dddLịch SửĐảng 100% 13 Trang 9 Sau khi phát hiện sự
GIỚI THIỆU VỀ VNG VÀ BỨC TRANH TỔNG QUAN SỰ CỐ LỘ THÔNG
Giới thiệu về VNG
VNG là tên viết tắt của chữ Vinagame, tên đầy đủ là Công ty Cổ phần VNG, một Công ty chuyên về lĩnh vực công nghệ tại Việt Nam Được thành lập từ năm
2004, Công ty Cổ phần VNG hiện tại là công ty công nghệ hàng đầu Việt Nam Với những sản phẩm công nghệ tiên phong và chất lượng, VNG đang phục vụ hàng triệu người dùng cá nhân và tổ chức ở hơn 100 quốc gia cùng sứ mệnh “Kiến tạo công nghệ và Phát triển con người Từ Việt Nam vươn tầm thế giới”.
VNG được chính thức thành lập với 4 mảng sản phẩm chính: Trò chơi trực tuyến, Nền tảng kết nối, Thanh toán điện tử, Dịch vụ điện toán đám mây Sau hơn 15 năm hoạt động trên thị trường, VNG được đánh giá là doanh nghiệp khởi nghiệp kỳ lân duy nhất tại Việt Nam khi được định giá trên 1 tỷ USD.[1]
Hình 1: Công ty Cổ phần VNG
Quá trình hình thành và phát triển của VNG
Giai đoạn năm 2004 - 2005: Đây là giai đoạn mở đường cho kỷ nguyên game nhập vai tại thị trường Việt Nam với thành công ở Võ Lâm Truyền Kỳ.
Giai đoạn năm 2006 - 2008: Doanh thu của VNG đạt mức 17 triệu USD Cũng trong giai đoạn này, VNG tiến hành khánh thành trung tâm dữ liệu hiện đại nhất Việt Nam nhằm làm chủ việc lưu trữ thông tin toàn bộ sản phẩm mà công ty đang cung cấp.
Giai đoạn năm 2009 - 2012: VNG chính thức ra mắt mạng xã hội đầu tiên của
Việt Nam mang tên Zing Me đồng thời sản xuất thành công game thuần Việt MMO đầu tiên của khu vực Đông Nam Á mang tên Thuận Thiên Kiếm Bên cạnh đó, trong giai đoạn này, VNG cũng là doanh nghiệp đầu tiên phát hành game ra thị trường Nhật Bản mang tên Ủn Ỉn VNG cũng chính thức giới thiệu bộ nhận diện thương hiệu mới với tên gọi là VNG - Vinagame và bắt đầu vào việc đầu tư cho công cụ thanh toán các dịch vụ kinh doanh trực tuyến ngoài của VNG.
Giai đoạn năm 2013 - 2016: Đây là giai đoạn bùng nổ của VNG khi được World
Startup Report định giá công ty 1 tỷ USD và trở thành startup kỳ lân duy nhất của Việt Nam.
Giai đoạn năm 2017 - Nay: Nền tảng của VNG cung cấp đã có hơn 80 triệu người dùng tại 193 quốc gia cùng 15 ngôn ngữ Giai đoạn này, VNG cũng tiến hành ký kết bản ghi nhớ về việc niêm yết trên sàn Nasdaq - Mỹ Bên cạnh đó, Công ty còn khai trương văn phòng tại Thái Lan và Myanmar và trở thành nhà phát hành hàng đầu tại khu vực Đông Nam Á.
Những sản phẩm mà VNG cung cấp ra thị trường
Trò chơi trực tuyến: VNG chú trọng phát triển và sản xuất các trò chơi trực tuyến để phát hành ra thị trường quốc tế như Khu vườn trên mây, Dead Target, Bên cạnh đó, Công ty còn tiến hành nhập khẩu và phát hành các trò chơi nổi tiếng trên toàn thế giới như Võ Lâm truyền kỳ, Rules of Survival, Crossfire Legend… Nền tảng kết nối: Nền tảng này được phát triển đa dạng, đa dịch vụ nhằm phục vụ toàn diện nhu cầu kết nối , giải trí và tìm kiếm của các cá nhân, tổ chức nhưZalo, Zing (Zing TV, Zing Mp3, ), 123Go, 123Phim, Laban.vn,
Document continues below an toàn b ả o m ậ t
Go to course đ ề - an toàn b ả o m ậ t
100% (1) 24 đ ề -đe-d ọ a.docx - đề an toàn bảo mật…
Dịch vụ đám mây: VNG cung cấp các giải pháp về dịch vụ điện toán đám mây đạt tiêu chuẩn quốc tế từ đó có thể đồng hành cùng doanh nghiệp trong quá trình chuyển đổi số như: vServer, vCDN, vStorage, vCloud cam, v CloudStack, vMeeting,Cloud Drive, vDB, Digital Workspace,
Tổng quan về Zing ID
Zing ID là một tài khoản đăng nhập chung trên các dịch vụ của Zing, được ra mắt vào năm 2012 bởi Zing Corporation Zing ID được cung cấp miễn phí cho tất cả người dùng và cho phép truy cập vào các dịch vụ của VNG một cách dễ dàng và tiện lợi Người dùng có thể đăng ký tài khoản Zing ID bằng cách sử dụng địa chỉ email, số điện thoại hoặc tài khoản Facebook
Chức năng của tài khoản Zing ID
Với Zing ID, người dùng có thể truy cập vào các dịch vụ của VNG như ZingMP3, Zing TV, Zingnews, Zing Play, và nhiều hơn nữa chỉ bằng một tài khoản duy nhất Zing ID cũng cho phép người dùng lưu trữ thông tin cá nhân và dữ liệu trên đám mây của VNG, giúp bảo vệ thông tin và dễ dàng truy cập từ bất kỳ thiết bị nào có kết nối internet Ngoài ra Zing ID cũng được sử dụng để đăng nhập vào các dịch vụ của nhiều đối tác của VNG, bao gồm các ứng dụng di động và trang web khác.
Bức tranh tổng quan sự lộ thông tin 163 triệu tài khoản Zing ID
Vào tháng 4 năm 2018, thông tin cá nhân của khoảng 163 triệu tài khoản Zing ID đã bị lộ thông tin trên internet Cụ thể, theo thông tin từ trang diễn đàn Raidforums, hơn 163 triệu tài khoản của Zing ID đã bị lộ thông tin Tài khoản testwahaha đã đăng tải đường link của những dữ liệu này, bao gồm: mật khẩu, tên đăng nhập, mã game, email, số điện thoại, họ tên đầy đủ, ngày sinh, địa chỉ, iP… Tuy nhiên, sau đó không lâu thì đường link này đã không còn tồn tại.
VNG cho biết Zing ID là hệ thống quản lý tài khoản cho các sản phẩm game của VNG Theo thông tin từ Zing, nguyên nhân của việc lộ thông tin này là do một số tài khoản đã bị tấn công bởi các hacker sử dụng phương pháp tấn công "brute force" để đoán mật khẩu Sau khi đăng nhập thành công, các hacker đã thu thập thông tin cá nhân của các tài khoản này và phát tán trên internet.
Sau khi phát hiện sự cố, Zing đã ngay lập tức thông báo cho người dùng và yêu cầu thay đổi mật khẩu ngay lập tức Ngoài ra, Zing cũng đã tiến hành cải thiện hệ thống bảo mật để ngăn chặn các tấn công tương tự trong tương lai.
Tuy nhiên, sự cố lộ thông tin của Zing ID đã gây ra nhiều lo ngại và bức xúc của người dùng, đặc biệt là về mức độ bảo vệ thông tin cá nhân của họ trên internet. Điều này cho thấy tầm quan trọng của việc bảo vệ thông tin cá nhân của người dùng, và sự cần thiết của việc áp dụng các biện pháp bảo mật hiệu quả để ngăn chặn các sự cố tương tự.
PHÂN TÍCH CHI TIẾT SỰ CỐ LỘ THÔNG TIN 163 TRIỆU TÀI KHOẢN ZING ID
Thời gian, không gian diễn ra sự cố
Tóm tắt thời gian diễn ra sự cố:
2015 VNG ghi nhận khả năng bị lộ 163 triệu tài khoản Zing ID
24/04/2018 Tập thông tin rò rỉ có dung lượng tới 7,55 Gigabyte được đăng tải trên diễn đàn Raidforums
26/04/2018 Một số người Việt bất ngờ phát hiện có hơn
163.666.400 tài khoản Zing ID bị rao bán
27/04/2018 File dữ liệu đã bị xóa khỏi Raidforums và chủ đề này bị chuyển vào mục Removed Content
28/04/2018 Người đăng tải tập tin này lên đã cập nhật lại địa chỉ và tuyên bố cho phép mọi người tải về miễn phí
Mô tả chi tiết thời gian diễn ra sự cố
Zing ID là hệ thống quản lý tài khoản cho các sản phẩm game của VNG và công ty đã ghi nhận khả năng bị lộ 163 triệu tài khoản Zing ID từ năm 2015 thông qua một bộ phận tệp khách hàng chơi game của công ty, sau đó công ty đã thực hiện các biện pháp kỹ thuật để ngăn chặn sự rò rỉ này cho tới khi được rao bán công khai trên mạng vào năm 2018.
Tập thông tin rò rỉ trên có dung lượng tới 7,55 Gigabyte, đăng hôm 24/4 và một số thành viên của diễn đàn Raidforums đã tải về Vào ngày 26/4/2018, một số người Việt bất ngờ phát hiện có hơn 163.666.400 tài khoản Zing ID bị rao bán trên một diễn đàn nước ngoài và sau đó thông tin này bị lan rộng trên mạng xã hội trước khi được VNG phát hiện vào tối cùng ngày, vụ việc rúng động này được các trang báo trong nước đưa tin và mổ xẻ Tuy nhiên, đến tối qua 27/4, file dữ liệu đã bị xóa khỏi Raidforums và chủ đề này bị chuyển vào mục Removed Content (Nội dung đã bị xoá) của diễn đàn.
Về địa điểm, sự cố lộ thông tin diễn ra trên diễn đàn Raidforums Đây là diễn đàn với hơn 90.000 thành viên, chuyên đăng tải, mua bán thông tin và dữ liệu rò rỉ. Ngoài ra, Raidforums cũng có các chuyên mục thảo luận về anh ninh mạng, hacking và các vấn đề liên quan Hiện trang này có hàng chục nghìn người dùng mỗi ngày và được xem là một trong những nơi trao đổi thông tin rò rỉ lớn nhất hiện nay.
Hình 2: : Thông tin Zing ID của VNG được diễn đàn chuyên chia sẻ, mua bán dữ liệu rò rỉ Raidforums đăng tải
Về không gian, sự cố lộ thông tin đã ảnh hưởng đến hơn 163 triệu tài khoản của người dùng Zing ID trên toàn quốc Zing ID là một trong những nhà cung cấp dịch vụ lớn nhất tại Việt Nam, cung cấp cho người dùng một loạt các dịch vụ trực tuyến. Việc lộ thông tin cá nhân của hàng triệu người dùng Zing ID đã gây ra sự lo lắng và bất an cho cộng đồng người dùng trên toàn quốc Nhiều người đã bày tỏ sự phẫn nộ và chỉ trích Zing ID vì không bảo vệ được thông tin cá nhân của người dùng Ngoài ra,việc thông tin cá nhân của người dùng bị rò rỉ cũng làm mất niềm tin của người dùng đối với các nhà cung cấp dịch vụ trực tuyến khác.
Các đối tượng tham gia và chịu ảnh hưởng
Sự cố lộ thông tin của Zing ID là một vụ việc nghiêm trọng đã ảnh hưởng đến nhiều đối tượng khác nhau
Trước hết, người dùng Zing ID là đối tượng chịu ảnh hưởng trực tiếp của sự cố, hàng triệu người dùng đã bị ảnh hưởng đến thông tin cá nhân và tài khoản của họ Sự việc này đã gây ra sự lo lắng và bất an cho cộng đồng người dùng trên toàn quốc và làm mất niềm tin của khách hàng đối với Zing ID cũng như các nhà cung cấp dịch vụ trực tuyến khác.
Cộng đồng hacker cũng là một đối tượng ảnh hưởng của sự cố này Nhóm hacker có thể đã lợi dụng vào lỗ hổng mật khẩu người dùng để lấy cắp thông tin và rao bán trên diễn đàn Việc này không chỉ gây ra thiệt hại cho người dùng Zing ID mà còn làm mất niềm tin của khách hàng đối với các nhà cung cấp dịch vụ trực tuyến khác Ngoài ra, việc lộ thông tin cá nhân của người dùng cũng là một cơ hội cho các hacker và kẻ tấn công mạng khác tiếp cận thông tin cá nhân và sử dụng chúng cho các mục đích xấu Việc này có thể dẫn đến các cuộc tấn công mạng, trộm cắp thông tin, lừa đảo và các hoạt động bất hợp pháp khác
Công ty VNG, là nhà cung cấp dịch vụ Zing ID và là đơn vị chịu trách nhiệm về việc bảo vệ thông tin cá nhân của người dùng, cũng phải chịu những hậu quả nghiêm trọng về danh tiếng và uy tín Việc lộ thông tin đã gây ra thiệt hại nghiêm trọng cho công ty và có thể dẫn đến các vấn đề pháp lý và tài chính trong thời điểm đó.
Các công ty dịch vụ trực tuyến khác cũng phải chịu áp lực và đối mặt với sự phản ứng của khách hàng sau khi thông tin cá nhân của người dùng Zing ID bị rò rỉ. Chính phủ và các cơ quan chức năng cũng phải đối mặt với vấn đề an ninh thông tin trở thành một vấn đề nghiêm trọng đối với xã hội và kinh tế.
Sự cố lộ thông tin 163 triệu tài khoản Zing ID của VNG là một vụ việc nghiêm trọng đã ảnh hưởng đến nhiều đối tượng khác nhau, từ người dùng Zing ID, công tyVNG, các công ty dịch vụ trực tuyến khác, chính phủ và cơ quan chức năng Sự việc này đã gây ra sự lo lắng và bất an cho cộng đồng người dùng trên toàn quốc và làm mất niềm tin của khách hàng đối với Zing ID cũng như các nhà cung cấp dịch vụ trực tuyến khác.
Diễn biến chi tiết
Vào ngày 24 tháng 4 năm 2018, Diễn đàn chuyên chia sẻ, mua bán dữ liệu rò rỉ Raidforums vừa rao bán file dữ liệu 163.666.400 tài khoản Zing ID có dung lượng 7,55GB của Công ty VNG Theo đó dữ liệu chia sẻ gồm mật khẩu, tên đăng nhập, mã game (gamecode), email, số điện thoại, tên đầy đủ, ngày sinh, địa chỉ, IP, tên thành phố, quốc gia, của những người có tài khoản Zing ID Cơ sở dữ liệu này được nén lại thành một tập tin có dung lượng 7.55 GB, và sau đó được cắt ra thành từng tập tin nhỏ để tiện cho việc chia sẻ [2]
Có thể thấy, cơ sở dữ liệu này chứa rất nhiều thông tin nhạy cảm như tên đăng nhập và mật mã người dùng, số điện thoại, tên riêng, ngày sinh, địa chỉ và cả nơi sinh sống! Đáng chú ý hơn, mật mã người dùng được lưu trữ dưới dạng MD5 nhưng có thể đảo ngược được "Testwahaha" cũng nhấn mạnh rằng cơ sở dữ liệu này có thể được mở bằng cách chương trình đơn giản như Notepad++ hay EmEditor. Đến tối ngày 26 tháng 4 năm 2018, Công ty VNG cho biết họ đã phát hiện một tài khoản trên một diễn đàn trực tuyến nước ngoài tuyên bố rằng 163 triệu Zing ID bị lộ thông tin VNG đã nhận diện được động thái bất thường liên quan đến vụ việc của năm 2015 và cho biết họ đã ghi nhận việc 163 triệu Zing ID có nguy cơ bị rò rỉ từ năm
2015 Tại thời điểm đó, VNG đã kịp thời xử lý và ngăn chặn xâm nhập để giới hạn số lượng người dùng bị ảnh hưởng.
Sau khi phát hiện tài khoản đăng tải và tuyên bố 163 triệu Zing ID bị lộ thông tin trên diễn đàn trên, tối muộn ngày 27 tháng 4 năm 2018, Công ty Cổ phần VNG đã phát ra thông cáo về sự cố và yêu cầu người dùng thay đổi mật khẩu của mình ngay lập tức để đảm bảo an toàn thông tin cá nhân Trong thông cáo báo chí gửi đến truyền thông, Công ty VNG không chính thức thừa nhận đã bị lộ thông tin của hơn
163 triệu người dùng mà chỉ cho biết họ đã “đã ghi nhận việc 163 triệu Zing ID có nguy cơ bị rò rỉ” từ năm 2015 Đồng thời, trong tối hôm đó, file đính kèm trong Raidforums đã bị xóa và chủ đề này bị chuyển vào mục Removed Content (Nội dung đã bị xoá) của diễn đàn.
Tuy nhiên, tới sáng ngày 28 tháng 4 năm 2018, người đăng tải tập tin này lên đã cập nhật lại địa chỉ và tuyên bố cho phép mọi người tải về miễn phí Qua quan sát, có thể thấy các thông tin trong file được chia sẻ đều rất chi tiết, mang khối lượng thông tin khổng lồ, tuy nhiên, thông tin quan trọng nhất là mật khẩu thì đã mã hóa và hiện chưa có thông tin về việc giải mã Theo phân tích của chuyên gia bảo mật này, trong số 163 triệu tài khoản VNG bị lộ có gần 75 triệu tài khoản là của những người có thể xác định được chính xác ngoài đời và gắn với 75 triệu tài khoản này là hơn 22 triệu mật khẩu tương ứng (do cùng chung ý tưởng khi đặt mật khẩu, tương tự cách mà các website hẹn hò thường xếp cặp giữa những người có chung mật khẩu).
Sự cố lộ thông tin của Zing ID đã gây ra phản ứng tiêu cực từ cộng đồng người dùng và làm mất niềm tin của khách hàng đối với VNG cũng như các nhà cung cấp dịch vụ trực tuyến khác Các cơ quan chức năng đang tiến hành điều tra để tìm ra nguyên nhân cụ thể của sự cố này và xử lý các cá nhân hoặc tổ chức liên quan đến việc này.[3]
Nguyên nhân
Nguyên nhân đầu tiên phải kể đến đó là sự lơ là chủ quan trong hệ thống bảo mật thông tin của VNG
Như đã trình bày ở trên, vào năm 2015, VNG cho biết họ đã phát hiện việc này từ năm 2015 và đã ghi nhận nguy cơ rò rỉ dữ liệu của 163 triệu tài khoản Zing ID. Theo lời người đại diện của nhà phát hành VNG cho biết: “ Ngay tại thời điểm đó, chúng tôi đã kịp thời có các biện pháp xử lý, ngăn chặn xâm nhập, giới hạn số lượng người dùng bị ảnh hưởng bởi sự cố thông qua các biện pháp kỹ thuật Phạm vi người dùng bị tác động thực sự bởi sự cố này không lớn, tập trung ở các khách hàng chơi game và không ảnh hưởng tới các sản phẩm khác của VNG Hơn nữa, gần 99% số tài khoản Zing ID nói trên đã không phát sinh hoạt động nào trong hơn 1 năm trở lại đây Dù vậy, chúng tôi thực sự rất lấy làm tiếc và chân thành xin lỗi khách hàng vì sự bất tiện này.
Từ việc của chính mình và trước bối cảnh vấn đề an toàn thông tin chung đang có những diễn biến phức tạp, công ty càng đặc biệt chú trọng hơn về vấn đề bảo vệ khách hàng Chúng tôi liên tục tăng cường đội ngũ kỹ sư bảo mật và an ninh mạng, nâng cấp hạ tầng cơ sở kỹ thuật với công nghệ bảo mật tiên tiến nhất, phối hợp chặt chẽ với cộng đồng an toàn thông tin trong nước Nhờ đó, chúng tôi chưa để xảy ra sự cố an toàn thông tin đáng kể nào làm ảnh hưởng đến khách hàng của VNG trong những năm gần đây Tuy nhiên, từ đêm 26/4, bằng các biện pháp kỹ thuật nghiệp vụ và sự cảnh báo kịp thời của cộng đồng các chuyên gia an toàn thông tin Việt Nam, đội ngũ kỹ sư của chúng tôi đã nhận diện được động thái bất thường liên quan đến vụ việc của năm 2015 Ngay lập tức, chúng tôi đã gấp rút triển khai các biện pháp tức thời như kiểm chứng thông tin, tăng cường bảo mật hệ thống game, cũng như họp bàn chuẩn bị các giải pháp lâu dài, gốc rễ cho vấn đề, trên tinh thần ưu tiên bảo vệ quyền lợi của tất cả các khách hàng.” [4]
Từ lời của người đại diện nhà phát hành có thể thấy rằng, sự cố rò rỉ này đã diễn ra từ năm 2015, điều đó cho thấy hệ thống bảo mật của VNG có lỗ hổng để hacker xâm nhập và lấy đi thông tin Tuy phát hiện ra điều đó nhưng họ lại chủ quan vì cho rằng 99% số tài khoản trong số hơn 163 triệu đã không hoạt động nên không có biện pháp xử lý vấn đề hiện tại, họ chỉ thông báo cho chủ nhân 1% các tài khoản còn lại đổi mật khẩu Những hành động sau khi phát hiện chỉ nhằm mục đích phòng ngừa trong tương lai Tuy nhiên, cộng đồng mạng không thể đồng tình với cách trả lời của VNG Anh Thành Trung, người dùng các dịch vụ của VNG lâu năm cho rằng nguy cơ từ việc dữ liệu của 163 triệu người dùng là rất lớn "Hoàn toàn có thể dùng các username và mật khẩu từ tài khoản ZingID bị lộ để truy ngược ra các tài khoản khác như email, ngân hàng, Facebook, ", anh này nói.
Một chuyên gia công nghệ cho biết, VNG đã quá bất cẩn khi không hề mã hóa thông tin của 163 triệu tài khoản này Đây là điều đáng ra một công ty tầm cỡ như vậy bắt buộc phải làm, vì sự an toàn của người dùng cũng như uy tín của công ty Có thông tin cho rằng: VNG có mã hóa, nhưng xài MD5 dễ quá nên dịch ngược lại được (dịch ngược bằng cách tra cứu trong các database trên mạng để tìm chuỗi khớp) Nhiều người cũng tỏ ra nghi ngờ về nhận định của VNG cho rằng 99% trong số
163 triệu tài khoản đã không còn hoạt động trong hơn 1 năm "163 triệu tài khoản là
1 con số khổng lồ, trong khi dân số Việt Nam chỉ khoảng 100 triệu người Nếu 99% số tài khoản đó không hoạt động, tức là VNG còn tới hàng trăm triệu tài khoản khác? Ở đâu ra mà lắm người dùng thế?", một thành viên diễn đàn công nghệ băn khoăn [5] Anh Dương Ngọc Thái (hiện là chuyên gia bảo mật của Google) cho biết các mật khẩu này được mã hóa với một thuật toán MD5 với một lần mã hóa duy nhất cho nên rất dễ bị bẻ gãy "Tôi sử dụng phần mềm hashcat, với một vài tinh chỉnh nhỏ, không đáng kể Tôi sử dụng chiếc laptop cùi bắp Macbook Pro đời 2015 Nói chung là tôi không có làm gì đặc biệt, những gì tôi làm ai cũng có thể làm được Tôi bắt đầu bẻ khóa vào trưa thứ bảy và đến chiều chủ nhật thì dừng lại vì laptop nóng quá tôi sợ nó chết Tôi tìm được hơn 37% mật khẩu của 75 triệu tài khoản kể trên", anh Thái viết trên Blog của mình [6]
Một nguyên nhân khác có thể kể đến đó chính là cách đặt mật khẩu của người dùng Việt Nam quá dễ đoán và theo một quy luật nào đó Nguyên nhân của việc lộ thông tin này là do một số tài khoản đã bị tấn công bởi các hacker sử dụng phương pháp tấn công "brute force" để đoán mật khẩu, mật khẩu quá dễ đoán khiến cho hacker dễ thực hiện hành vi hơn Trong số 163 triệu tài khoản VNG bị lộ có gần 34 triệu tài khoản là của những người có thể xác định được chính xác ngoài đời Gắn với
34 triệu tài khoản này là hơn 12 triệu mật khẩu (vì ý tưởng lớn gặp nhau, người ta hay chọn mật khẩu giống nhau) Các mật khẩu này được mã hóa với một thuật toán rất dễ bị bẻ gãy (dành cho dân trong nghề: thuật toán MD5, một round duy nhất,không salt gì cả) [7]
Hậu quả
Hình 3: Thống kê chi tiết về các nạn nhân trong vụ rò rỉ 163 triệu Zing ID của VNG (Nguồn: Blog VNHacker)
Hàng loạt các thông tin cá nhân của khách hàng đã bị công khai Dữ liệu khá chi tiết, bao gồm tên tài khoản, mật khẩu, email, số điện thoại, ngày sinh, địa chỉ, số CMND - hộ chiếu của các thành viên Nhiều người dùng cùng một mật khẩu cho nhiều tài khoản khác nhau dẫn đến nguy cơ mất tất cả các tài khoản đó Chưa kể người dùng phải thường xuyên cảnh giác các tin nhắn hay email nhận được vì rất có thể những kẻ xấu sẽ lợi dụng gói thông tin này để phát tán virus, lừa đảo, spam email, và không loại trừ khả năng là hack hàng loạt.
Sự cố xảy ra khiến cho khách hàng mất đi lòng tin vào VNG Tuy đã được chứng minh rằng hệ thống bảo mật bên Zing ID khác với Zalo, dù do cùng VNG phát hành, nhưng vẫn có một số người lo sợ tài khoản Zalo của họ cũng sẽ bị lộ trong tương lại Đặc biệt, sau sự cố rò rỉ hơn 163 triệu tài khoản Zing ID, tháng 9 cùng năm, VNG lại tiếp tục gặp sự cố VNG sập server diện rộng, cả hệ thống game Zing và Zalo
"bay màu" Cụ thể vào khoảng 11g00 ngày 23/9/2018, nhiều người dùng Facebook cho biết họ không thể truy cập bất cứ trang web, dịch vụ hay ứng dụng nào của VNGCorp Theo tin hành lang, sự cố này xảy ra đơn giản chỉ vì Trung tâm dữ liệu chính(cụm server) của VNG hiện tại đang bị mất điện bất ngờ mà không có nguồn điện dự phòng, dẫn đến việc sập tất cả các server game từ VNG.
ĐỀ XUẤT GIẢI PHÁP
Tăng cường bảo vệ mật khẩu
Để thay đổi cách đặt mật khẩu và bảo vệ mật khẩu mạnh hơn, người người dùng VNG có thể thực hiện các biện pháp sau:
Yêu cầu đặt mật khẩu mạnh hơn: VNG cần yêu cầu người dùng đặt mật khẩu mạnh hơn và không được đặt theo các quy luật dễ đoán như tên, ngày sinh, địa chỉ, số điện thoại, VNG cũng cần thông báo cho người dùng về các yêu cầu để đặt mật khẩu mạnh hơn, chẳng hạn như độ dài tối thiểu, yêu cầu sử dụng các kí tự đặc biệt, số và chữ in hoa Ngoài ra, hướng dẫn có thể khuyến khích người dùng sử dụng các cụm từ mật khẩu bằng cách kết hợp các từ ngẫu nhiên như “Máy tính có hình một con mèo” thành mật khẩu “Mtch1cm”.
Tăng cường quản lý mật khẩu: bằng cách yêu cầu đổi mật khẩu định kỳ, không sử dụng lại mật khẩu cũ và cung cấp cho người dùng các công cụ quản lý mật khẩu như trình quản lý mật khẩu.
Sử dụng đa tầng bảo mật: Là một giải pháp quan trọng để đảm bảo an toàn cho mật khẩu của người dùng Các tầng bảo mật này cung cấp các cấp độ bảo vệ khác nhau để đảm bảo rằng chỉ những người được ủy quyền mới có thể truy cập vào các tài nguyên và thông tin quan trọng Ví dụ, VNG có thể sử dụng một kiến trúc đa tầng bảo mật để bảo vệ mật khẩu của người dùng, các cấp độ xác thực này có thể bao gồm:
- Cấp độ xác thực 1 lớp: Yêu cầu người dùng cung cấp tên đăng nhập và mật khẩu để đăng nhập vào hệ thống Điều này đảm bảo rằng chỉ có người dùng đã đăng ký mới có thể truy cập vào tài khoản của mình.
- Cấp độ xác thực 2 lớp: Yêu cầu người dùng sử dụng mã xác thực hai yếu tố để đăng nhập vào hệ thống Mã xác thực hai yếu tố bao gồm hai yếu tố xác thực khác nhau, chẳng hạn như mật khẩu và mã OTP (One-Time Password) được gửi đến điện thoại di động của người dùng Điều này đảm bảo rằng chỉ có người dùng đã xác thực mới có thể truy cập vào tài khoản của mình.
Sử dụng công nghệ mã hóa mật khẩu mạnh hơn: Để đảm bảo an ninh thông tin, VNG cần sử dụng công nghệ mã hóa mật khẩu mạnh hơn để bảo vệ các mật khẩu của người dùng Các công nghệ mã hóa mật khẩu hiện đại như SHA-256 hoặc bcrypt được coi là rất bảo mật và được sử dụng rộng rãi trong các ứng dụng web hiện nay.
- Thuật toán SHA-256 là một trong những thuật toán băm (hash function) phổ biến nhất được sử dụng hiện nay Nó là một trong số các thuật toán băm của dòng SHA-2 (Secure Hash Algorithm 2), được thiết kế bởi Cơ quan An ninh Quốc gia Hoa
Kỳ, có khả năng chuyển đổi một chuỗi ký tự (message) có độ dài tùy ý thành một chuỗi băm có độ dài cố định là 256 bit (32 byte).
- BCrypt là một thuật toán mã hóa mật khẩu được thiết kế bởi Niels Provos and David Mazières BCrypt được đánh giá là bảo mật và an toàn hơn so với MD5 và SHA bởi mỗi lần thực hiện băm nó lại cho một giá trị khác nhau, việc này khiến cho việc dò tìm mật khẩu trở nên khó hơn.
Khi người dùng đăng ký tài khoản hoặc thay đổi mật khẩu, VNG cần sử dụng các công nghệ mã hóa mật khẩu mạnh hơn như SHA-256 hoặc bcrypt để mã hóa mật khẩu của người dùng trước khi lưu trữ trong cơ sở dữ liệu Điều này đảm bảo rằng mật khẩu của người dùng được mã hóa một cách an toàn và không thể bị giải mã để tìm ra mật khẩu ban đầu Khi người dùng đăng nhập, VNG cũng cần sử dụng các công nghệ mã hóa mật khẩu để so sánh mật khẩu đã mã hóa với mật khẩu đăng nhập được cung cấp Bằng cách sử dụng các công nghệ mã hóa mật khẩu mạnh hơn, VNG có thể tăng cường bảo mật hệ thống và đảm bảo an toàn cho thông tin người dùng.
Đào tạo cho nhân viên và người dùng về kiến thức bảo mật thông tin
Đào tạo nhân viên và người dùng về bảo mật mật khẩu là một phần quan trọng nên có trong chiến lược bảo mật của VNG Đối với người dùng, việc đào tạo có thể giúp họ hiểu được tầm quan trọng của bảo mật mật khẩu, cách lựa chọn mật khẩu mạnh và đổi mật khẩu định kỳ, giúp bảo vệ tài khoản của mình khỏi các cuộc tấn công mạng và xâm nhập Còn đối với nhân viên, họ sẽ hiểu được tầm quan trọng của việc bảo vệ thông tin cá nhân của mình và các khách hàng, đồng thời biết cách phòng ngừa các cuộc tấn công mạng.
Việc đào tạo nhân viên và người dùng về bảo mật mật khẩu có thể bao gồm các khóa học trực tuyến hoặc tài liệu hướng dẫn để giúp người dùng hiểu rõ các khái niệm liên quan đến bảo mật mật khẩu,cụ thể như sau:
- VNG có thể cung cấp khóa học trực tuyến miễn phí và tài liệu hướng dẫn về bảo mật mật khẩu, giúp họ hiểu rõ các khái niệm và quy trình liên quan đến bảo mật mật khẩu, cách lựa chọn mật khẩu mạnh, đổi mật khẩu định kỳ và phòng tránh các cuộc tấn công mạng.
- VNG cũng có thể thông báo cho người dùng về các cuộc tấn công mạng mới nhất, các lỗ hổng bảo mật và các biện pháp bảo vệ mới nhất để giúp người dùng hiểu rõ tình hình bảo mật, cũng như cảnh giác hơn và thực hiện các biện pháp bảo vệ thông tin cá nhân của mình.
- Ngoài ra, VNG nên tổ chức các buổi huấn luyện trực tiếp cho nhân viên, trong đó họ có thể học hỏi và trao đổi với giảng viên và các chuyên gia về các vấn đề bảo mật, giúp tăng cường kiến thức và kỹ năng bảo mật thông tin.
Nhân viên sẽ trở thành một phần quan trọng của hệ thống bảo mật của công ty và giúp tăng cường sự an toàn cho toàn bộ hệ thống Những nhân viên được đào tạo về bảo mật mật khẩu sẽ có khả năng giải đáp thắc mắc và đưa ra các lời khuyên cho khách hàng về cách bảo vệ thông tin cá nhân của họ Điều này giúp tăng cường sự tin tưởng của khách hàng và làm tăng giá trị thương hiệu của công ty.
Kiểm soát chặt chẽ hệ thống
Sử dụng các công cụ phát hiện xâm nhập và giám sát bảo mật: Cả hai công cụ phát hiện xâm nhập và giám sát bảo mật đều có chung mục đích là giúp phát hiện và ngăn chặn các hoạt động không hợp lệ hoặc bất thường trên hệ thống, nhằm đảm bảo an toàn và bảo mật thông tin Tuy nhiên, hai công cụ này khác nhau về cách thức và phạm vi hoạt động như sau:
- Công cụ phát hiện xâm nhập: là một phần của hệ thống bảo mật và được sử dụng để phát hiện các cuộc tấn công mạng hoặc các hành vi xâm nhập vào hệ thống. Công cụ này hoạt động bằng cách giám sát các yêu cầu truy cập, lưu lượng mạng và các giao thức khác trên hệ thống để phát hiện các hành vi bất thường có thể gây nguy hiểm cho hệ thống Sau đó, công cụ phát hiện xâm nhập sẽ cảnh báo và đưa ra các giải pháp để ngăn chặn hoặc giảm thiểu tác động của các cuộc tấn công hoặc các hành vi xâm nhập vào hệ thống.
- Công cụ giám sát bảo mật: là một công cụ được sử dụng để giám sát các hoạt động trên hệ thống, bao gồm cả các hoạt động của người dùng và các hoạt động hệ thống Công cụ này giúp giám sát các hành động của người dùng, ví dụ như truy cập và sử dụng các ứng dụng trên hệ thống, và cảnh báo về các hành vi không hợp lệ hoặc bất thường Ngoài ra, công cụ giám sát bảo mật còn giúp đánh giá mức độ an toàn và bảo mật của hệ thống, từ đó đưa ra các giải pháp để tăng cường bảo mật và giảm thiểu các rủi ro an ninh thông tin.
Kiểm tra định kỳ: là một phương pháp quan trọng để đảm bảo rằng hệ thống của VNG đang hoạt động đúng cách và bảo mật Những điều mà VNG có thể thực hiện khi tiến hành kiểm tra định kỳ bao gồm:
- VNG cần đánh giá các rủi ro tiềm ẩn liên quan đến hệ thống của mình Điều này giúp xác định các vùng yếu của hệ thống và các rủi ro có thể xảy ra, từ đó đưa ra các biện pháp bảo mật cần thiết.
- Kiểm tra các lỗ hổng bảo mật, bao gồm việc kiểm tra các cập nhật bảo mật mới nhất đã được cài đặt và các phần mềm và ứng dụng phổ biến trên hệ thống để đảm bảo rằng chúng không có các lỗ hổng bảo mật Ví dụ như việc kiểm tra các tường lửa, các cổng mạng và các thiết bị mạng khác để đảm bảo rằng chúng được cấu hình đúng cách,
- VNG có thể thực hiện kiểm tra mã độc để phát hiện và loại bỏ các phần mềm độc hại trên hệ thống của mình
- VNG cũng nên kiểm tra các tác vụ khác trên hệ thống, có thể bao gồm sao lưu dữ liệu và khôi phục dữ liệu Điều này giúp đảm bảo rằng các tác vụ này đang hoạt động đúng cách và dữ liệu được sao lưu và phục hồi một cách an toàn.
Phân quyền truy cập: là một phương pháp quan trọng để đảm bảo rằng các tài nguyên và thông tin trên hệ thống của VNG chỉ được truy cập bởi các người dùng có quyền truy cập thích hợp Điều này giúp ngăn chặn các nguy cơ bảo mật và đảm bảo tính riêng tư cho các thông tin nhạy cảm Dưới đây là một số giải pháp phân quyền truy cập mà VNG có thể thực hiện:
- VNG nên xác định các vai trò và quyền truy cập tương ứng với từng người dùng trên hệ thống của mình Chẳng hạn, người dùng thuộc vai trò quản trị viên sẽ có quyền truy cập vào các chức năng và dữ liệu khác so với người dùng cuối.
- Với số lượng người dùng lớn, VNG có thể tạo ra các nhóm người dùng để dễ dàng quản lý quyền truy cập Những người dùng có cùng vai trò có thể được gán vào cùng một nhóm, và sau đó các quyền truy cập có thể được gán cho nhóm đó Ví dụ,VNG có thể tạo ra các nhóm người dùng như "quản trị viên", "giám sát viên", "nhân viên kỹ thuật", "nhân viên kinh doanh", và "khách hàng" Các nhóm này có thể được thiết lập để phù hợp với cấu trúc tổ chức của VNG.
Xây dựng kế hoạch phòng ngừa và khắc phục sự cố
VNG cần xây dựng kế hoạch phòng ngừa và khắc phục sự cố để đảm bảo tính bảo mật và an toàn thông tin trên hệ thống của mình Kế hoạch này bao gồm các quy trình và quy định về phòng ngừa sự cố, giải pháp khắc phục sự cố, và phục hồi dữ liệu sau sự cố.
Quy định bảo mật thông tin người dùng trước sự cố:
- Công khai các chính sách bảo mật thông tin người dùng, cam kết và đảm bảo độ bảo mật cho người dùng
- Đưa ra các nội quy, chính sách nội bộ nhân viên nhằm bảo mật tuyệt đối thông tin người dùng
- Đồng thời luôn giám sát chặt chẽ quá trình nhập, sao lưu và đồng bộ dữ liệu từ nhân viên.
Quy trình bảo mật thông tin nhằm ngăn chặn sự cố:
- Luôn cập nhật và kiểm tra thông tin người dùng được lưu trữ một cách thường xuyên
- Định kỳ đào tạo nhân viên cũng như tổ chức kiểm tra các lỗ hổng bảo mật. Tiến hành sao lưu dữ liệu theo thời gian định kỳ nhằm giảm rủi ro khi dữ liệu bị đánh cắp.
Giải pháp khắc phục sự cố dữ liệu bị đánh cắp:
- Ngay lập tức thông báo cho các bên liên quan: Doanh nghiệp cần thông báo cho các bên liên quan như khách hàng, đối tác kinh doanh, cơ quan chức năng và các bên liên quan khác về việc bị đánh cắp dữ liệu để họ có thể đưa ra các biện pháp bảo vệ thông tin của mình Đặc biệt cần gửi thông báo đến người dùng để họ có các biện pháp bảo vệ thông tin sơ khai, giảm thiểu bớt thiệt hại bị đánh cắp dữ liệu.
- Điều tra và đánh giá thiệt hại: Doanh nghiệp cần tiến hành điều tra và đánh giá thiệt hại để xác định dữ liệu nào đã bị đánh cắp, số lượng dữ liệu bị mất, và mức độ nghiêm trọng của tình trạng vi phạm bảo mật.
- Thay đổi các mật khẩu và tài khoản: Doanh nghiệp cần thay đổi các mật khẩu và tài khoản để đảm bảo an toàn thông tin của mình.
- Cập nhật hệ thống bảo mật: Doanh nghiệp cần cập nhật hệ thống bảo mật và phần mềm để bảo vệ thông tin của mình khỏi các mối đe dọa mới.
- Đào tạo nhân viên: Doanh nghiệp cần đào tạo nhân viên về các chính sách bảo mật và thực hành an toàn trong việc sử dụng thông tin để giảm thiểu nguy cơ bị đánh cắp thông tin.
- Hợp tác với cơ quan chức năng: Nếu việc đánh cắp dữ liệu là một hành vi vi phạm pháp luật, doanh nghiệp cần hợp tác với cơ quan chức năng để giải quyết vấn đề và trừng phạt người vi phạm.
Phục hồi dữ liệu sau sự cố:
- Tiến hành phục hồi dữ liệu đã được sao lưu trên các tài khoản doanh nghiệp đã sao lưu trước đó.
- Tạm dừng hoạt động hệ thống nhằm cập nhật hệ thống quản lý bảo mật người dùng.
- Kiểm tra và đánh giá lại tình trạng hệ thống và mức độ dữ liệu được khôi phục Sau đó thông báo lại đến các bên có liên quan.
Áp dụng các tiêu chuẩn bảo mật quốc tế và sử dụng các công nghệ bảo mật mới nhất
VNG có thể tham khảo và thực hiện các đăng ký tiêu chuẩn sau:
Tiêu chuẩn ISO/IEC 27001: Đây là một tiêu chuẩn quốc tế về quản lý bảo mật thông tin Tiêu chuẩn này yêu cầu các doanh nghiệp phải thiết lập, triển khai, duy trì và cải tiến các quy trình quản lý bảo mật thông tin.
Tiêu chuẩn ISO/IEC 27002: Đây là một tiêu chuẩn quốc tế về các biện pháp bảo mật thông tin Tiêu chuẩn này cung cấp các hướng dẫn và các biện pháp bảo mật cụ thể để giúp các doanh nghiệp đảm bảo an toàn thông tin của mình.
Tiêu chuẩn SOC 2: Đây là một tiêu chuẩn bảo mật dành cho các doanh nghiệp cung cấp dịch vụ đám mây hoặc dịch vụ liên quan đến thông tin Tiêu chuẩn này yêu cầu các doanh nghiệp phải đáp ứng các tiêu chí về an toàn, khả dụng, quyền riêng tư, bảo mật và quản lý thông tin.
Bên cạnh đó VNG có thể áp dụng thêm các công nghệ bảo mật để tăng cường mức độ an toàn thông tin cho người dùng.
Giải pháp xác thực bằng vân tay hoặc khuôn mặt: VNG có thể triển khai giải pháp xác thực bằng vân tay hoặc khuôn mặt để người dùng có thể đăng nhập vào hệ thống một cách nhanh chóng và an toàn hơn.
Giải pháp quản lý danh sách truy cập: VNG có thể triển khai giải pháp quản lý danh sách truy cập để giám sát và kiểm soát quyền truy cập của người dùng vào các tài nguyên của hệ thống và dữ liệu của khách hàng.
Giải pháp bảo vệ chống sao chép dữ liệu: VNG có thể triển khai giải pháp bảo vệ chống sao chép dữ liệu để ngăn chặn việc sao chép trái phép và lưu trữ dữ liệu của khách hàng trên các thiết bị không an toàn.
Giải pháp giám sát và phát hiện xâm nhập: VNG có thể triển khai giải pháp giám sát và phát hiện xâm nhập để phát hiện các hoạt động tấn công mạng và ngăn chặn các cuộc tấn công một cách hiệu quả.
Giải pháp bảo mật đám mây: VNG có thể triển khai giải pháp bảo mật đám mây để đảm bảo an toàn cho dữ liệu của khách hàng khi lưu trữ và sử dụng trên các nền tảng đám mây.
Giải pháp bảo mật IoT: VNG có thể triển khai giải pháp bảo mật IoT để bảo vệ các thiết bị kết nối Internet và dữ liệu của khách hàng trên các thiết bị này.