Một nhà nghiên cứu bảo mật đã tìm thấy nhiều lỗ hổng có thể dễ dàng khai thác để chiếm đoạt bất kỳ tài khoản của khách hàng nào từ một số công ty lưu trữ web lớn nhất trên internet.
Paulos Yibelo, một “thợ săn” lỗi bảo mật nổi tiếng vừa đã tiết lộ nhiều thông tin liên quan đến những lỗ hổng có thể tận dụng để chiếm lấy tài khoản của bất kỳ ai sử dụng năm nhà cung cấp dịch vụ lưu trữ web lớn nhất hiện nay: Bluehost, Dreamhost, Hostgator, OVH và iPage.
Đây là các hãng chuyên cung cấp các gói hosting để doanh nghiệp, cá nhân có thể đưa trang web của mình lên internet một cách dễ dàng với chi phí thấp. Những tên tuổi trên cũng là những nhà cung cấp khá nổi tiếng tại Việt Nam (bên cạnh các nhà cung cấp trong nước) do thường xuyên có nhiều chương trình khuyến mại hấp dẫn.
Hiện tại, bộ ba Bluehost, Hostgator và iPage thuộc tập đoàn Endurance đang quản lý hai triệu tên miền, Dreamhost là một triệu và OVH là bốn triệu. Tổng cộng là 7 triệu tên miền và không ít trong số đó được đi kèm một trang web. Do đó với mỗi lỗi bảo mật bị khai thác là một vấn đề lớn.
Qua "nghiên cứu sơ bộ” của Yibelo, cả năm nhà cung cấp trên đều có ít nhất một lỗ hổng nghiêm trọng cho phép hacker có thể chiếm quyền điều khiển tài khoản người dùng. Hiện tại các lỗ hổng do anh phát hiện đều đã được thông báo đến các nhà cung cấp trên để sửa lỗi, tuy nhiên nó cho thấy một nguy cơ rất lớn đối với các dịch vụ này.
Theo Yibelo, các lỗ hổng do anh phát hiện có thể khai thác khá đơn giản. Nó đều có trên các diễn đàn thông báo lỗi. Lý do các nhà cung cấp này dính các lỗi trên là do hệ thống của họ trở nên quá lớn và phức tạp, do đó việc nâng cấp ứng dụng nhằm vá lỗi bảo mật thật không dễ dàng.
Việc có thể tấn công thành công vào năm hệ thống lưu trữ web lớn nhất trên thế giới chỉ bằng một số thủ thuật đơn giản, chỉ cần một hacker trình độ trung bình là có thể khai thác được cho thấy vấn đề thực sự nghiêm trọng.
Tại Việt Nam hiện nay cũng có nhiều nhà cung cấp hosting lớn quản lý hàng chục ngàn trang web. Phần lớn trong số đó cũng dùng các phần mềm quản lý như cPanel, DirectAdmin tương tự như các dịch vụ quốc tế, và nếu không chú trọng vấn đề bảo mật và cập nhật bản vá lỗi, hàng ngàn trang web với rất nhiều thông tin nhạy cảm có thể dễ dàng rơi vào tay hacker.
Đối với người dùng là doanh nghiệp hay cá nhân đang thuê các dịch vụ hosting tại Việt Nam cũng như quốc tế để đặt trang web, bạn cũng cần hết sức lưu ý thường xuyên sao lưu trang web của mình. Đồng thời nếu trang có nhiều thông tin “nhạy cảm” thì tốt nhất là nên tự thuê riêng một VPS, Cloud Server để lưu trữ nhằm quản trị hoàn toàn hệ thống, có các bước cập nhật quan trọng khi cần thiết.
Theo An Nhiên (VietNamNet)
