Hacker công bố hàng loạt lỗ hổng của BKAV

24/02/2012 22:36 GMT+7

TTO - Công ty an ninh mạng BKAV lại đón nhận một tin không vui khi một nhóm tin tặc công bố 8 lỗi bảo mật trong hệ thống website của công ty này, đồng thời yêu cầu BKAV phải “cư xử đẹp” hơn.

Tiếp tục bị hacker tấn công, Bkav nói gì?Bắt giữ nghi phạm tấn công website của Bkav

Hacker tự xưng là "Anonymous Việt Nam" (lấy tên theo nhóm hacker nổi tiếng Anonymous đang thực hiện nhiều chiến dịch tấn công các hệ thống website công quyền ở nhiều nước trên thế giới) đã công khai các lỗ hổng trong hệ thống website của Công ty an ninh mạng BKAV trên một blog riêng của nhóm.

hAQRhf5a.jpgPhóng to
Nhóm tin tặc tự xưng là Anonymous Việt Nam đang là một thách thức lớn với BKAV (ảnh chụp từ bkavop.blogspot.com)

Bài viết trên blog của nhóm này thể hiện rõ một sự bất bình với cách hành xử của BKAV, khi công ty này dùng biện pháp cứng rắn với một hacker tấn công website của BKAV để “chỉ ra những lỗi bảo mật một cách ôn hòa” (xem "Trang web của công ty an ninh mạng bị tấn công" và "Website Bkav: sau hack là DDoS").

Sau khi giải thích rõ về động cơ của mình, nhóm hacker trên đã công khai 8 lỗi bảo mật nghiệm trọng, nguyên nhân xuất phát từ những sai lầm cơ bản của đội ngũ bảo mật ở BKAV.

Theo đó, sai lầm lớn và cơ bản nhất của BKAV cũng chính là việc dùng chung mật khẩu cho nhiều hạng mục của website, đồng thời mật khẩu không đủ mạnh nên dễ dàng bị nhóm hacker trên đoán được.

Bên cạnh đó, những quản trị viên máy chủ của BKAV đã không cập nhật bản vá lỗi hệ điều hành Window Server 2003. Lần cập nhật gần đây nhất là vào năm 2008. Tường lửa máy chủ của BKAV lại được thiết lập mặc định nên rất dễ bị vô hiệu hóa.

Chưa hết, quản trị website BKAV còn cấu hình truy cập cơ sở dữ liệu MySQL với tài khoản có quyền quản trị cao nhất (tài khoản root), hacker sẽ dễ dàng truy cập mọi dữ liệu trên server BKAV thông qua khai thác lỗi Web Application (Ứng dụng web).

Ngoài ra, BKAV không sao lưu định kỳ dữ liệu website, các bản sao lưu trước đó lại được bảo quản rất cẩu thả khi được lưu ngay tại chính máy chủ (server) đó.

Minh chứng cho chiến tích của mình, nhóm Anonymous Việt Nam đã tung lên dịch vụ chia sẻ file MediaFire một phần cơ sở dữ liệu đánh cắp được từ máy chủ của forum BKAV

Jzl5WwPV.jpgPhóng to
Một phần cơ sở dữ liệu diễn đàn BKAV bị đưa lên MediaFire (ảnh chụp màn hình từ dịch vụ MediaFire ngày 24-2-2012)

Đi kèm với việc công khai những lỗi bảo mật, nhóm hacker trên tuyên bố: Chúng tôi thực tâm không muốn hủy diệt BKAV dù chúng tôi hoàn toàn có khả năng và cơ hội để phá hủy toàn bộ dữ liệu của toàn bộ các hệ thống máy chủ của BKAV. Chúng tôi chỉ đòi hỏi sự công bình và lòng trung thực”.

Không dừng lại ở đó, nhóm hacker trên còn yêu cầu BKAV rút đơn kiện một hacker khác từng hack vào hệ thống website của hãng này. “Nếu không? Trò vui sẽ tiếp tục!” - nhóm hacker tuyên bố thẳng thừng.

Sau đợt tấn công ngày 13-2-2012, nhóm hacker trên từng tuyên bố đã đánh cắp được rất nhiều dữ liệu từ BKAV và sẽ dần công bố tùy theo thái độ của công ty bảo mật này.

BKAV vẫn chưa đưa ra bất kỳ bình luận nào xung quanh vụ việc trên.

Trong vòng hai tháng trở lại đây, một vài cá nhân đã tấn công hệ thống website của công ty này. Hiện BKAV đã phối hợp với cơ quan điều ra và bắt giữ được thủ phạm tấn công website webscan của BKAV ngày 2-2-2012.

DUY KỲ ANH
Có phải sau 24-4, ai chưa đủ thông tin ngay lập tức bị chặn thuê bao?

TTO - Mấy ngày nay, nhiều người dùng chia sẻ trên các trang mạng xã hội thông tin về việc nhà mạng sẽ không chặn một chiều thuê bao chưa bổ sung đầy đủ thông tin sau 24-4. Thực hư việc này ra sao?

Ngồi ở nhà cũng có thể thêm ảnh, thông tin thuê bao di động

TTO - Không cần phải trực tiếp đến tận các điểm giao dịch của nhà mạng, thuê bao di động có thể ngồi nhà và bổ sung các thông tin còn thiếu, ảnh chụp chân dung từ xa qua mạng.

Nhà nghiên cứu người Việt đồng chế tạo robot lắp ráp đồ nội thất

TTO - Trợ lý nghiên cứu Phạm Quang Cường và nhà nghiên cứu Francisco Suárez-Ruiz thuộc Đại học Công nghệ Nanyang (Singapore) đã cho ra đời cánh tay robot có khả năng lắp ráp đồ nội thất sau thời gian dài chế tạo.

Twitter cấm quảng cáo của hãng Kaspersky Lab

TTO - Công ty mạng xã hội Twitter cho biết đã cấm mọi quảng cáo của hãng bảo mật Kaspersky Lab hoạt động trên nền tảng của họ.

Apple sẽ thay pin miễn phí cho các máy MacBook Pro 13 inch bị lỗi pin

TTO - Hãng Apple vừa ra thông báo xác nhận có trục trặc xảy ra với bộ phận pin trên một số lượng hạn chế máy tính xách tay MacBook Pro và đồng ý thay pin miễn phí cho người dùng.

Tại sao bạn cần một máy pha cà phê thông minh?

TTO - Trước vấn nạn cà phê bẩn, sẽ không có gì thực sự tốt hơn bằng việc tự pha cho mình một tách cà phê tại nhà bằng một máy pha cà phê thông minh được kết nối Wi-Fi hoặc Bluetooth.

Google làm game dạy người lớn học lập trình

TTO - Lướt qua các gian hàng ứng dụng, không khó để tìm được một ứng dạy dạy lập trình cho trẻ, nhưng với người lớn thì sao, có vẻ như các nhà phát triển chưa quan tâm lắm điều này.