Uber, Fitbit và hàng loạt website bị rò rỉ dữ liệu vì lỗ hổng CloudBleed

Tài khoản và mật khẩu người dùng bị rò rỉ hồi đầu tháng này là do một lỗi bảo mật ảnh hưởng tới 3.400 website,àhàngloạtwebsitebịròrỉdữliệuvìlỗhổlịch thi đấu siêu cúp anh bao gồm cả những dịch vụ phổ biến như Uber, Fitbit và OkCupid.

Liệu bạn có cảm thấy lo lắng không khi sẽ có ai đó có thể thâm nhập vào tài khoản cá nhân của bạn để theo dõi nhất cử nhất động của bạn, từ việc luyện tập thể dục cho tới những thứ mà bạn yêu thích trong cuộc sống này?

Theo Cnet, dù vẫn chưa thấy dấu hiệu các hacker sử dụng các tài khoản và mật khẩu của người dùng hay đánh cắp thông tin riêng tư của mọi người gửi gắm thông qua các dịch vụ này, nhưng thông tin đã bị lộ qua kết quả tìm kiếm trên cả hai phiên bản web và bộ nhớ đệm (cache) của các dịch vụ tìm kiếm như Google và Bing.

"Lỗ hổng này rất nghiêm trọng vì rò rỉ các "bản ghi" có thể chứa thông tin riêng tư và một phần do nó được lưu vào bộ nhớ đệm (cache) của các công cụ tìm kiếm", John Graham-Cumming, Giám đốc kỹ thuật của công ty an ninh mạng Cloudflare, đã chia sẻ trên một bài blog về chi tiết các lỗ hổng được đăng vào hôm thứ Năm vừa rồi.

Nhà nghiên cứu bảo mật của Google là Tavis Ormandy đã xác định được các lỗ hổng và liên hệ với những phát hiện của Cloudflare vào cuối tuần trước. Trong bản báo cáo của anh về lỗ hổng này – vốn được công bố vào hôm thứ Năm vừa rồi, Ormandy cho biết, anh đã tìm thấy "các tin nhắn từ những trang web hẹn hò lớn, thậm chí là nội dung đầy đủ của các tin nhắn từ một dịch vụ chat nổi tiếng, các dữ liệu quản lý mật khẩu trực tuyến, các dữ liệu riêng tư từ các trang video "người lớn" và cả các thông tin đặt phòng khách sạn".

Cũng trong bản báo cáo về lỗ hổng, Ormandy đã bông đùa rằng có thể đặt tên lỗ hổng này "CloudBleed", một cái tên gợi nhớ tới lỗ hổng Trái tim rỉ máu (Heartbleed) đã từng gây bão trước đó, một lỗ hổng trong giao thức web phổ biến vốn liên quan tới các lưu lượng thông tin Internet nhạy cảm trong nhiều năm cho tới khi nó bị phát hiện vào năm 2014. Cái tên CloudBleed lập tức được nhắc tới trên các trang mạng xã hội kể từ khi bản báo cáo của Ormandy được đăng tải vào hôm thứ Năm vừa qua.

Một "Trái tim rỉ máu" mới?

Lỗ hổng này xuất phát từ một công cụ của chính CloudFlare đang được sử dụng rộng rãi để quản lý và bảo vệ các lưu lượng Internet cho các trang web khỏi bị lây nhiễm mã độc. Ngoài tên tài khoản và mật khẩu, các tin nhắn được gửi qua bất kỳ trang nào thuộc các nền tảng này và các thông tin khác gửi qua trình duyệt web tới các trang bị ảnh hưởng – cũng có thể đã bị rò rỉ.

Graham-Cumming cho biết, tổng cộng đã có tới 3.400 trang web sử dụng công cụ có chứa lỗ hổng của công ty anh và xác nhận trong đó có cả những trang web lớn như Uber, Fibit và OkCupid cũng là nạn nhân của họ. Anh từ chối nêu thêm tên cụ thể của các dịch vụ khác có thể bị rò rỉ dữ liệu từ lỗ hổng này.

Trong một e-mail chia sẻ về lỗ hổng này, Ormandy cho biết trong số 3.400 trang web bị rò rỉ dữ liệu, tất cả đều là các khách hàng của Cloudflare. Anh cũng nói rằng ông tìm được cả dữ liệu từ dịch vụ quản lý mật khẩu 1Password và đã giúp họ xóa bỏ dữ liệu nhạy cảm này từ cache của trình tìm kiếm Google. Hơn nữa, Jeffrey Goldberg– một chuyên gia bảo mật của 1Password cũng lập tức cho rằng, dù sao đi nữa thì dữ liệu người dùng của họ cũng đã được an toàn.

Thậm chí, do đã được mã hóa nên dù có bị rò rỉ qua lỗ hổng này đi chăng nữa thì bất cứ ai có được dữ liệu từ 1Password cũng không thể giải mã/phân tích nó được. "Chúng tôi đã thiết kế 1Password để không bị phụ thuộc vào giao thức bảo mật HTTPS", Goldberg viết.

Phía Uber cho biết, các mật khẩu của dịch vụ này không bị rò rỉ và "chỉ có một số ít các section tokens" bị ảnh hưởng và đã được thay đổi (vá lỗi) kể từ khi được phát hiện. Trong khi đó, đại diện Fitbit cũng cho biết họ đã đánh giá các tác động tiềm tàng về việc sử dụng hệ thống của họ do các lỗ hổng của Cloudflare, và đã thực hiện một số biện pháp nội bộ để ngăn chặn các thiệt hại trong tương lai. "Những người dùng trong diện bị ảnh hưởng có thể thay đổi mật khẩu của tài khoản, sau đó thoát ra và sau đó đăng nhập lại trên ứng dụng di động với mật khẩu mới", công ty này thông báo trên website của họ. Ngoài ra, Fibit cũng đưa ra một hướng dẫn cho người dùng về những gì mà họ có thể làm để bảo vệ mình trước lỗ hổng.

OkCupid cũng đã nhận thấy vấn đề và họ cho biết sẽ thực hiện bất kỳ biện pháp nào cần thiết để bảo vệ người dùng của mình. "Cuộc điều tra ban đầu của chúng tôi cho thấy, đã có có rất ít thông tin bị rò rỉ (nếu có)", Elie Seidman, CEO của OkCupid cho biết.

Một lỗ hổng nhỏ và kéo theo đó là một hệ lụy lớn

Lỗ hổng hiện nay đã được vá và các thông tin rò rỉ đã được các dịch vụ tìm kiếm thanh lọc, nhưng không có nghĩa là nó không còn bị phát tán trên Internet. Sau khi Ormandy nhận được thông báo từ Cloudflare, Google ngay lập tức đã thành lập một đội để khắc phục lỗ hổng ngay sau đó một vài giờ. Cuối cùng, lỗ hổng cũng chính thức được bít lại vào hôm nay (25/2).

Các thông tin bị rò rỉ dần dần bắt đầu từ những tương tác của người dùng với các website trong diện bị ảnh hưởng từ hồi tháng Chín năm ngoái. Vụ rò rỉ lên đến đỉnh điểm vào ngày 13-17/2 vừa rồi, Graham-Cumming chia sẻ trong một bài phỏng vấn. Các thông tin xuất hiện trên các trang web trông giống như các chuỗi ký tự vô nghĩa, khiến người dùng có thể không biết xử lý thế nào. Việc rò rỉ dữ liệu này mang tính "phù du" do nó sẽ biến mất ngay sau khi người dùng đóng trang web vài giây.

Tuy nhiên, điều đáng lo ngại là các dữ liệu rò rỉ này cũng được các công cụ tìm kiếm như Google và Bing lưu lại, dưới dạng các dữ liệu tự động thu thập hằng ngày để cung cấp kết quả cho người dùng ngay cả khi các trang web gặp sự cố.

Sau khi vá lỗ hổng, Cloudflare đã tập trung vào việc xóa dấu vết các thông tin bị rò rỉ trên Internet. Điều đó có nghĩa là họ phải làm việc với các dịch vụ tìm kiếm để xóa bỏ các bản ghi cache (bộ nhớ đệm/lưu trữ) của các trang web.

Nguy hiểm cỡ nào?

Graham-Cumming cho biết, người dùng thông thường không cần phải đổi mật khẩu, bởi khả năng những kẻ xấu lấy được thông tin đăng nhập của họ là rất thấp.

Tuy nhiên, trong bản báo cáo về lỗ hổng, chuyên gia bảo mật Ormandy của Google cho rằng Cloudflare đã "hạ thấp về tầm nghiêm trọng của lỗ hổng đối với khách hàng [của Cloudflare]". Ormandy đã đề cập tới một dự thảo tiết lộ việc ông biết [về lỗ hổng] trước khi Cloudflare công bố rộng rãi vào hôm thứ Năm vừa rồi.

Qua chia sẻ email, Ormandy khuyến cáo người dùng nên thay đổi mật khẩu cho tài khoản các website sử dụng dịch vụ Cloudflare. Các công ty sở hữu các website đang dùng dịch vụ này cũng nên kiểm tra và vá lỗi nội bộ nhằm bảo vệ người dùng cũng như dịch vụ của họ.