1 tỷ người dùng Yahoo bị hack: Yahoo lơ là bảo mật vì...'nghèo'

Vào mùa hè năm 2013, tỷngườidùngYahoobịhackYahoolơlàbảomậtvìnghèxep hang laliga Yahoo giới thiệu một dự án nhằm giúp đảm bảo an toàn hơn cho mật khẩu người dùng bằng việc loại bỏ công nghệ mã hóa dữ liệu MD5 vốn đã bị nhiều chỉ trích vì khả năng bảo mật kém. 

Thế nhưng, ngay ở thời điểm đó, mọi chuyện đã là quá trễ với Yahoo. Vào tháng 8 cùng năm, hacker đã nắm được hơn 1 tỷ tài khoản người dùng của công ty, đánh cắp mật khẩu và các thông tin khác. Đây được đánh giá là vụ hack lớn nhất trong lịch sử. Phải tới gần đây Yahoo mới phát hiện ra sự vụ và đưa ra công bố hồi tuần trước.

Người ta có thể bảo rằng Yahoo đã đen đủi khi bị hacker nhắm vào, thế nhưng, đó chỉ là một phần. Một giả thiết được đặt ra là nếu hãng từ bỏ MD5 sớm hơn, vụ tấn công ăn cắp dữ liệu có thể đã không xảy ra. Yahoo đã tỏ ra chậm chân khi mà hacker và các chuyên gia bảo mật đã thuộc "nằm lòng" điểm yếu của MD5 cả hàng thập kỷ.

Năm 2008, tức 5 năm trước khi dự án tăng cường bảo mật của Yahoo ra mắt, Viện Kỹ sư phần mềm của trường Carnegie Mellon đã cho phát đi một khuyến cáo rằng "MD5 nên được xem là công nghệ mã hóa đã hết thời và không còn phù hợp để sử dụng". 

Sự chậm chạp của Yahoo trong việc loại bỏ kịp thời MD5 là một ví dụ cho thấy Yahoo gặp phải nhiều vấn đề về hoạt động bảo mật ở vào thời điểm hãng đang phải vật lộn với hàng loạt khó khăn trong kinh doanh. Đây là nhận định của 5 cựu nhân viên công ty và một số chuyên gia bảo mật bên thứ ba. Công nghệ bảo mật bằng mã hash mạnh mẽ hơn đáng ra phải được Yahoo áp dụng sớm, bởi nó có thể ngăn chặn được các vụ tấn công; hoặc trong trường hợp bị hacker tấn công, thiệt hại cũng sẽ không phải là quá lớn. 

"Ở trước cả thời điểm năm 2013 một thời gian dài, MD5 được xem là đã 'chết'. Hầu hết các doanh nghiệp trước đó đã chuyển qua dùng thuật toán băm an toàn hơn" -  David Kennedy, CEO của hãng bảo mật TrustedSec LLC cho biết.

Yahoo, trong khi đó, thừa nhận vẫn đang dùng MD5 ở thời điểm bị tấn công, nhưng phản đối ý kiến cho rằng hãng lơ là bảo mật. "Trong hơn 20 năm lịch sử, Yahoo đều tập trung và đầu tư vào các chương trình bảo mật để bảo vệ người dùng của mình. Chúng tôi đã đầu tư hơn 250 triệu USD cho các dự án bảo mật từ năm 2012" - Yahoo cho biết. 

Ưu tiên phát triển

Tuy nhiên, một cựu nhân viên làm ở mảng bảo mật của Yahoo, tiết lộ rằng đội bảo mật của công ty nhiều lần bị từ chối khi yêu cầu công ty đầu tư các công cụ và tính năng mới phục vụ công việc - như bảo vệ mật mã tăng cường. Lý do được Yahoo đưa ra để trả lời cho các từ chối này là chúng tốn quá nhiều tiền, quá phức tạp, hay đơn giản chúng bị xếp vào mục ưu tiên thấp. 

Tình cảnh trên một phần nào đó phản ánh những khó khăn về tài chính của Yahoo. Doanh thu và lợi nhuận của công ty đã giảm dần kể từ khi đạt đỉnh năm 2008 khi mà các đối thủ Google, Facebook và các công ty khác vươn lên thống trị thị trường dịch vụ trên internet. "Khi bạn làm ăn khấm khá, bảo mật là một việc gì đó rất dễ dàng. Ngược lại, khi thất bát, bảo mật sẽ bị bỏ qua" - Jeremiah Grossman, người làm việc cho đội bảo mật của Yahoo từ 1999 đến 2001, cho biết.