Khách hàng MobiFone: Có thể bị hacker “móc túi”?

(TPO) Vừa qua, một cảnh báo phát đi từ Mạng an toàn thông tin VSEC cho hay: Website của MobiFone đang có lỗ hổng nghiêm trọng dẫn đến tình trạng thông tin bí mật của khách hàng bị rò rỉ .

Khach hang MobiFone Co the bi hacker moc tui
Chuyên gia bảo mật mạng Phùng Anh Tuấn đang chỉ ra một lỗi bảo mật của mạng MobiFone tại trụ sở MobiFone
Để biết rõ thực hư nhằm bảo vệ quyền lợi của người tiêu dùng, chúng tôi đã cùng chuyên gia an ninh mạng Phùng Anh Tuấn thuộc VSEC đến trực tiếp trụ sở của MobiFone để trao đổi vấn đề này.

Thông tin khách hàng bị rò rỉ?

Hệ thống website MobiFone cho phép khách hàng của mạng này có thể đăng ký tài khoản sử dụng thông qua website để quản lý tài khoản cước điện thoại của mình.

Ngoài ra, khách hàng có thể sử dụng account trực tuyến để nhắn tin, tải logo, hình ảnh, nhạc chuông và tiền sẽ được tính vào cước sử dụng của khách hàng.

Hệ thống admin (quản trị) của MobiFone được truy cập thông qua http://www.mobifone.com.vn/admin . Hệ thống cấm tất cả các IP bên ngoài đăng nhập vào, cho dù người đó có thông tin password (mật khẩu) đúng mà chỉ cho phép 1 máy bên trong hệ thống mạng LAN có địa chỉ IP cố định truy cập vào hệ thống.

Tuy nhiên, theo cảnh báo của VSEC, khi phân tích được lỗi của hệ thống website, hacker có thể truy cập vào hệ thống admin một cách dễ dàng.

Trong hệ thống admin của website, sau khi kiểm soát được hệ thống cơ sở dữ liệu, hacker có thể sử dụng tài khoản của khách hàng khác ở trên server để nhắn tin, trong khi tiền bị trừ vào tài khoản của người đó.

Nghiêm trọng hơn, theo cảnh báo, hacker có thể tự động tạo account của bất cứ số điện thoại nào thuộc mạng MobiFone để kiểm soát thông tin của số điện thoại đó thông qua hệ thống website dù người chủ của số điện thoại chưa bao giờ truy cập vào website MobiFone.

Ngoài ra, tin tặc có thể kiểm soát những thông tin quan trọng của tất cả các khách hàng như số điện thoại gọi đi, thời gian đàm thoại…

“Hacker không thể làm được điều đó!”

Trả lời phóng viên Tiền phong, ông Nguyễn Tuấn Huy - Phó phòng Tin học tính cước MobiFone - lại cho rằng trang admin này chỉ có thể truy nhập bằng máy nội bộ.

"Bởi người sử dụng phải cầm điện thoại có sim bên trong, gửi tin nhắn dựa trên tin nhắn nhập mã xác thực mới có thể đăng ký dịch vụ, từ đó mới có thể lấy được thông tin cá nhân, cước và số điện thoại gọi đến được. - Ông Huy khẳng định - Nếu không có máy và sim thì hacker không thể kích hoạt được account. Không có bất kỳ tool (phương tiện) nào để tạo accout cả”.

Theo đó, hacker không thể tạo được tài khoản của khách hàng khác ở trên server để thực hiện nhắn tin hoặc sử dụng các chức năng có trên hệ thống website.

Theo các nhân viên kỹ thuật của MobiFone, đã có nhiều trường hợp vợ cầm máy của chồng rồi lấy password để đăng ký dịch vụ xem cước chi tiết hoặc để nhắn tin. Điều này hoàn toàn có thể xảy ra nếu thuê bao để máy ở nhà.

“Thời điểm đầu khi mới triển khai dịch vụ này, chúng tôi nhận được nhiều thông tin khách hàng phàn nàn tại sao tài khoản lại bị trừ tiền trên website. Về sau mới phát hiện ra rằng họ đã vô tình bị người khác “mượn” điện thoại” - Một nhân viên kỹ thuật phòng Tin học tính cước nói.

Tuy nhiên, trước sự chứng kiến và đồng ý của các nhân viên phòng Tin học tính cước MobiFone, chuyên gia Phùng Anh Tuấn đã trình diễn kỹ thuật cho thấy web server có lỗ hổng.

Theo giải thích của Phùng Anh Tuấn, đây là lỗi của Oracle 9iAS JEE Webserver (9.0.3.0.0) cho phép hacker có thể tải bất cứ file JSP trên hệ thống website về, giúp hacker nghiên cứu và nắm được hệ thống website www.mobifone.com.vn .

Ngoài ra, lỗi này còn cho phép hacker thực hiện lệnh truy vấn thông tin máy chủ để xem cấu trúc thư mục, file trên server. Trong khi đó, các chuyên gia tin học của MobiFone vẫn yêu cầu Phùng Anh Tuấn tiếp tục trình diễn lấy thông tin của một số điện thoại bất kỳ tại chỗ. Nhưng yêu cầu trên đã bị từ chối.

Lý giải về sự từ chối này, Phùng Anh Tuấn cho biết: “Đây là vấn đề thuộc về pháp lý, chúng tôi chỉ là những người làm bảo mật mạng, phát hiện nguy cơ và gửi cảnh báo tới vì quyền lợi của hàng triệu thuê bao.

MobiFone nên tự rà soát lại toàn bộ hệ thống website của họ. Nếu Mobifone không tin và muốn chúng tôi chứng minh, họ cần phải có công văn yêu cầu gửi tới VSEC”.

Trao đổi với phóng viên Tiền phong, ông Nguyễn Tuấn Huy cho hay, ngay sau khi nhận được sự cảnh báo của VSEC, MobiFone đã huy động các chuyên gia tin học, an ninh mạng rà soát và triển khai các biện pháp kỹ thuật đảm bảo an toàn cho website.

Ông Huy tiết lộ, trước đây họ đã từng phát hiện một hacker quấy rối và đã áp dụng các biện pháp răn đe cần thiết. Ông Huy nhấn mạnh: “Nhà chúng tôi có khóa, mọi hành động xâm nhập dù thiện chí hay không đều là bất hợp pháp”.

Hải Hà - VH

Ý KIẾN BẠN ĐỌC

Nguyen Van Tuan; Email: Địa chỉ email này đang được bảo vệ khỏi chương trình thư rác, bạn cần bật Javascript để xem nó

Tôi cũng là người dùng mạng MobiFone và thường xuyên vào sử dụng trang web của MobiFone. Khi đọc được bài báo này quả thực tôi rất băn khoăn.

Tôi thấy người lãnh đạo của MobiFone chưa nhận thức được hết tầm quan trọng của lỗ hổng bảo mật mà bên SVEC đã giúp đỡ tìm ra. Bởi tôi cũng là một người làm trong lĩnh vực CNTT nên cũng có hiểu biết trong lĩnh vực này và nhận thức được nguy cơ tiềm ẩn trong môi trường Internet là như thế nào.

Thông qua báo tôi muốn nhắn nhủ với MobiFone rằng hãy quan tâm và nhìn nhận vào đúng bản chất của sự việc - như thế là đã bảo vệ được người tiêu dùng. Chúng tôi luôn ủng hộ điều đó. Xin chân thành cảm ơn.

Việt Báo

Video được xem nhiều nhất

Chân dung "Người cha hoàn hão" xem mà rơi nước mắt
00:00 / --:--

Video nổi bật

TIN Khoa Học NỔI BẬT

Khác biệt ‘đỉnh’ của đôi ta

Theo quan điểm của các nhà khoa học, “đỉnh” của các chị em có nhiều khác biệt so với nam giới và còn là một vấn đề cần được nghiên cứu nhiều hơn nữa.

Nhận xét tin Khách hàng MobiFone: Có thể bị hacker “móc túi”?

Ý kiến bạn đọc

Viết phản hồi

Bạn có thể gửi nhận xét, góp ý hay liên hệ về bài viết Khách hàng MobiFone: Có thể bị hacker “móc túi”? bằng cách gửi thư điện tử tới Lien He Bao Viet Nam. Xin bao gồm tên bài viết Khach hang MobiFone Co the bi hacker moc tui ở dạng tiếng Việt không dấu. Hoặc Khách hàng MobiFone: Có thể bị hacker “móc túi”? ở dạng có dấu. Bài viết trong chuyên đề của chuyên mục Khoa Học.

Customers' customers: There may be a hacker "pocket"?
Phung Anh Tuan Huy, confidential information, safety information, phone number, the customer, may be, account, system, warning, use our pocket, private school, MobiFone

(TP) Recently, a warning broadcast from network information security Vsec said: MobiFone website are serious flaws lead to confidential information of clients leak ..

CÓ THỂ BẠN QUAN TÂM
Xem tiếp: Khoa Học


  • Thoi su 24h0402 Virus Zika teo nao lay qua duong quan he
    Thời sự 24h(04/02): Virus Zika teo não lây qua đường quan hệ

    Những lần “trảm tướng” nhanh như chớp của Bộ trưởng Thăng; Hành trình vây bắt đối tượng có lệnh truy nã đặc biệt nguy hiểm; Hành lý của khách bị rạch ở sân bay: Thanh tra Bộ GTVT vào cuộc; Phá trọng án trong những ngày Tết nguyên đán đã cận kề;Câu chuyện giảm nghèo chưa bao giờ dừng lại;... là những tin tức thời sự nổi bật ngày 04/02/2016.

  • Thoi su 24h0302 Dot phao no co the bi tu den 7 nam
    Thời sự 24h(03/02): Đốt pháo nổ có thể bị tù đến 7 năm

    Sửa tàu Cát Linh-Hà Đông, Trung Quốc chưa nghe: Tội hình thức; “Ngáo đá” khống chế hai cháu bé, dọa dội nước sôi; "Choáng" với quy trình sản xuất chè Đinh 3 triệu đồng/kg; Sự thật sau lời đồn về cái chết bí ẩn của nam sinh trên cầu; Liên tiếp có nhiều trẻ em nhập viện vì ngộ độc chì trong thuốc cam;... là những tin tức thời sự nổi bật ngày 03/02/2016.

  • Thoi su 24h0202 sap bay lua doi 3 trieu lay 12 trieu
    Thời sự 24h(02/02): sập bẫy lừa đổi 3 triệu lấy 12 triệu

    3/14 mẫu thực phẩm phục vụ Tết không đạt chất lượng; 102 người đi bộ bị xử phạt trong ngày đầu: "Cần nhưng chưa đủ"?; Bị phát hiện bột ngọt từ nguyên liệu TQ, chốt cửa tẩu tán; WHO ban bố tình trạng khẩn cấp toàn cầu về virus Zika;

  • Thoi su 24h0102 Dao mo moi chon trom di 1 phan co the
    Thời sự 24h(01/02): Đào mộ mới chôn, trộm đi 1 phần cơ thể

    Kẻ gian đào mộ mới chôn, trộm đi một phần cơ thể; Đã tháo dỡ hết biển báo dưới 50km/h sau 10 ngày; CSGT trưng dụng tài sản cá nhân, tổ chức: Luật quy định thế nào?; "Người dân đừng trộm hoa ven hồ Gươm nữa"; Đã có kết quả xét nghiệm gạo từ thiện gây ngộ độc;... là những tin tức thời sự nổi bật ngày 01/02/2016.

  • Thoi su 24h2901 Nghi pham giet vo chong dai gia o TG
    Thời sự 24h(29/01): Nghi phạm giết vợ chồng đại gia ở TG

    Nghi “ăn gạo từ thiện… ngộ độc”: Hội nạn nhân chất độc da cam lên tiếng; Hành trình phá đường dây ma túy hội quý tử con nhà giàu; Việt Nam lên phương án đối phó với virus Zika gây teo não; Sân bay Nội Bài lên tiếng vụ "vòi vĩnh": Người tố trên Facebook nói gì?; Coi chừng lỡ chuyến tàu Tết vì... vé không hợp lệ!;... là những tin tức thời sự nổi bật

  • Tet binh than 2016
    Tết bính thân 2016

    Người Việt có thói quen quan tâm tới cuộc sống cá nhân của nhau. Nhưng điều này không phải phù hợp, thậm chí thành khiếm nhã. Tết là dịp điều này thể hiện rõ nhất.

  • Xu phat nguoi di bo vi pham giao thong o HN
    Xử phạt người đi bộ vi phạm giao thông ở HN

    Tai nạn giao thông chết người do người đi bộ gây ra ở TP.HCM và Hà Nội đáng báo động.

  • Hari Won Tran Thanh Yeu that hay PR
    Hari Won - Trấn Thành: Yêu thật hay PR?

    Showbiz Việt hôm qua (3/2) dậy sóng sau khi hình ảnh MC đắt show bậc nhất hiện nay "khóa môi", cõng người yêu cũ Đinh Tiến Đạt xuất hiện trên mạng.

  • Virus Zika gay tat dau nho o tre so sinh
    Virus Zika gây tật đầu nhỏ ở trẻ sơ sinh

    Mỹ vừa ghi nhận ca lây nhiễm virus Zika gây bệnh teo não đầu tiên không phải do muỗi đốt mà dường như từ quan hệ tình dục.

  • Tien gia cong khai rao ban tren facebook
    Tiền giả công khai rao bán trên facebook

    Lợi dùng lòng tham và sự nhẹ dạ cả tin của người dân, một số đối tượng đã dùng thủ đoạn đổi tiền thật lấy tiền giả để chiếm đoạt tài sản. ------------ Xem thêm: Tiền giả công khai rao bán trên facebook, http://vietbao.vn/tp/Tien-gia-cong-khai-rao-ban-tren-facebook/13583762/ Tin nhanh Việt Nam ra thế giới vietbao.vn

  • Su kien quoc te noi bat 31162
    Sự kiện quốc tế nổi bật (31/1-6/2)

    Lệnh Hoàn Thành tiết lộ cho tình báo Mỹ bí mật thâm cung của Bắc Kinh; Hoà đàm Syria tạm ngừng do giao tranh khốc liệt trên chiến trường; Bà Clinton chính thức giành chiến thắng 'sít sao nhất lịch sử'; Viễn cảnh nước Anh rời khỏi Liên minh châu Âu đã cận kề.... là những tin chính trong tuần qua.

  • Toan canh kinh te tuan 3101 06022016
    Toàn cảnh kinh tế tuần 31/01 – 06/02/2016

    Ngày 2/2/2016 diễn ra buổi họp báo Công bố giá thành sản xuất kinh doanh điện năm 2014, ông Đinh Quang Tri – Phó tổng giám đốc Tập đoàn Điện lực Việt Nam (EVN) khẳng định chưa có kế hoạch tăng giá điện, tuy nhiên tới mùa cao điểm, doanh nghiệp 'chưa nói trước được điều gì'. Cũng trong buổi họp này, tổng kết hoạt động kinh doanh của tập đoàn này, EVN lãi hơn

  • Nghin le chuyen tuan qua 0102 05022016
    Nghìn lẻ chuyện tuần qua 01/02 - 05/02/2016

    Xử phạt người đi bộ vi phạm giao thông ở HN; CSGT trưng dụng tài sản của dân gây tranh cãi; Đề xuất mua tàu Trung Quốc cũ; Hoa trang trí ở hồ Gươm bị ăn trộm; Các điểm bắn pháo hoa giao thừa Tết Bính Thân 2016 tại 64 tỉnh, thành... là những tin tức xã hội nổi bật được dư luận quan tâm trong tuần qua.

  • Tin An ninh Phap luat tuan qua 3101 0602
    Tin An ninh - Pháp luật tuần qua (31/01 - 06/02)

    Cảnh báo nạn trộm cắp, cướp giật dịp Tết; Phận tù 'mồ côi', Tết về rưng rưng nước mắt; Tiền giả công khai rao bán trên facebook; Rượu bia ngày Tết và những hệ lụy: Từ rượu giả đến tai nạn giao thông; Hành trình cảm động của người cha qua 15 tỉnh, thành đi tìm con; Phá án là trách nhiệm chứ không phải chiến công;.....là những tin đáng chú ý.

  • Ban tin Suc khoe tuan qua 311 62
    Bản tin Sức khỏe tuần qua (31/1 - 6/2)

    Thái Lan phát hiện virus Zika, Bộ Y tế Việt Nam họp khẩn; Ăn tiết canh ngày Tết, dễ chết như chơi; Trẻ nhập viện liên tiếp vì ngộ độc chì từ thuốc cam; Không biết bị lạc nội mạc tử cung: Nhiều phụ nữ vô sinh;... là những thông tin Sức khỏe được quan tâm nhất tuần qua.