Khách hàng MobiFone: Có thể bị hacker “móc túi”?

(TPO) Vừa qua, một cảnh báo phát đi từ Mạng an toàn thông tin VSEC cho hay: Website của MobiFone đang có lỗ hổng nghiêm trọng dẫn đến tình trạng thông tin bí mật của khách hàng bị rò rỉ .

Khach hang MobiFone Co the bi hacker moc tui
Chuyên gia bảo mật mạng Phùng Anh Tuấn đang chỉ ra một lỗi bảo mật của mạng MobiFone tại trụ sở MobiFone
Để biết rõ thực hư nhằm bảo vệ quyền lợi của người tiêu dùng, chúng tôi đã cùng chuyên gia an ninh mạng Phùng Anh Tuấn thuộc VSEC đến trực tiếp trụ sở của MobiFone để trao đổi vấn đề này.

Thông tin khách hàng bị rò rỉ?

Hệ thống website MobiFone cho phép khách hàng của mạng này có thể đăng ký tài khoản sử dụng thông qua website để quản lý tài khoản cước điện thoại của mình.

Ngoài ra, khách hàng có thể sử dụng account trực tuyến để nhắn tin, tải logo, hình ảnh, nhạc chuông và tiền sẽ được tính vào cước sử dụng của khách hàng.

Hệ thống admin (quản trị) của MobiFone được truy cập thông qua http://www.mobifone.com.vn/admin . Hệ thống cấm tất cả các IP bên ngoài đăng nhập vào, cho dù người đó có thông tin password (mật khẩu) đúng mà chỉ cho phép 1 máy bên trong hệ thống mạng LAN có địa chỉ IP cố định truy cập vào hệ thống.

Tuy nhiên, theo cảnh báo của VSEC, khi phân tích được lỗi của hệ thống website, hacker có thể truy cập vào hệ thống admin một cách dễ dàng.

Trong hệ thống admin của website, sau khi kiểm soát được hệ thống cơ sở dữ liệu, hacker có thể sử dụng tài khoản của khách hàng khác ở trên server để nhắn tin, trong khi tiền bị trừ vào tài khoản của người đó.

Nghiêm trọng hơn, theo cảnh báo, hacker có thể tự động tạo account của bất cứ số điện thoại nào thuộc mạng MobiFone để kiểm soát thông tin của số điện thoại đó thông qua hệ thống website dù người chủ của số điện thoại chưa bao giờ truy cập vào website MobiFone.

Ngoài ra, tin tặc có thể kiểm soát những thông tin quan trọng của tất cả các khách hàng như số điện thoại gọi đi, thời gian đàm thoại…

“Hacker không thể làm được điều đó!”

Trả lời phóng viên Tiền phong, ông Nguyễn Tuấn Huy - Phó phòng Tin học tính cước MobiFone - lại cho rằng trang admin này chỉ có thể truy nhập bằng máy nội bộ.

"Bởi người sử dụng phải cầm điện thoại có sim bên trong, gửi tin nhắn dựa trên tin nhắn nhập mã xác thực mới có thể đăng ký dịch vụ, từ đó mới có thể lấy được thông tin cá nhân, cước và số điện thoại gọi đến được. - Ông Huy khẳng định - Nếu không có máy và sim thì hacker không thể kích hoạt được account. Không có bất kỳ tool (phương tiện) nào để tạo accout cả”.

Theo đó, hacker không thể tạo được tài khoản của khách hàng khác ở trên server để thực hiện nhắn tin hoặc sử dụng các chức năng có trên hệ thống website.

Theo các nhân viên kỹ thuật của MobiFone, đã có nhiều trường hợp vợ cầm máy của chồng rồi lấy password để đăng ký dịch vụ xem cước chi tiết hoặc để nhắn tin. Điều này hoàn toàn có thể xảy ra nếu thuê bao để máy ở nhà.

“Thời điểm đầu khi mới triển khai dịch vụ này, chúng tôi nhận được nhiều thông tin khách hàng phàn nàn tại sao tài khoản lại bị trừ tiền trên website. Về sau mới phát hiện ra rằng họ đã vô tình bị người khác “mượn” điện thoại” - Một nhân viên kỹ thuật phòng Tin học tính cước nói.

Tuy nhiên, trước sự chứng kiến và đồng ý của các nhân viên phòng Tin học tính cước MobiFone, chuyên gia Phùng Anh Tuấn đã trình diễn kỹ thuật cho thấy web server có lỗ hổng.

Theo giải thích của Phùng Anh Tuấn, đây là lỗi của Oracle 9iAS JEE Webserver (9.0.3.0.0) cho phép hacker có thể tải bất cứ file JSP trên hệ thống website về, giúp hacker nghiên cứu và nắm được hệ thống website www.mobifone.com.vn .

Ngoài ra, lỗi này còn cho phép hacker thực hiện lệnh truy vấn thông tin máy chủ để xem cấu trúc thư mục, file trên server. Trong khi đó, các chuyên gia tin học của MobiFone vẫn yêu cầu Phùng Anh Tuấn tiếp tục trình diễn lấy thông tin của một số điện thoại bất kỳ tại chỗ. Nhưng yêu cầu trên đã bị từ chối.

Lý giải về sự từ chối này, Phùng Anh Tuấn cho biết: “Đây là vấn đề thuộc về pháp lý, chúng tôi chỉ là những người làm bảo mật mạng, phát hiện nguy cơ và gửi cảnh báo tới vì quyền lợi của hàng triệu thuê bao.

MobiFone nên tự rà soát lại toàn bộ hệ thống website của họ. Nếu Mobifone không tin và muốn chúng tôi chứng minh, họ cần phải có công văn yêu cầu gửi tới VSEC”.

Trao đổi với phóng viên Tiền phong, ông Nguyễn Tuấn Huy cho hay, ngay sau khi nhận được sự cảnh báo của VSEC, MobiFone đã huy động các chuyên gia tin học, an ninh mạng rà soát và triển khai các biện pháp kỹ thuật đảm bảo an toàn cho website.

Ông Huy tiết lộ, trước đây họ đã từng phát hiện một hacker quấy rối và đã áp dụng các biện pháp răn đe cần thiết. Ông Huy nhấn mạnh: “Nhà chúng tôi có khóa, mọi hành động xâm nhập dù thiện chí hay không đều là bất hợp pháp”.

Hải Hà - VH

Ý KIẾN BẠN ĐỌC

Nguyen Van Tuan; Email: Địa chỉ email này đang được bảo vệ khỏi chương trình thư rác, bạn cần bật Javascript để xem nó

Tôi cũng là người dùng mạng MobiFone và thường xuyên vào sử dụng trang web của MobiFone. Khi đọc được bài báo này quả thực tôi rất băn khoăn.

Tôi thấy người lãnh đạo của MobiFone chưa nhận thức được hết tầm quan trọng của lỗ hổng bảo mật mà bên SVEC đã giúp đỡ tìm ra. Bởi tôi cũng là một người làm trong lĩnh vực CNTT nên cũng có hiểu biết trong lĩnh vực này và nhận thức được nguy cơ tiềm ẩn trong môi trường Internet là như thế nào.

Thông qua báo tôi muốn nhắn nhủ với MobiFone rằng hãy quan tâm và nhìn nhận vào đúng bản chất của sự việc - như thế là đã bảo vệ được người tiêu dùng. Chúng tôi luôn ủng hộ điều đó. Xin chân thành cảm ơn.

Việt Báo

TIN Khoa Học NỔI BẬT

Mỹ "bênh" cựu Thủ tướng Yingluck

Cho rằng việc buộc tội cựu Thủ tướng Thái Lan có thể mang động cơ chính trị, Mỹ thể hiện sự không hài lòng với chính quyền quân sự nước này.

Bệnh viện Thanh Nhàn xin lỗi bệnh nhân

Do quá đông bệnh nhân, điều dưỡng của bệnh viện đã không gạch bỏ phiếu đăng ký khám chữa bệnh mà lại gạch vào thẻ bảo hiểm y tế của bệnh nhân, gây bức xúc cho người bệnh.

Không bi quan, nhưng đừng tô hồng thị trường bất động sản 2015

Giữa trung tâm TP.HCM, ngay bên cạnh cao ốc 68 tầng Bitexco Financial Tower lung linh ánh đèn là một khối bê tông đen sì cao 41 tầng. Đó là Dự án cao ốc Saigon One do Công ty cổ phần M&C làm chủ đầu tư bất động nhiều năm. Thị trường bất động sản đã phục hồi hay chưa và sẽ diễn biến thế nào trong năm 2015 vẫn là vấn đề gây tranh cãi.

Nhận xét tin Khách hàng MobiFone: Có thể bị hacker “móc túi”?

Ý kiến bạn đọc

Viết phản hồi

Bạn có thể gửi nhận xét, góp ý hay liên hệ về bài viết Khách hàng MobiFone: Có thể bị hacker “móc túi”? bằng cách gửi thư điện tử tới Lien He Bao Viet Nam. Xin bao gồm tên bài viết Khach hang MobiFone Co the bi hacker moc tui ở dạng tiếng Việt không dấu. Hoặc Khách hàng MobiFone: Có thể bị hacker “móc túi”? ở dạng có dấu. Bài viết trong chuyên đề Tin Khoa Học của chuyên mục Khoa Học.

Customers' customers: There may be a hacker "pocket"?
Phung Anh Tuan Huy, confidential information, safety information, phone number, the customer, may be, account, system, warning, use our pocket, private school, MobiFone

(TP) Recently, a warning broadcast from network information security Vsec said: MobiFone website are serious flaws lead to confidential information of clients leak ..

Xem tiếp: Khoa Học


  • Thoi su 24h2601 Vu no rung dong ca pho
    Thời sự 24h(26/01): Vụ nổ rúng động cả phố

    Đà Nẵng có tân Chủ tịch UBND TP; "Nói không với nằm ghép: Dân lo bị xuất viện sớm; Nghệ An: Phát hiện xác hổ 140kg đang ướp lạnh; Không khởi tố vụ tai nạn thảm khốc 9 người chết; Bắt gần nửa tấn lòng thối đang trên đường tiêu thụ; Cựu phi công Việt Nam nói thật chuyện lương thưởng... là những thông tin thời sự nổi bật trong ngày 26/1.

  • Thoi su tuan qua Dai hy thanh dai tang sau tai nan
    Thời sự tuần qua: Đại hỷ thành đại tang sau tai nạn

    Tăng lương hưu và trợ cấp thêm 8%; Cục trưởng Cục Đường sắt chết trong phòng làm việc; Xử phạt VTV 40 triệu đồng vì sai phạm của Điều ước thứ 7; Thưởng Tết thấp nhất là 30 ngàn đồng; Xăng giảm tới 1.900 đồng/lít...

  • Thoi su 24h2301 Tang luong huu va tro cap them 8
    Thời sự 24h(23/01): Tăng lương hưu và trợ cấp thêm 8%

    Tăng lương hưu và trợ cấp thêm 8%; Bộ GTVT lên tiếng về vụ Cục trưởng Đường sắt chết tại trụ sở; Bắt ông chủ tạp chí cầm đầu đường dây đánh bạc ngàn tỷ; Hàng tấn mỹ phẩm không nguồn gốc "tràn" vào HN; Làm rõ vụ 12 con dê ‘lạc’ vào trang trại Bí thư huyện... là những thông tin thời sự nổi bật trong ngày 23/1.

  • Thoi su 24h2201 Cuc truong Duong sat chet tai tru so
    Thời sự 24h(22/01): Cục trưởng Đường sắt chết tại trụ sở

    Cục trưởng Đường sắt VN được phát hiện chết tại phòng làm việc, "Nữ quái" đất Cảng phẫu thuật mặt trốn nã 10 năm; Thưởng Tết thấp nhất là 30 ngàn đồng; Nữ du khách nước ngoài đến Hà Nội đã bị cướp; Bắt nghi phạm vụ hiếp dâm, giết bé gái bịt đầu mối; Giữ lại táo nhập từ Mỹ, cấm bán ra thị trường... là những thông tin thời sự nổi bật trong ngày.

  • Thoi su 24h2101 Xang giam toi 1900 donglit
    Thời sự 24h(21/01): Xăng giảm tới 1.900 đồng/lít

    Thiếu nữ bị kéo lê nửa cây số dưới gầm xe 7 chỗ; 3 công nhân tử vong tại công trường thủy điện; Vụ án tham ô hơn 10 năm chưa xử xong; Hoãn tăng thuế, xăng giảm tới 1.900 đồng/lít; Ô tô lao vun vút ngược chiều trên cầu Nhật Tân; Nữ giáo viên tống tiền giám đốc trường quốc tế... là những thông tin thời sự nổi bật trong ngày 21/1.

  • Benh vien cam ket khong nam ghep
    Bệnh viện cam kết không nằm ghép

    Lần đầu tiên 13 bệnh viện trung ương ký cam kết chấm dứt tình trạng bệnh nhân nằm ghép, đảm bảo 1 bệnh nhân/giường bệnh. Tuy nhiên xung quanh cam kết này vẫn còn nhiều băn khoăn.

  • Tao My gay chet nguoi da ve Viet Nam
    Táo Mỹ gây chết người đã về Việt Nam?

    Loại vi khuẩn nguy hiểm nhiễm trong táo Mỹ có thể nhiễm trong nhiều loại thực phẩm quan trọng thường xuất hiện trong bữa ăn hàng ngày. ------------ Xem thêm: Táo Mỹ gây chết người đã về Việt Nam?, http://vietbao.vn/tp/Tao-My-gay-chet-nguoi-da-ve-Viet-Nam/7063625/ Tin nhanh Việt Nam ra thế giới vietbao.vn

  • Tinh hinh buon lau dien bien phuc tap
    Tình hình buôn lậu diễn biến phức tạp

    Thời điểm gần Tết Nguyên đán hàng năm luôn là thời điểm nhạy cảm, cao điểm của nạn buôn lậu

  • Danh hai Thuy Nga to chong no nan lua gat
    Danh hài Thúy Nga tố chồng nợ nần, lừa gạt

    Mấy ngày vừa qua, những trang nhật ký của danh hài Thúy Nga chia sẻ chuyện cô bị “chồng hờ” lừa lấy 350.000 USD rồi bỏ trốn và lấy danh nghĩa của cô để lừa đảo rất nhiều người đã làm dấy lên rất nhiều luồng ý kiến. Giới..

  • Thong diep Lien bang My nam 2015
    Thông điệp Liên bang Mỹ năm 2015

    Tổng thống Mỹ nói về trang hoàng kim mới của lịch sử nước Mỹ nơi họ sẽ cùng đồng minh sống vững mạnh. Và Nga sẽ lụi tàn trong sự cô lập? ------------ Xem thêm: Thông điệp Liên bang Mỹ năm 2015, http://vietbao.vn/tp/Thong-diep-Lien-bang-My-nam-2015/7048259/ Tin nhanh Việt Nam ra thế giới vietbao.vn