Vừa rồi có một công ty bảo mật nổi tiếng tại Việt Nam đã bị hacker tấn công truy cập vào tài khoản Admin. Hacker không có password nhưng với kỹ thuật khai thác lỗ hổng SQL injection đã truy cập được vào bảng điều khiển server.

Điều đáng nói là lỗ hổng đó quá sơ đẳng, đã được phát hiện rất nhiều năm trước và một công ty bảo mật lại không có cơ chế bảo mật nào khác. Điều đó làm cho những người dùng sản phẩm dịch vụ bảo mật của công ty đó lo ngại.

Chúng tôi – VisCom Solution cũng là đơn vị cung cấp dịch vụ thông qua server cho phép user kết nối qua nhiều platform: web, app Android và iOS. Do đó việc ngăn ngừa hacker là mối quan tâm hàng đầu của chúng tôi để sản phẩm chạy ổn định, giúp khách hàng an tâm ngủ ngon.

Bài viết này sẽ mô tả về cách tấn công, lổ hổng bảo mật đã bị khai thác và phương thức của chúng tôi để ngăn ngừa việc đó xảy ra.

Cách tấn công của hacker vào server của cty B***

Bằng sự tự tin ngút trời cho rằng không ai tìm được mình thì hacker đã quay phim toàn bộ quá trình hack vào server. Nhờ đó mà chúng ta thấy được cách hacker này đã khai thác.

Thông thường các tài khoản không quá quan trọng hoặc chức năng không quan trọng được bảo mật 1 lớp đó là password. Ai biết được password thì người đó có thể truy cập vào tài khoản, như vậy với tài khoản quan trọng như Admin thì cần 2 lớp bảo mật trở lên nếu lỡ lộ password.

Khi user truy cập thì server kiểm tra username và password, nếu đúng thì login thành công. Tuy nhiên với lỗi SQL injection làm cho câu lệnh kiểm tra password luôn trả về kết quả là ĐÚNG PASSWORD. Do đó hacker đã truy cập được tài khoản Admin.

Bên dưới là ảnh chụp màn hình của hacker, mũi tên bên trái là kiểm tra nếu 1 = 1 thì đăng nhập thành công (tất nhiên 1 thì luôn bằng 1), mũi tên bên phải là kết quả: Authenticated

Vậy ta cần thêm 1 lớp bảo mật nữa chính là mã OTP. Mã này được gửi qua email/sms, user sau khi nhập đúng password thì phải nhập đúng mã OTP mới có thể truy cập.

OTP có nhiều loại, có thể gửi qua email/sms hoặc có thiết bị/phần mềm tự sinh ra mã OTP mỗi phút mà một số ngân hàng vẫn đang sử dụng.

Đối với trường hợp đang đề cập thì công ty bảo mật B*** cần bổ sung 2 thứ sau để tránh bị hack trong những lần tiếp theo:

• Fix lỗi SQL injection ở tất cả các server
• Thêm một hoặc nhiều lớp bảo mật nữa đối với các tài khoản quan trọng

Phương thức chúng tôi sử dụng để bảo mật

Đối với mỗi khách hàng thì việc hệ thống phần mềm chạy ổn định, hoạt động trơn tru chính là sự đảm bảo cho doanh thu ổn định. Chúng tôi có nhiều khách hàng lớn, dữ liệu quan trọng nên luôn áp dụng các biện pháp bảo mật tối đa.

Ảnh dưới là giao diện web sau khi nhập đúng username/password thì server sẽ gửi mã OTP về email/sms (tùy theo yêu cầu của quý khách mà gửi về email hoặc sms).

Nhờ đó server sẽ an toàn hơn, hacker muốn truy cập được phải biết password và phải truy cập được vào email của khách hàng.

Tổng kết

Chúng tôi không dám ngạo mạn cho rằng chúng tôi không thể bị hack nhưng chắc chắn chúng tôi áp dụng đủ các phương thức bảo mật và không mắc các lỗi ngớ ngẩn như trên.

Ngoài ra database ở bất kỳ server nào cũng được backup hàng giờ, lượt truy cập vào đều bị ghi dấu lại, nếu có gì bất thường chúng tôi cũng sẽ biết ngay.