Bài học từ vụ eBay bị tấn công
Việc hệ thống của các công ty lớn bị tin tặc tấn công không phải chuyện hiếm song chỉ có một số gây chấn động khi được tiết lộ công khai như vụ của eBay tuần này.
- 03-05-201410 lý do Alibaba đánh bại Amazon và eBay
- 31-03-2014Facebook, eBay cũng phải tiết kiệm điện nước
- 12-02-2014eBay cấm rao bán điện thoại cài Flappy Bird
- 11-02-2014iPhone 5S cài sẵn Flappy Bird được rao bán giá 99.900 USD trên eBay
Hôm 21/5, eBay thông báo trong lỗ hổng cơ sở dữ liệu từ cuối tháng 2 đến đầu tháng 3, tin tặc đã có được một vài tài khoản đăng nhập của nhân viên, từ đó truy cập vào kho lưu trữ tên, địa chỉ, số điện thoại, email, mật khẩu của 128 triệu thành viên công ty đấu giá trực tuyến này. Hãng cho hay mới biết về vụ việc 2 tuần trước và đề nghị người dùng thay đổi mật khẩu. Đây được xem là một trong những vụ rò rỉ dữ liệu lớn nhất lịch sử Internet.
Theo sau động thái của eBay, khách hàng có lý do để thắc mắc: Vì sao phải mất 2 tháng để "gã khổng lồ trực tuyến" phát hiện cuộc tấn công? Sau khi phát hiện, tại sao mất 2 tuần nữa người dùng mới được thông báo?
Điều đáng lo ngại hơn là cách eBay muốn giảm nhẹ tính chất nghiêm trọng của sự việc. Hãng nhấn mạnh tin tặc chỉ nắm được “một số lượng nhỏ” tài khoản của nhân viên, song kẻ trộm chỉ cần một bộ tài khoản đã có thể khiến công ty chao đảo. eBay cũng trấn an dịch vụ thanh toán PayPal không bị ảnh hưởng, song dữ liệu cá nhân của hàng triệu khách hàng cho tin tặc cơ hội tấn công ngân hàng và các hãng khác trong tương lai.
Sự cố của eBay đặt ra câu hỏi trên diện rộng về khả năng bị tổn thương của ngành kinh tế điện tử. Nếu ngay cả những tên tuổi Internet lớn nhất, hùng mạnh nhất còn bị xâm nhập thì toàn bộ cộng đồng này yếu ớt đến mức độ nào?
Hai vấn đề đáng suy ngẫm ở đây là: Một là, dù nhiều công ty nhận thức được nguy cơ tấn công mạng, chỉ có một số áp dụng hệ thống tân tiến để phát hiện hoạt động đó. Theo điều tra của nhà mạng Verizon, hơn 70% các vụ rò rỉ dữ liệu, các hãng chỉ nhận ra khi được người ngoài thông báo. Nó cho thấy sự lơ là đối với chính an toàn của bản thân.
Thứ hai, quá ít công ty công khai đã bị tấn công vì lo ngại ảnh hưởng đến uy tín và giá cổ phiếu. Nó khiến chính phủ và khu vực tư nhân khó đáp trả và phân loại tội phạm mạng. Tất nhiên, vẫn có vài doanh nghiệp có thiện chí muốn giúp chính phủ bắt giữ tin tặc. Một ví dụ điển hình là tuần vừa rồi, Bộ Tư pháp Mỹ đã truy nã 5 sĩ quan quân đội Trung Quốc vì hành vi đánh cắp tài sản sở hữu trí tuệ của công ty Mỹ đồng thời công bố danh sách những nạn nhân trong vụ tấn công. Vụ này khác hẳn với năm 2013 khi 141 công ty từ chối để lộ danh tính khi bị tin tặc thuộc Quân đội Nhân dân Trung Quốc tấn công.
Tại Mỹ và châu Âu, lãnh đạo các hãng dường như vẫn lơ là trước nguy cơ bảo mật. Không có lời bào chữa xác đáng nào cho các ông chủ khi sai lầm trong lĩnh vực này. Các công ty cần tích cực hơn trong cả ngăn chặn lẫn xử lý rủi ro từ tấn công mạng.