• Thứ Ba, 17/01/2012 11:58 (GMT+7)

    Zappos: một bài học nữa cho bảo mật thông tin

    Quốc Dũng
    Hôm 16/1/2012, Zappos.com, trang web chuyên về giày và đồ may mặc trực tuyến, cho biết họ bị tin tặc tấn công, đánh cắp dữ liệu.

    Đại diện Zappos nói rằng hôm Chủ nhật, các nhân viên nhận được email từ Giám đốc điều hành Tony Hsieh cảnh báo cơ sở dữ liệu khách hàng của trang web đã bị những kẻ lạ mặt xâm nhập. Ngay sau đó, Zappos.com tiến hành thiết lập lại mật khẩu truy cập của 24 triệu khách hàng. Việc thiết lập lại trang web và các chế độ bảo mật đã khiến người dùng bên ngoài nước Mỹ không thể truy cập trang Zappos.com.

    Hiện Zappos đang gửi email thông báo và hướng dẫn cách thay đổi mật khẩu đến 24 triệu khách hàng của hãng. Bên cạnh đó, Zappos cũng tạm ngưng các số điện thoại vì theo đại diện hãng, hệ thống điện thoại và nhân viên sẽ không đủ khả năng xử lý với số lượng quá nhiều khách hàng gọi điện thoại đến hãng.

    Những thông tin biết và chưa biết sau việc Zappos.com bị xâm nhập

    Trong email gửi đến khách hàng, Tony Hsieh, Giám đốc điều hành Zappos.com cho biết trang web bị tin tặc xâm nhập, đánh cắp các thông tin bao gồm: tên, địa chỉ email, địa chỉ giao hàng, số điện thoại, 4 chữ số của thẻ tín dụng, và mật khẩu truy cập. Các thông tin chi tiết thẻ tín dụng, dữ liệu thanh toán vẫn an toàn.

    Biết: Dữ liệu của 24 triệu khách hàng hiện nằm trong tay tin tặc. Người dùng không thể truy cập trang web Zappos.com từ ngoài nước Mỹ.

    Chưa biết: Phương thức tin tặc tấn công và xâm nhập hệ thống của Zappos.com. Thời điểm tin tặc tấn công. Đây là các thông tin rất quan trọng nhằm nắm bắt cách thức, lỗ hổng mà tin tặc khai thác để từ đó có các biện pháp phòng chống sau này. Theo các chuyên gia bảo mật, do không có đủ thông tin của vụ tấn công Zappos.com, nên họ không thể đưa ra các nhận định. Tuy vậy, theo họ việc xâm nhập cơ sở dữ liệu có thể đã diễn ra khá lâu. Việc Zappos.com kịp thời thông báo đến khách hàng và tiến hành thiết lập lại mật khẩu, theo Andrew Storms, Giám đốc bảo mật của nCircle, là hành động phù hợp.

    Bài học rút ra: Các công ty như Zappos nên có nhân lực và các phương tiện giám sát, theo dõi các hoạt động của hệ thống mạng, xuất các báo cáo theo thời gian thực, vì có như vậy các công ty mới sớm ngăn chặn các cuộc tấn công xâm nhập ngay từ khi mới “manh nha”, vi phạm các chính sách bảo mật. Với khách hàng, người dùng Internet nên đảm bảo sử dụng mật khẩu khác nhau cho các dịch vụ hay trang web khác nhau, tránh việc dùng một mật khẩu cho tất cả trang web. Bên cạnh đó, người dùng cũng nên sử dụng các mật khẩu phức tạp, các tiện ích quản lý mật khẩu khi truy cập web, mua hàng hóa trên mạng nhằm hạn chế thiệt hại cho chính bản thân và các dịch vụ mà bạn là thành viên.