Phỏng vấn giám đốc LastPass về sự cố tuần trước

Dịch vụ quản lí mật khẩu trực tuyến LastPass đã bị tin tặc “viếng thăm” tuần trước. TTCN xin lược dịch buổi phỏng vấn của giám đốc LastPass với tạp chí PC World.

LastPass là dịch vụ quản lí mật khẩu trực tuyến, giúp bạn đồng bộ dữ liệu trong bất cứ trình duyệt nào và trên mọi máy tính. Đây là dịch vụ miễn phí, bạn chỉ phải trả tiền nếu dùng thêm dịch vụ này trên điện thoại, với giá khá khiêm tốn: 1 USD/tháng.

Trong tuần qua LastPass nhận thấy dường như tin tặc đã “ghé thăm” máy chủ của hãng. Tổng giám đốc, ông Joe Siegrist đã có một buổi trao đổi về vấn đề này.

Chính xác thì điều gì làm ông nghĩ rằng có cái gì đó không ổn có thể xảy ra với Lastpass?

Chúng tôi hay xem log truy cập. Bất cứ khi nào chúng tôi phát hiện ra dấu hiệu lạ, chúng tôi đều muốn biết nguyên nhân.

Trong sự cố tuần trước, chúng tôi không biết nguyên do. Bởi vì nó xảy ra đúng vào thời điểm mà đáng lẽ không ai còn làm việc và cũng không nhiều dữ liệu được truyền đi giữa các máy tính đó. Vì thế chúng tôi lo lắng và quyết định đề phòng với trường hợp xấu nhất có thể xảy ra, cho dù chúng tôi không thể tìm ra bằng chứng thuyết phục nào về việc Lastpass đã từng gặp phải lỗi xấu.
Ngay tại thời điểm này ông có biết loại dữ liệu nào có thể bị lấy cắp hoặc bị tấn công không?

Với quy mô lưu chuyển dữ liệu như vậy, chúng tôi không nghĩ rằng có nhiều dữ liệu bị đánh cắp. Nhưng nhiêu đó cũng đủ để lộ tên đăng nhập và mật khẩu [được mã hoá] của người dùng. Với dữ liệu này, kẻ phá hoại có thể bắt đầu thử nghiệm và tìm kiếm những mật khẩu yếu mà không cần truy cập vào máy chủ.

Chúng tôi biết những máy chủ nào bị ảnh hưởn vụ tấn công này, và chỉ có không quá vài trăm tài khoản bị trộm dữ liệu đã mã hoá.

Hiện tại, chúng tôi đang cố gắng xem xét những trường hợp xấu nhất có thể xảy ra và các cách để làm giảm đến mức thấp nhất những rủi ro phát sinh. Có phải đây chỉ là một lỗi kì lạ nào đó? Tất nhiên là có thể. Thế nhưng trước đây chúng tôi chưa từng gặp bất kì lỗi nào như vậy, và chúng tôi cũng đã theo dõi trong một thời gian dài.

Dữ liệu bị trộm có thể đem lại lợi ích gì cho những kẻ tấn công?

Với các thông tin về email, salt, hàm băm của mật khẩu, tin tặc có thể thực hiện các phép tính và kiểm tra xem một mật khẩu nào đó có chính xác không mà không cần truy vấn vào máy chủ của LastPass.

Mối nguy hiểm là một khi ai đó đã thực hiện thành công quy trình đó, họ có thể thử nó rất nhanh chóng, kiểm tra hàng nghìn mật khẩu mỗi giây. Nếu bạn có một mật khẩu chủ đủ mạnh, rõ ràng là dữ liệu của bạn khó có thể bị tấn công. Nhưng nếu mật khẩu của bạn đơn giản hay có trong từ điển, tin tặc có thể tìm ra nó trong thời gian tương đối ngắn.

Để cuộc trao đổi được thẳng thắn hơn, cho phép tôi hỏi: liệu có khả năng những tài khoản mà người dùng lưu trữ trong tài khoản LastPass có thể bị bẻ khóa hay không?

Trong giai đoạn này tôi nghĩ rằng điều đó khó có thể xảy ra. Nếu có thì cũng chỉ vài chục trong số nhiều triệu người sử dụng gặp phải. Nhưng cũng khó để chúng tôi có thể chắc chắn 100% về điều này.

Dù vậy, cần biết rằng xác suất để một tài khoản (trong số vài trăm tài khoản bị lộ) có mật khẩu yếu là rất thấp.

Nếu một người nào đó có một mật khẩu chủ mạnh thì theo ông, họ có lí do gì để lo lắng vào thời điểm này không?

Không.

Giờ đây ông có lời khuyên gì dành cho những người sử dụng Lastpass?

Nếu bạn có một mật khẩu chủ mạnh, bạn chẳng có lí do gì để phải lo lắng cả. Nếu mật khẩu của bạn yếu, có thể có nhiều rủi ro hơn, nhưng rủi ró đó là rất thấp so với toàn bộ dữ liệu đang được truyền đi. Nếu mật khẩu của bạn yếu thì nên thay nó đi và kiểm tra lại các tài khoản quan trọng lưu trong đó.

Một vài người dùng thắc mắc tài khoản của họ bị chặn, hoặc là mật khẩu lưu trong Lastpass bị mất khiến họ không thể đăng nhập được. Vậy điều gì đã xảy ra và theo ông họ phải làm gì?

Chúng tôi nghĩ rằng lí do nằm ở chỗ họ đang dùng một mật khẩu mới trong khi những dữ liệu cũ trên máy tính là có từ trước khi mật khẩu thay đổi. Theo chúng tôi thì họ nên đăng nhập lại hoặc xóa cache đi bằng cách dùng plugin của Lastpass. Họ cũng có thể liên lạc với chúng tôi nếu cần giúp đỡ.

Ông có thể cho biết những biện pháp an ninh mạng nào đang được Lastpass sử dụng để thoát khỏi tình trạng này?

Khi người dùng đăng nhập, chúng tôi kiểm tra họ vào từ một địa chỉ IP quen thuộc, nếu không thì họ cần chứng minh rằng họ có thể đăng nhập vào địa chỉ email của mình. Chúng tôi cho rằng với những biện pháp này, tin tặc cho dù có mật khẩu cũng không thể làm gì được.

Nhìn lại thì chúng tôi có thể hơi làm lớn chuyện vấn đề này và chúng tôi cũng có thể quá cảnh giác. Thông điệp của chúng tôi là nếu bạn có một mật khẩu đủ mạnh thì chẳng có gì có thể lấy mất dữ liệu của bạn. Điều duy nhất khiến chúng tôi lo lắng là những tài khoản dùng mật khẩu quá yếu. Đó cũng là lí do chúng tôi phải thực hiện các biện pháp vừa nêu.

Chúng tôi cũng đã chặn nhiều dịch vụ trên các máy chủ liên quan, đồng thời vẫn tiếp tục cuộc điều tra. Chúng tôi chưa phát hiện ra bất cứ điều gì bất thường, nhưng vẫn phải cảnh giác.

Ông sẽ nói gì với những người đang đọc bản tin này và đang cảm thấy mất niềm tin vào dịch vụ lưu trữ password của Lastpass?

Tôi sẽ nói rằng khi bạn đã muốn lưu trữ dữ liệu vào một chỗ trung tâm, điều đó đồng ngĩa với việc bạn chấp nhận rủi ro. Tuy nhiên nếu bạn xử lí tất cả mọi thứ đúng cách bằng một password chủ mạnh, bạn thực sự đang bảo vệ chính bạn. Chúng tôi nghĩ là dịch vụ của chúng tôi tốt hơn các dịch vụ khác, thế nhưng khả năng bảo mật vẫn phụ thuộc vào bản thân người dùng.

(Theo PC World)

Share on facebook
Share on twitter
Share on linkedin