Sự kiện gây xôn xao cộng đồng  blogger  Yahoo! 360^O VN. Nhiều người nghe đồn nếu lọt vào tầm ngắm của hacker  thì chỉ cần vào blog  là sẽ bị mất mật khẩu  đã hoang mang không dám vào blog.

Không chỉ Quang Vinh, Bảo Thy hoặc những "gà mờ" IT, ngay cả một hot  blogger  với pageview hơn 7 triệu lượt là OnlyU vốn khá rành công nghệ  thông tin  cũng trở thành nạn nhân  của vụ đột kích. Với OnlyU thì sự việc có vẻ trớ trêu, anh này kể lại rằng sau khi đọc entry  về  nạn lừa đảo  lấy password Yahoo! đang trở lại trên blog  của Shock man đã hứa sẽ viết một bài cảnh báo mọi người về "hack pass Yahoo! và cách phòng chống".

Blast của blog  Bảo Thy (trên)Quang Vinh (dưới) bị thay đổi

Để có tư liệu xác thực, OnlyU cũng mở hộp thư, tình hình cũng giống như Bảo Thy, sau khi chụp màn hình  và xem code,  OnlyU có điện thoại... và ra ngoài. Khi quay lại máy tính  thấy trang login của Yahoo! cũng chẳng nghi ngờ gì và hồn nhiên gõ password... đến khi update  blast (như thói quen thường ngày) lại thấy màn hình  yêu cầu nhập password, đương nhiên vẫn nhập nhưng sau ba lần nhập, OnlyU biết bị mất password... Check alternative mail  thấy Yahoo! thông báo  đã change password. Vẫn còn online  bằng nick  này tại Yahoo! IM nên đã kịp thông báo  cho bạn bè  biết bị mất password và ID trước khi khóc ròng.

"Tên trộm thành Yahoo!" sau mỗi vụ đột nhập  đều không vơ vét, phá phách gì ở nhà nạn nhân  ngoài việc sửa lại blast thành "con yêu má hơn ba một tẹo" cùng với thông báo  sẽ reset lại mật khẩu  cho nạn nhân  vào đêm chủ nhật.

Rất nhiều nạn nhân  không nhớ được câu hỏi  bí mật hoặc ZIP code  để phục hồi mật khẩu  đành hồi hộp ngồi chờ lời hứa của tên trộm. Cùng lúc đó, một blog  xuất hiện tự xưng là Kym Ljnk - thủ phạm của các vụ trộm password. Với giọng điệu hài hước, Kym Link  nói về cách mình hack  và … cách phòng chống bị Kym Ljnk hack. Kym Ljnk khẳng định: "Em chỉ change pass khoảng 100 blog  và chắc chắn em sẽ trả lại các blog  này không một mất mát nào".

Đúng như lời hứa, qua sáng thứ hai, những mật khẩu  bị chôm đã được trả lại, các blogger  nạn nhân  như bước ra khỏi ác mộng.

Kym Ljnk là ai? Động cơ của vụ trộm này là gì? Các blogger  phỏng đoán đây là có thể là một cô gái, là một nhóm hacker, là chính anh chàng  OnlyU, là chuyên gia  an ninh mạng, là cảnh sát  phòng chống tội phạm công nghệ  cao… Khi vụ trộm hoành tráng khép lại, không thiệt hại về tài sản, Kym Ljnk từ một tên trộm trở thành người hùng và người ta gửi lời cảm ơn Kym Ljnk vì trò đùa này làm các blogger  cẩn trọng hơn.

Vụ trộm này không chỉ là đòn chơi khăm người sử dụng  Yahoo  mà còn gióng lên hồi chuông về tính bảo mật  của các dịch vụ  web  theo xu thế web  2.0 đang phát triển  tại VN. Một thế hệ web  mới đang được hình thành với mô hình, cách thức hoạt động  được copy  y chang từ các website  nước ngoài, nhưng về mặt kỹ thuật  chưa làm đến nơi đến chốn, vô tình đẩy những nhà quản trị  đối mặt với nguy cơ cao về bảo mật.

 Theo xác nhận của Yahoo! Singapore, lỗi bảo mật  của Yahoo! 360^O đã được Yahoo! US sửa hoàn tất vào lúc 10g sáng giờ Việt Nam  (GMT+7). Trong đợt sửa lỗi lần này, không chỉ xóa bỏ không cho phép người dùng  chèn mã <script> vào message trong mailbox 360, mà Yahoo! còn xóa bỏ tất cả các dấu mở/đóng của các TAG trong HTML  là dấu < và dấu >.

Nguyễn Ngọc Long, trưởng ban biên tập nhacSO.net, khẳng định "lỗ hổng của Yahoo! 360^O rất nguy hiểm vì hacker  có thể khai thác để ăn cắp tài khoản truy cập  của người sử dụng; đây lại là một dịch vụ  dùng chung tài khoản với rất nhiều dịch vụ  khác của Yahoo!". Theo ông Long phân tích, lỗ hổng  này là Cross Site Scripting (XSS). Về nguyên tắc, khi thiết kế  hệ thống, lập trình viên phải chặn và loại bỏ hết các mã JavaScript nguy hiểm truyền về máy chủ  từ phía người sử dụng. Thế nhưng đội ngũ lập trình Yahoo! 360^O đã quên điều này. Lợi dụng điểm yếu đó, hacker  đã tạo ra các trang đăng nhập giả (fishing) để lấy cắp thông tin  tài khoản (tên truy cập  và mật khẩu) Yahoo! của người sử dụng.

Ông Long khuyến cáo nạn nhân  của vụ đột kích lần này nên đổi mật khẩu  đăng nhập, câu hỏi  bí mật (nếu có thể), thông tin  cá nhân, địa chỉ email thứ cấp… trong tất cả các tài khoản mà người dùng  đang có chứ không chỉ là tài khoản Yahoo! Vì rất có thể hacker  đã nắm giữ thông tin  về nhiều tài khoản ở các dịch vụ  khác (như Gmail, các forum, trang mua bán…) mà người sử dụng  tham gia.

Bạn có ý kiến gì về bài viết Vụ trộm lịch sử trên Blog Yahoo! 360 này? Hãy gởi suy nghĩ, bình luận, đánh giá, lời khuyên ... của bạn về bài viết Vụ trộm lịch sử trên Blog Yahoo! 360 bạn tại đây.