Như đã đưa tin, một thành viên của R***forums đã chia sẻ “thành tích” xâm nhập thành công vào máy chủ của trang web Goonus.io . Đây là trang web chính thức của ONUS - một ứng dụng đầu tư tiền số do người Việt phát triển.
Người dùng ONUS đến từ nhiều quốc gia khác nhau như Nigeria, Ấn Độ, Philippines, Indonesia,... trong đó phần lớn là các nhà đầu tư Việt Nam. Do vậy, người dùng Việt là nhóm đối tượng chịu thiệt hại chính của vụ rò rỉ dữ liệu này.
Hacker đang rao bán dữ liệu hàng triệu người dùng của ONUS - một trong những ứng dụng đầu tư tiền số phổ biến nhất do người Việt phát triển. Ảnh: Trọng Đạt |
Để giải đáp những quan tâm của giới đầu tư, VietNamNet đã có cuộc phỏng vấn với ông Trần Quang Chiến - CEO ONUS nhằm làm rõ những thiệt hại mà hacker đã gây ra, cũng như hướng giải quyết của startup này trong thời gian tới.
Dưới đây là chi tiết nội dung cuộc trao đổi giữa VietNamNet và CEO của ứng dụng ONUS:
Việc hacker tuyên bố nắm trong tay dữ liệu của khoảng 2 triệu người dùng ONUS có chính xác hay không? Nếu đúng, ông có thể cho biết ONUS bị hack ra sao và những dữ liệu hacker đang nắm gồm những thông tin gì?
Trần Quang Chiến: Vụ việc rò rỉ dữ liệu của ONUS chỉ mới rộ lên gần đây sau khi hacker chia sẻ những dữ liệu này ra công chúng. Tuy vậy, từ 3 ngày trước, ONUS đã chủ động thông báo với người dùng của mình về sự cố, trước cả khi hacker rao bán dữ liệu. Điều này thể hiện cam kết về sự minh bạch và chính trực của chúng tôi đối với các khách hàng.
Nguyên nhân của sự cố nói trên bắt nguồn từ những thiếu sót của ONUS trong việc cập nhật bản vá lỗ hổng Log4Shell (thư viện log4j). Như nhiều người đã biết, đây là lỗ hổng được đánh giá nguy hiểm nhất thập kỷ và chỉ vừa mới được phát hiện thời gian gần đây.
Sự cố rò rỉ dữ liệu của ONUS bắt nguồn từ lỗ hổng Log4Shell vốn làm đau đầu giới công nghệ thế giới thời gian gần đây. |
Lỗ hổng Log4Shell được tìm thấy trong file log4j - tập tin ghi lại nhật ký hoạt động (log) của các ứng dụng. Log4j được sử dụng trên hàng loạt máy chủ khắp thế giới. Do vậy, nhiều tập đoàn, công ty công nghệ lớn như Alibaba, Minecraft hay thậm chí cả Apple, Amazon, Twitter đều được cho là cũng bị ảnh hưởng ít nhiều bởi lỗ hổng này.
Đối với riêng ONUS, hacker sau khi khai thác lỗ hổng này đã có thể truy cập được vào thông tin cấu hình của hệ thống lưu trữ dữ liệu (Amazon S3). Dữ liệu bị lộ trong vụ rò rỉ này là một số thông tin cá nhân của khách hàng. Trong đó bao gồm: Tên, địa chỉ email, số điện thoại, dữ liệu KYC, lịch sử giao dịch và nhiều dữ liệu đã mã hoá khác. Hiện chúng tôi đã thông báo tới khách hàng và khuyến cáo họ thay đổi mật khẩu trên ứng dụng.
Công ty đã có thông tin gì về hacker hay đã phối hợp với cơ quan Công an để tìm ra kẻ tấn công ONUS chưa?
Trần Quang Chiến: Hiện chúng tôi đang tập trung vào việc rà soát, nâng cấp an toàn bảo mật cho hệ thống nhằm bảo vệ quyền lợi cho người sử dụng, sau đó mới tính đến những chuyện này.
Hacker tuyên bố đã xóa các tệp lưu trữ trên máy chủ của ONUS, nhà phát triển ứng dụng giờ đây không còn nắm trong tay dữ liệu eKYC người dùng. Điều này có đúng không?
Trần Quang Chiến: Một lượng dữ liệu lớn của ONUS đã bị xoá và chúng tôi đang trong quá trình khôi phục. Tuy nhiên, hoạt động của ứng dụng ONUS vẫn diễn ra bình thường, ngoại trừ việc một số thời điểm quá tải do lượng người dùng mới truy cập quá lớn.
ONUS là một ứng dụng đầu tư tài chính. Vậy nên, điều mà nhiều người dùng quan tâm là các loại tài sản số được lưu trữ trên đó. Những tài sản này có bị ảnh hưởng bởi vụ hack dữ liệu không?
Trần Quang Chiến: Như chúng tôi đã nói trong thông báo từ 3 ngày trước, toàn bộ tài sản số của người dùng đều không bị ảnh hưởng. Chúng tôi cam kết đền bù 100% nếu tài sản của người dùng bị mất từ các vấn đề bảo mật liên quan đến lỗi của ONUS.
Ông Trần Quang Chiến - CEO ONUS vừa có cuộc trao đổi về sự cố rò rỉ dữ liệu với Pv VietNamNet. |
Theo đánh giá của ONUS, hiện có khoảng bao nhiêu user bị ảnh hưởng bởi vụ tấn công? Mức độ ảnh hưởng tới mỗi nhà đầu tư là như thế nào?
Trần Quang Chiến: Vụ tấn công gây ảnh hưởng đến gần 2 triệu người sử dụng của ONUS. Những dữ liệu này bao gồm các thông tin cá nhân và lịch sử giao dịch.
Tuy nhiên, tôi khẳng định rằng tài sản của người dùng ONUS không bị ảnh hưởng. Một dữ liệu quan trọng khác là thông tin về mật khẩu người dùng cũng đã được mã hoá (hàm băm). Người dùng có thể yên tâm về dữ liệu đó.
ONUS sẽ xử lý thế nào để bù đắp cho những mất mát của người dùng?
Trần Quang Chiến: Ngay khi xác định được vấn đề, chúng tôi đã gửi thông báo tới tất cả khách hàng của mình để công khai thông tin và mong nhận được sự hỗ trợ, thông cảm.
Chúng tôi có một ngân sách 5 triệu USD để đền bù cho việc mất mát tài sản của người dùng tại ONUS. Tuy nhiên, kể từ khi ra thông báo chúng tôi chưa nhận được yêu cầu đền bù nào từ người dùng.
Nhiều dữ liệu nhạy cảm của người dùng ONUS đã bị hacker đánh cắp. Tuy nhiên theo ông Trần Quang Chiến, tài sản số của các nhà đầu tư trên ứng dụng này vẫn an toàn. Mật khẩu tài khoản của người dùng mà hacker đánh cắp được đều ở dưới dạng đã mã hóa. |
Hiện ONUS đang có bao nhiêu user? Trong đó bao nhiêu % là người Việt Nam? Vụ việc này sẽ có tác động thế nào tới các kế hoạch phát triển của ONUS thời gian tới?
Trần Quang Chiến: Hiện ONUS có gần 2 triệu người sử dụng, khoảng hơn 80% là người dùng đến từ Việt Nam.
Sự việc này là một bài học lớn đối với ONUS và chắc chắn chúng tôi sẽ cố gắng hơn nữa để nâng cao vấn đề bảo mật trong ứng dụng của mình. Kế hoạch của ONUS không thay đổi với mục tiêu giúp cho 10 triệu người trên thế giới tiếp cận với thế giới Blockchain.
Ngoài ra, chúng tôi cũng đang trong quá trình chuyển dịch từ mô hình Centralized (tập trung) sang Decentralized (phi tập trung). Đến khi đó, dữ liệu thông tin của khách hàng sẽ không còn được lưu trữ trên hệ thống và những vụ việc kiểu này sẽ không xảy ra nữa.
Sau vụ việc kể trên, ONUS sẽ có những động thái nào để vá lỗ hổng và lấy lại niềm tin từ phía người dùng?
Trần Quang Chiến: Trước tiên, tôi có thể khẳng định, lỗ hổng hiện đã được vá hoàn toàn. Chúng tôi cũng đang hợp tác với nhiều chuyên gia bảo mật để cố gắng phát hiện thêm những vấn đề khác có thể đang tồn tại.
Là một người từng có nhiều năm làm việc trong lĩnh vực an ninh mạng, tôi luôn ưu tiên sự an toàn, quyền riêng tư và sự minh bạch. Chúng tôi thẳng thắn thừa nhận những vấn đề trong hệ thống của mình và sẽ khắc phục tối đa trong thời gian tới. Sau khi suy nghĩ và cân nhắc, tôi nghĩ rằng đây là điều tốt nhất mà chúng tôi nên làm.
Cảm ơn ông về cuộc trao đổi thẳng thắn này.
Theo Vietnamnet