VNPT giải thích chưa thỏa đáng vụ 1.000 modem Trung Quốc?
Nhiều chuyên gia bảo mật cho rằng, cách giải thích của VNPT Hà Nội trước sự cố 1.000 modem cung cấp cho khách hàng không thể đổi mật khẩu có nhiều điểm chưa thỏa đáng.
Không cần thêm một tài khoản quản trị modem
Giải thích về sự cố 1.000 modem nhập của Huawei Trung Quốc không thể đổi mật khẩu, dẫn đến nguy cơ mất an toàn thông tin của người dùng, đại diện VNPT Hà Nội lý giải do nhà mạng này thí điểm modem truy cập bằng hai tài khoản. Một tài khoản của riêng nhà mạng, không đổi được mật khẩu, chỉ để truy cập kiểm tra trạng thái kết nối và phần cứng modem của khách hàng. Một tài khoản của khách hàng, có thể đổi mật khẩu.
Đại diện Tập đoàn Huawei Trung Quốc tại Việt Nam cho biết, tập đoàn này đã cung cấp modem hai mật khẩu cho một số khách hàng viễn thông nhằm giúp nhà mạng tiện lợi trong việc kiểm tra, sửa chữa kết nối mạng, trong đó có VNPT Hà Nội. 1.000 modem hai mật khẩu là do VNPT Hà Nội đặt hàng Huawei. Việc sử dụng và thay đổi mật khẩu là quyền của nhà mạng.
Đại diện Huawei tại buổi họp báo giải thích về lỗ hổng bảo mật trên modem HG8045A do hãng này cung cấp cho VNPT Hà Nội. Ảnh : Nguyễn Hoài.
Theo nhiều chuyên gia, cách giải thích này chưa thỏa đáng vì nếu chỉ để truy cập kiểm tra kết nối và phần cứng của modem thì không cần thêm một tài khoản mặc định. Một chuyên gia đề nghị giấu tên cho biết, nhà mạng có thể và trên thực tế vẫn sử dụng những giao thức khác để kiểm tra modem có kết nối hay không? Modem nào tín hiệu mạnh, yếu? Modem nào đang suy giảm tín hiệu?
Ông Ngô Tuấn Anh, Phó Giám đốc phụ trách an ninh mạng của Bkav cho biết chưa nghe thông tin về loại modem nào có hai mật khẩu như VNPT vừa công bố. Trường hợp này cũng có thể có nhưng nhà cung cấp không chia sẻ thông tin này. Tuy nhiên, về nguyên tắc tồn tại thêm một mật khẩu nữa ở modem mà người sử dụng không biết cũng là một lỗ hổng về an ninh. Mật khẩu này có thể bị kẻ xấu lợi dụng để giám sát, theo dõi mà người dùng không hề hay biết.
Ông Tuấn Anh cũng cho biết thêm, cách xử lý của VNPT Hà Nội là hủy tài khoản trên modem của khách hàng và việc này được thực hiện từ xa. Trong khi đó, để thực hiện can thiệp được vào modem từ xa, người thực hiện phải có một “cổng vào” của modem đó. Như vậy rõ ràng trên modem của VNPT đã tồn tại “cổng vào” này mà người dùng không biết. Một khi cổng vào này thực hiện được việc xóa tài khoản trên modem thì cũng có thể thực hiện các thay đổi khác, chẳng hạn như thay đổi cấu hình server phân giải tên miền (DNS Server). Khi thông tin DNS của modem bị kẻ xấu lợi dụng thay đổi, truy cập của người dùng vào các trang web như Facebook, Gmail… sẽ bị chuyển sang các trang web giả mạo có giao diện tương tự do kẻ xấu dựng lên. Khi đăng nhập vào các trang web giả mạo này, tài khoản đăng nhập sẽ bị kẻ xấu đánh cắp mà người dùng không hề biết.
Tài khoản thay thế mất một số tính năng quản trị
Liên quan đến cách xử lý của VNPT Hà Nội, xóa tài khoản telecomxxx (là tài khoản nhà mạng cấp nhầm cho khách hàng, không đổi được mật khẩu), chỉ để lại tài khoản root (đổi được mật khẩu), nhiều khách hàng than phiền về việc VNPT tự động đổi tài khoản mà không có ý kiến khách hàng.
Anh Ngô Nhật Thi, phụ trách kỹ thuật của Công ty Cổ phần tư vấn EBIT (218 Đội Cấn, Hà Nội), khách hàng sử dụng modem HG8045A của VNPT Hà Nội cho biết, sau khi sự cố không đổi được mật khẩu tài khoản modem xảy ra, anh mong muốn nhà mạng đổi cho anh mật khẩu tài khoản telecomxxx chứ không phải nhà mạng xóa bỏ tài khoản này. Tài khoản root sử dụng thay thế tài khoản telecomxxx mất đi một số tính năng quản trị modem. “Bạn cứ tưởng tượng là trước đây tài khoản telecomxxx có quyền thay đổi các tham số a, b, c thì nay tài khoản root chỉ thay đổi được tham số a, không thay đổi được tham số b, c”, anh Thi nói.
Đứng trên quan điểm khách hàng và là người làm về CNTT, anh Thi cho rằng việc nhà mạng tự ý thí điểm modem hai mật khẩu với 1.000 modem HG8045A là không đảm bảo quyền lợi khách hàng. “Một năm sự cố truyền dẫn có thể chỉ xảy ra vài lần nhưng cả 365 ngày khách hàng đối mặt với rủi ro mất an toàn thông tin”, anh Thi nói.
Cũng theo anh Thi, trong trường hợp nhà mạng thí điểm thực hiện thì phải thỏa thuận với khách hàng. “Cơ sở nào để đảm bảo mật khẩu mặc định của nhà mạng được giữ kín? Cơ sở nào đảm bảo nhà mạng chỉ dùng tài khoản truy cập để kiểm tra kết nối mạng và hiện trạng phần cứng modem của khách hàng? Thực tế nhà mạng để lộ mật khẩu mặc định ngay khi thí điểm”, anh Thi nói.
Theo Nguyễn Hoài (TPO)