Vụ hacker bán dữ liệu: CEO ONUS khẳng định nhà đầu tư không mất tiền

Sự cố rò rỉ dữ liệu của ONUS gây ảnh hưởng cho khoảng 2 triệu người dùng, phần nhiều trong số đó là những nhà đầu tư “tiền mã hóa” đến từ Việt Nam.

Như VietNamNet đã đưa tin, một thành viên của R***forums đã chia sẻ “thành tích” xâm nhập thành công vào máy chủ của trang web Goonus.io. Đây là trang web chính thức của ONUS - một ứng dụng đầu tư tiền số do người Việt phát triển. 

Người dùng ONUS đến từ nhiều quốc gia khác nhau như Nigeria, Ấn Độ, Philippines, Indonesia,... trong đó phần lớn là các nhà đầu tư Việt Nam. Do vậy, người dùng Việt là nhóm đối tượng chịu thiệt hại chính của vụ rò rỉ dữ liệu này. 

{keywords}
Hacker đang rao bán dữ liệu hàng triệu người dùng của ONUS - một trong những ứng dụng đầu tư tiền số phổ biến nhất do người Việt phát triển. Ảnh: Trọng Đạt

Để giải đáp những quan tâm của giới đầu tư, VietNamNet đã có cuộc phỏng vấn với ông Trần Quang Chiến - CEO ONUS nhằm làm rõ những thiệt hại mà hacker đã gây ra, cũng như hướng giải quyết của startup này trong thời gian tới. 

Dưới đây là chi tiết nội dung cuộc trao đổi giữa VietNamNet và CEO của ứng dụng ONUS:

Việc hacker tuyên bố nắm trong tay dữ liệu của khoảng 2 triệu người dùng ONUS có chính xác hay không? Nếu đúng, ông có thể cho biết ONUS bị hack ra sao và những dữ liệu hacker đang nắm gồm những thông tin gì?

Trần Quang Chiến: Vụ việc rò rỉ dữ liệu của ONUS chỉ mới rộ lên gần đây sau khi hacker chia sẻ những dữ liệu này ra công chúng. Tuy vậy, từ 3 ngày trước, ONUS đã chủ động thông báo với người dùng của mình về sự cố, trước cả khi hacker rao bán dữ liệu. Điều này thể hiện cam kết về sự minh bạch và chính trực của chúng tôi đối với các khách hàng. 

Nguyên nhân của sự cố nói trên bắt nguồn từ những thiếu sót của ONUS trong việc cập nhật bản vá lỗ hổng Log4Shell (thư viện log4j). Như nhiều người đã biết, đây là lỗ hổng được đánh giá nguy hiểm nhất thập kỷ và chỉ vừa mới được phát hiện thời gian gần đây. 

{keywords}
Sự cố rò rỉ dữ liệu của ONUS bắt nguồn từ lỗ hổng Log4Shell vốn làm đau đầu giới công nghệ thế giới thời gian gần đây. 

Lỗ hổng Log4Shell được tìm thấy trong file log4j - tập tin ghi lại nhật ký hoạt động (log) của các ứng dụng. Log4j được sử dụng trên hàng loạt máy chủ khắp thế giới. Do vậy, nhiều tập đoàn, công ty công nghệ lớn như Alibaba, Minecraft hay thậm chí cả Apple, Amazon, Twitter đều được cho là cũng bị ảnh hưởng ít nhiều bởi lỗ hổng này. 

Đối với riêng ONUS, hacker sau khi khai thác lỗ hổng này đã có thể truy cập được vào thông tin cấu hình của hệ thống lưu trữ dữ liệu (Amazon S3). Dữ liệu bị lộ trong vụ rò rỉ này là một số thông tin cá nhân của khách hàng. Trong đó bao gồm: Tên, địa chỉ email, số điện thoại, dữ liệu KYC, lịch sử giao dịch và nhiều dữ liệu đã mã hoá khác. Hiện chúng tôi đã thông báo tới khách hàng và khuyến cáo họ thay đổi mật khẩu trên ứng dụng. 

Công ty đã có thông tin gì về hacker hay đã phối hợp với cơ quan Công an để tìm ra kẻ tấn công ONUS chưa?

Trần Quang Chiến: Hiện chúng tôi đang tập trung vào việc rà soát, nâng cấp an toàn bảo mật cho hệ thống nhằm bảo vệ quyền lợi cho người sử dụng, sau đó mới tính đến những chuyện này. 

Hacker tuyên bố đã xóa các tệp lưu trữ trên máy chủ của ONUS, nhà phát triển ứng dụng giờ đây không còn nắm trong tay dữ liệu eKYC người dùng. Điều này có đúng không? 

Trần Quang Chiến: Một lượng dữ liệu lớn của ONUS đã bị xoá và chúng tôi đang trong quá trình khôi phục. Tuy nhiên, hoạt động của ứng dụng ONUS vẫn diễn ra bình thường, ngoại trừ việc một số thời điểm quá tải do lượng người dùng mới truy cập quá lớn.

ONUS là một ứng dụng đầu tư tài chính. Vậy nên, điều mà nhiều người dùng quan tâm là các loại tài sản số được lưu trữ trên đó. Những tài sản này có bị ảnh hưởng bởi vụ hack dữ liệu không?

Trần Quang Chiến: Như chúng tôi đã nói trong thông báo từ 3 ngày trước, toàn bộ tài sản số của người dùng đều không bị ảnh hưởng. Chúng tôi cam kết đền bù 100% nếu tài sản của người dùng bị mất từ các vấn đề bảo mật liên quan đến lỗi của ONUS.

{keywords}
Ông Trần Quang Chiến - CEO ONUS vừa có cuộc trao đổi về sự cố rò rỉ dữ liệu với Pv VietNamNet. 

Theo đánh giá của ONUS, hiện có khoảng bao nhiêu user bị ảnh hưởng bởi vụ tấn công? Mức độ ảnh hưởng tới mỗi nhà đầu tư là như thế nào?

Trần Quang Chiến: Vụ tấn công gây ảnh hưởng đến gần 2 triệu người sử dụng của ONUS. Những dữ liệu này bao gồm các thông tin cá nhân và lịch sử giao dịch. 

Tuy nhiên, tôi khẳng định rằng tài sản của người dùng ONUS không bị ảnh hưởng. Một dữ liệu quan trọng khác là thông tin về mật khẩu người dùng cũng đã được mã hoá (hàm băm). Người dùng có thể yên tâm về dữ liệu đó. 

ONUS sẽ xử lý thế nào để bù đắp cho những mất mát của người dùng?

Trần Quang Chiến: Ngay khi xác định được vấn đề, chúng tôi đã gửi thông báo tới tất cả khách hàng của mình để công khai thông tin và mong nhận được sự hỗ trợ, thông cảm. 

Chúng tôi có một ngân sách 5 triệu USD để đền bù cho việc mất mát tài sản của người dùng tại ONUS. Tuy nhiên, kể từ khi ra thông báo chúng tôi chưa nhận được yêu cầu đền bù nào từ người dùng.

{keywords}
Nhiều dữ liệu nhạy cảm của người dùng ONUS đã bị hacker đánh cắp. Tuy nhiên theo ông Trần Quang Chiến, tài sản số của các nhà đầu tư trên ứng dụng này vẫn an toàn. Mật khẩu tài khoản của người dùng mà hacker đánh cắp được đều ở dưới dạng đã mã hóa.  

Hiện ONUS đang có bao nhiêu user? Trong đó bao nhiêu % là người Việt Nam? Vụ việc này sẽ có tác động thế nào tới các kế hoạch phát triển của ONUS thời gian tới?

Trần Quang Chiến: Hiện ONUS có gần 2 triệu người sử dụng, khoảng hơn 80% là người dùng đến từ Việt Nam. 

Sự việc này là một bài học lớn đối với ONUS và chắc chắn chúng tôi sẽ cố gắng hơn nữa để nâng cao vấn đề bảo mật trong ứng dụng của mình. Kế hoạch của ONUS không thay đổi với mục tiêu giúp cho 10 triệu người trên thế giới tiếp cận với thế giới Blockchain. 

Ngoài ra, chúng tôi cũng đang trong quá trình chuyển dịch từ mô hình Centralized (tập trung) sang Decentralized (phi tập trung). Đến khi đó, dữ liệu thông tin của khách hàng sẽ không còn được lưu trữ trên hệ thống và những vụ việc kiểu này sẽ không xảy ra nữa. 

Sau vụ việc kể trên, ONUS sẽ có những động thái nào để vá lỗ hổng và lấy lại niềm tin từ phía người dùng?

Trần Quang Chiến: Trước tiên, tôi có thể khẳng định, lỗ hổng hiện đã được vá hoàn toàn. Chúng tôi cũng đang hợp tác với nhiều chuyên gia bảo mật để cố gắng phát hiện thêm những vấn đề khác có thể đang tồn tại.

Là một người từng có nhiều năm làm việc trong lĩnh vực an ninh mạng, tôi luôn ưu tiên sự an toàn, quyền riêng tư và sự minh bạch. Chúng tôi thẳng thắn thừa nhận những vấn đề trong hệ thống của mình và sẽ khắc phục tối đa trong thời gian tới. Sau khi suy nghĩ và cân nhắc, tôi nghĩ rằng đây là điều tốt nhất mà chúng tôi nên làm.

Cảm ơn ông về cuộc trao đổi thẳng thắn này. 

Trọng Đạt

Dữ liệu hàng triệu nhà đầu tư "tiền ảo" Việt bị rao bán trên mạng

Dữ liệu hàng triệu nhà đầu tư "tiền ảo" Việt bị rao bán trên mạng

Hacker đang rao bán dữ liệu hàng triệu người dùng của ONUS - một trong những ứng dụng đầu tư tiền số phổ biến nhất do người Việt phát triển.   

Nghề ‘siêu hot’ bất chấp sóng thần sa thải công nghệ

Ngành này vẫn đang thiếu tới hơn 700.000 nhân sự và luôn trong trạng thái ‘tìm người’.

Chung tay "làm sạch" không gian mạng

Các chuyên gia cho rằng, nếu không quyết liệt làm sạch không gian mạng, đẩy lùi vấn nạn lừa đảo online đang ngày càng nở rộ, rất có thể nhiều người dân sẽ e ngại khi hoạt động trên không gian mạng.

Tội phạm mạng lợi dụng sự cả tin và lòng tham của con người để lừa đảo

Dù có khá nhiều biện pháp công nghệ đã được thực hiện, tội phạm mạng vẫn lừa đảo thành công do sự cả tin và lòng tham của con người.

"TikToker Hưng baba được Nhà nước vinh danh" là thông tin sai sự thật

Trước việc người dùng chia sẻ thông tin sai sự thật về TikToker “Hưng baba” được vinh danh, Sở TT&TT Hải Phòng đã yêu cầu ông Hưng kiểm soát nội dung bình luận, chia sẻ trên mạng.

Cảnh báo 13 lỗ hổng mới có thể bị hacker lợi dụng tấn công hệ thống tại Việt Nam

Cục An toàn thông tin (Bộ TT&TT) vừa cảnh báo các cơ quan, tổ chức, doanh nghiệp về 13 lỗ hổng bảo mật mức cao và nghiêm trọng trong sản phẩm Microsoft. Để tránh bị khai thác, tấn công mạng, các đơn vị cần rà soát và cập nhật ngay bản vá.

Thờ ơ với kiến thức bảo mật

Nhiều người ít quan tâm đến kiến thức bảo mật trong khi việc nâng cao nhận thức cho toàn dân cần nỗ lực lớn, dẫn đến tình trạng lừa đảo trực tuyến vẫn thường xuyên diễn ra.

Mở hệ thống thi thử “Học sinh với An toàn thông tin 2023” từ giữa tháng 2

Năm 2023 là năm thứ 2 cuộc thi “Học sinh với An toàn thông tin” được tổ chức nhằm trang bị các kiến thức, kỹ năng giúp trẻ em biết tự bảo vệ mình khi tham gia môi trường mạng.

Gần 1.800 điểm yếu, lỗ hổng bảo mật tồn tại trong hệ thống của cơ quan nhà nước

Nhận định số điểm yếu, lỗ hổng trên là rất lớn, Cục An toàn thông tin đã chỉ đạo Trung tâm Giám sát an toàn không gian mạng quốc gia xác định những lỗ hổng nguy hiểm, ảnh hưởng diện rộng và hướng dẫn các bộ, ngành khắc phục.

Cận Tết, cuộc gọi rác và tin nhắn lừa đảo tấn công người dùng Việt

Liên tục nhận tin nhắn lừa tới website giả mạo, bị làm phiền bởi cuộc gọi quảng cáo mời chào game cờ bạc,... người dùng di động không khỏi bất bình.

AWS ‘trình làng’ dịch vụ hồ dữ liệu bảo mật

Amazon Web Services (AWS) vừa ra mắt Amazon Security Lake - dịch vụ tự động tập trung dữ liệu bảo mật từ nguồn đám mây và tại chỗ vào một hồ dữ liệu chuyên biệt trong tài khoản AWS, giúp khai thác dữ liệu bảo mật nhanh, hiệu quả hơn.

Đang cập nhật dữ liệu !