Google, Microsoft và Yahoo! vá gấp lỗ hổng trong email

Hôm 24-10, một tư vấn được xuất bản bởi tổ chức US-CERT nói rằng hệ thống chứng thực DKIM (DomainKeys Identified Mail) được mã hóa thấp hơn 1024 bit hiện là quá yếu. Điều này chính là nguyên nhân mà gần đây một nhà tuyển dụng Google bị cáo buộc gửi email lừa đảo đến nhà toán học ở bang Florida.

Cụ thể, Zachary Harris, một nhà toán học 35 tuổi đến từ bang Florida đã bất ngờ nhận được một email từ một nhà tuyển dụng của Google về một lời mời làm việc. Nghi ngờ rằng đây là một email lừa đảo, nhà toán học này đã tiến hành kiểm tra và phát hiện ra đó là email giả mạo tên Sergey Brin và Larry Page, 2 đồng sáng lập Google, sử dụng công nghệ mã hóa 512 bit.

 

Từ điều này, Harris đã phát hiện ra một lỗ hổng bảo mật nghiêm trọng trong hệ thống email và báo cáo với Google, ngay sau đó Google đã lặng lẽ sửa vấn đề ngay sau khi phát hiện các email giả mạo.

Mở rộng vấn đề, quá trình kiểm tra các hệ thống email của Yahoo! lẫn Microsoft cũng đều gặp phải điều tương tự. Theo báo cáo, Harris cũng cho rằng các hệ thống email bảo mật của Dell, Apple, eBay, Amazon, PayPal, Twitter, SBCGlobal, US Bank, HP, HSBC và Match.com sử dụng công nghệ mã hóa 512 bit và 768 bit, đều gặp vấn đề này.

Theo một phát ngôn viên của Google giải thích thì những hệ thống sử dụng DKIM ở mức yếu sẽ tạo cơ hội cho những kẻ gian phạm tội. Kẻ gian sẽ gửi email lừa đảo đến người dùng với các nội dung chứa liên kết độc hại nhằm khai thác các lỗ hỗng trên máy tính và cài đặt phần mềm độc hại vào hệ thống bị nhiễm, đây là một hình thức lừa đảo.