Vụ hacker bán dữ liệu: CEO khẳng định nhà đầu tư không mất tiền
Sự cố rò rỉ dữ liệu của ONUS gây ảnh hưởng cho khoảng 2 triệu người dùng, phần nhiều trong số đó là những nhà đầu tư “tiền mã hóa” đến từ Việt Nam.
Như đã đưa tin, một thành viên của R***forums đã chia sẻ “thành tích” xâm nhập thành công vào máy chủ của trang web Goonus.io . Đây là trang web chính thức của ONUS - một ứng dụng đầu tư tiền số do người Việt phát triển.
Người dùng ONUS đến từ nhiều quốc gia khác nhau như Nigeria, Ấn Độ, Philippines, Indonesia,... trong đó phần lớn là các nhà đầu tư Việt Nam. Do vậy, người dùng Việt là nhóm đối tượng chịu thiệt hại chính của vụ rò rỉ dữ liệu này.
Để giải đáp những quan tâm của giới đầu tư, VietNamNet đã có cuộc phỏng vấn với ông Trần Quang Chiến - CEO ONUS nhằm làm rõ những thiệt hại mà hacker đã gây ra, cũng như hướng giải quyết của startup này trong thời gian tới.
Dưới đây là chi tiết nội dung cuộc trao đổi giữa VietNamNet và CEO của ứng dụng ONUS:
Việc hacker tuyên bố nắm trong tay dữ liệu của khoảng 2 triệu người dùng ONUS có chính xác hay không? Nếu đúng, ông có thể cho biết ONUS bị hack ra sao và những dữ liệu hacker đang nắm gồm những thông tin gì?
Nguyên nhân của sự cố nói trên bắt nguồn từ những thiếu sót của ONUS trong việc cập nhật bản vá lỗ hổng Log4Shell (thư viện log4j). Như nhiều người đã biết, đây là lỗ hổng được đánh giá nguy hiểm nhất thập kỷ và chỉ vừa mới được phát hiện thời gian gần đây.
Lỗ hổng Log4Shell được tìm thấy trong file log4j - tập tin ghi lại nhật ký hoạt động (log) của các ứng dụng. Log4j được sử dụng trên hàng loạt máy chủ khắp thế giới. Do vậy, nhiều tập đoàn, công ty công nghệ lớn như Alibaba, Minecraft hay thậm chí cả Apple, Amazon, Twitter đều được cho là cũng bị ảnh hưởng ít nhiều bởi lỗ hổng này.
Đối với riêng ONUS, hacker sau khi khai thác lỗ hổng này đã có thể truy cập được vào thông tin cấu hình của hệ thống lưu trữ dữ liệu (Amazon S3). Dữ liệu bị lộ trong vụ rò rỉ này là một số thông tin cá nhân của khách hàng. Trong đó bao gồm: Tên, địa chỉ email, số điện thoại, dữ liệu KYC, lịch sử giao dịch và nhiều dữ liệu đã mã hoá khác. Hiện chúng tôi đã thông báo tới khách hàng và khuyến cáo họ thay đổi mật khẩu trên ứng dụng.
Công ty đã có thông tin gì về hacker hay đã phối hợp với cơ quan Công an để tìm ra kẻ tấn công ONUS chưa?
Hacker tuyên bố đã xóa các tệp lưu trữ trên máy chủ của ONUS, nhà phát triển ứng dụng giờ đây không còn nắm trong tay dữ liệu eKYC người dùng. Điều này có đúng không?
ONUS là một ứng dụng đầu tư tài chính. Vậy nên, điều mà nhiều người dùng quan tâm là các loại tài sản số được lưu trữ trên đó. Những tài sản này có bị ảnh hưởng bởi vụ hack dữ liệu không?
Theo đánh giá của ONUS, hiện có khoảng bao nhiêu user bị ảnh hưởng bởi vụ tấn công? Mức độ ảnh hưởng tới mỗi nhà đầu tư là như thế nào?
Tuy nhiên, tôi khẳng định rằng tài sản của người dùng ONUS không bị ảnh hưởng. Một dữ liệu quan trọng khác là thông tin về mật khẩu người dùng cũng đã được mã hoá (hàm băm). Người dùng có thể yên tâm về dữ liệu đó.
ONUS sẽ xử lý thế nào để bù đắp cho những mất mát của người dùng?
Chúng tôi có một ngân sách 5 triệu USD để đền bù cho việc mất mát tài sản của người dùng tại ONUS. Tuy nhiên, kể từ khi ra thông báo chúng tôi chưa nhận được yêu cầu đền bù nào từ người dùng.
Hiện ONUS đang có bao nhiêu user? Trong đó bao nhiêu % là người Việt Nam? Vụ việc này sẽ có tác động thế nào tới các kế hoạch phát triển của ONUS thời gian tới?
Sự việc này là một bài học lớn đối với ONUS và chắc chắn chúng tôi sẽ cố gắng hơn nữa để nâng cao vấn đề bảo mật trong ứng dụng của mình. Kế hoạch của ONUS không thay đổi với mục tiêu giúp cho 10 triệu người trên thế giới tiếp cận với thế giới Blockchain.
Ngoài ra, chúng tôi cũng đang trong quá trình chuyển dịch từ mô hình Centralized (tập trung) sang Decentralized (phi tập trung). Đến khi đó, dữ liệu thông tin của khách hàng sẽ không còn được lưu trữ trên hệ thống và những vụ việc kiểu này sẽ không xảy ra nữa.
Sau vụ việc kể trên, ONUS sẽ có những động thái nào để vá lỗ hổng và lấy lại niềm tin từ phía người dùng?
Là một người từng có nhiều năm làm việc trong lĩnh vực an ninh mạng, tôi luôn ưu tiên sự an toàn, quyền riêng tư và sự minh bạch. Chúng tôi thẳng thắn thừa nhận những vấn đề trong hệ thống của mình và sẽ khắc phục tối đa trong thời gian tới. Sau khi suy nghĩ và cân nhắc, tôi nghĩ rằng đây là điều tốt nhất mà chúng tôi nên làm.
Bạn muốn trở thành VIP/PRO trên 24HMONEY?
Liên hệ 24HMONEY ngay
Bình luận