Sử dụng HTTPS vẫn có khả năng bị rò rỉ thông tin cá nhân

Tiết lộ chấn động của Edward Snowden về chương trình giám sât quy mô lớn được tiến hành bởi các cơ quan chính phủ đã kích hoạt cuộc tranh luận mới về an ninh và sự riêng tư của mỗi cá nhân trên Internet.

Nhiều người đã để tâm đến sự riêng tư của mình và đã thay đổi một số thói quen trực tuyến của họ, chẳng hạn sử dụng HTTPS thay cho HTTP khi họ duyệt web. Tuy nhiên, HTTPS không phải là chìa khóa vạn năng, và người dùng vẫn có nguy cơ bị rò rỉ thông tin cá nhân.

Các nhà nghiên cứu Mỹ đã phân tích lưu lượng sử dụng của 10 trang web sử dụng HTTPS phổ biến, được coi như an toàn. Họ đã phát hiện ra rằng các thông tin cá nhân như điều kiện y tế, vấn đề tài chính, pháp lý, định hướng tình dục,… rất dễ bị rò rỉ.

Các nhà nghiên cứu Bradad Miller, AD Joseph, JD Tygar của UC Bererkeley và Ling Huang của IntelIntel Labs đã cùng hợp tác với nhau trong dự án “I Know Why You Went to the Clinic: Risks and Realization of HTTPS Traffic Analysis” (PDF) cho biết: “HTTPS là giao thức truyền dữ liệu được mã hóa trên các trang web, nhưng chúng có thể bị tấn công khi phân tích lưu lượng truy cập”.

Họ cho biết thêm: “Để thực hiện được điều này, cần có hai điều kiện. Thứ nhất, kẻ tấn công phải có khả năng truy cập vào các trang web mục tiêu tương tự như các nạn nhân, và thứ hai, hắn ta phải giám sát được lưu lượng truy cập của nạn nhân, để xác định xem thực tế có phù hợp với mô hình tính toán trước đó hay không”.

Các nhà nghiên cứu đã tiến hành thử nghiệm trên các trang web về dịch vụ chăm sóc sức khỏe, dịch vụ pháp lý, tài chính ngân hàng. Các cuộc tấn công thử nghiệm đã xác định được khoảng 6000 trang cá nhân trên 10 trang web phổ biến, với độ chính xác lên đến 89%.

Chính phủ Hoa Kỳ có thể sử dụng kỹ thuật phân tích lưu lượng HTTPS nói trên để lấy cắp thông tin, sau đó dùng chúng cho các hoạt động giám sát và kiểm duyệt. Internet chưa bao giờ là an toàn!

Nguồn: thehackernews.com