Cảnh báo website hội đồng nhân dân tỉnh Thừa Thiên Huế bị hack
Một lỗ hổng nguy hiểm cho phép hacker thay đổi giao diện website, thêm, sửa các thông tin đang tồn tại trên website của Đoàn đại biểu quốc hội và hội đồng nhân dân tỉnh Thừa Thiên Huế tại đại chỉ qhhdthuathienhue.gov.vn. Một dòng chữ “ Hacked by Deep.deepblue Hacked by D.k” màu ...
Một lỗ hổng nguy hiểm cho phép hacker thay đổi giao diện website, thêm, sửa các thông tin đang tồn tại trên website của Đoàn đại biểu quốc hội và hội đồng nhân dân tỉnh Thừa Thiên Huế tại đại chỉ qhhdthuathienhue.gov.vn.
Một dòng chữ “Hacked by Deep.deepblue Hacked by D.k” màu trắng đã được hacker bí mật chèn vào nội dung của website. Chứng tỏ website đã bị tấn công khai thác lỗ hổng và đã bị hack.
Đây là website quan trọng với hơn 146000 lượt truy cập, chứa thông tin về cơ cấu tổ chức của Đoàn đại biểu quốc hội và Hội đồng nhân dân của tỉnh Thừa Thiên Huế. Trang web thường xuyên đăng tải các thông báo, sự kiện nhằm phổ biến đến người dân. Việc website bị hack một cách dễ dàng, nội dung website có thể bị thay đổi sẽ làm ảnh hưởng rất nhiều đến uy tín của tổ chức. Có nguy cơ lộ lọt các dữ liệu quan trọng nếu đang được lưu trữ trên website. Ngoài ra, hacker hoàn toàn có thể chèn các loại mã độc hay thực thi các cuộc tấn công “watering hole attack” nhằm tấn công người dùng khi truy cập vào website này. Biến website thành các trung tâm phát tán mã độc và khai thác người dùng, điều này là rất nguy hiểm.
Kiểm tra mã nguồn của website chúng tôi phát hiện, đã có ít nhất 2 nhóm hacker đã tấn công và xâm nhập vào hệ thống website của cơ quan.
Một vấn đề cũng không kém phần quan trọng nữa là thông tin cá nhân của các đại biểu bao gồm tên, ngày sinh, số điện thoại di động, điện thoại bàn đều được công khai ngay trên trang web. Điều này vô tình tiềm ẩn nhiều vấn đề khi hacker lợi dụng để thực hiện các cuộc tấn công lừa đảo, phát tán spam, đặc biệt đây là thông tin của những người giữ các vị trí quan trọng trong tổ chức.
SecurityDaily khuyến cáo, mặc dù cần thiết nhưng các tổ chức không nên công khai quá chi tiết các thông tin cá nhân của các thành viên lên các hệ thống website công khai. Tránh việc bị lợi dụng lừa đảo hay phát tán tin nhắn điện thoại spam từ botnet hay những kẻ phát tán.
Đại diện SecurityDaily đã liên hệ và cảnh báo qua điện thoại và email tới đại diện của Tỉnh Thừa Thiên Huế các thông tin quan trọng này. Lỗi đã được cơ quan HDND tỉnh Thừa thiên Huế khắc phục.