Shadowserver, một tổ chức phi lợi nhuận cung cấp dịch vụ an ninh mạng và ứng phó với mối đe dọa trực tuyến, đã phát hiện hơn ba triệu máy chủ email dễ bị tấn công trên Internet. Theo Shadowserver giải thích, 3,3 triệu máy chủ thư này dựa vào POP3 và IMAP, hai giao thức được sử dụng để truy cập email.
Trên thực tế, chúng cho phép ứng dụng email của bạn (như Gmail, Outlook, Spark, Thunderbird hoặc Apple Mail) truy xuất thư từ máy chủ. IMAP là giao thức lý tưởng nếu bạn kiểm tra email trên nhiều thiết bị (điện thoại, máy tính hoặc máy tính bảng). Nó lưu trữ tin nhắn của bạn trên máy chủ và đồng bộ hóa chúng giữa mọi thiết bị của bạn. Ngược lại, POP3 tải email xuống một thiết bị duy nhất, khiến chúng chỉ có thể truy cập được trên thiết bị đó.
Thật không may, các máy chủ được xác định không có mã hóa TLS (Bảo mật lớp truyền tải), một giao thức truyền thông an toàn. Nó được thiết kế để bảo vệ dữ liệu trao đổi giữa máy khách (như trình duyệt hoặc ứng dụng nhắn tin) và máy chủ và đảm bảo thông tin được truyền đi một cách bảo mật. Những máy chủ không an toàn này được đặt trên khắp thế giới.
Việc thiếu mã hóa này "có nghĩa là tên người dùng/mật khẩu không được mã hóa trong quá trình truyền tải", tổ chức phi lợi nhuận giải thích trong một bài đăng trên X. Nói tóm lại, các email đã tải xuống hoặc đã đọc có thể bị bên thứ ba chặn lại. Điều này cũng đúng với mật khẩu được cho là có tác dụng bảo mật khi nhắn tin. Do đó, các máy chủ bị Shadowserver ghim sẽ bị tội phạm mạng tấn công.
Như Shadowserver chỉ ra, các máy chủ này đặc biệt dễ bị tấn công bằng các cuộc tấn công "đánh hơi mạng". Loại tấn công này bao gồm việc chặn và phân tích dữ liệu truyền qua mạng để khôi phục thông tin nhạy cảm, chẳng hạn như tên người dùng, mật khẩu hoặc nhiều dữ liệu cá nhân hơn, đặc biệt là nếu chúng không được mã hóa.
Các nhà nghiên cứu của Shadowserver đã nhanh chóng cảnh báo tất cả các nhà điều hành máy chủ dễ bị tấn công yêu cầu họ bổ sung mã hóa TLS. Trong báo cáo gửi tới các nhà điều hành, tổ chức này nhắc lại rằng "mật khẩu được sử dụng để truy cập email của bạn có thể bị công cụ theo dõi mạng chặn lại".
Ngoài ra, "việc truy cập không an toàn vào dịch vụ có thể cho phép các cuộc tấn công nhằm đoán mật khẩu trên máy chủ". Điều quan trọng là các nhà điều hành máy chủ phải thực hiện các biện pháp khẩn cấp để đảm bảo tính bảo mật của thông tin liên lạc của người dùng Internet.
Nguồn: Bleeping Computer
Trên thực tế, chúng cho phép ứng dụng email của bạn (như Gmail, Outlook, Spark, Thunderbird hoặc Apple Mail) truy xuất thư từ máy chủ. IMAP là giao thức lý tưởng nếu bạn kiểm tra email trên nhiều thiết bị (điện thoại, máy tính hoặc máy tính bảng). Nó lưu trữ tin nhắn của bạn trên máy chủ và đồng bộ hóa chúng giữa mọi thiết bị của bạn. Ngược lại, POP3 tải email xuống một thiết bị duy nhất, khiến chúng chỉ có thể truy cập được trên thiết bị đó.
Mật khẩu có nguy cơ
Thật không may, các máy chủ được xác định không có mã hóa TLS (Bảo mật lớp truyền tải), một giao thức truyền thông an toàn. Nó được thiết kế để bảo vệ dữ liệu trao đổi giữa máy khách (như trình duyệt hoặc ứng dụng nhắn tin) và máy chủ và đảm bảo thông tin được truyền đi một cách bảo mật. Những máy chủ không an toàn này được đặt trên khắp thế giới.
Việc thiếu mã hóa này "có nghĩa là tên người dùng/mật khẩu không được mã hóa trong quá trình truyền tải", tổ chức phi lợi nhuận giải thích trong một bài đăng trên X. Nói tóm lại, các email đã tải xuống hoặc đã đọc có thể bị bên thứ ba chặn lại. Điều này cũng đúng với mật khẩu được cho là có tác dụng bảo mật khi nhắn tin. Do đó, các máy chủ bị Shadowserver ghim sẽ bị tội phạm mạng tấn công.
Như Shadowserver chỉ ra, các máy chủ này đặc biệt dễ bị tấn công bằng các cuộc tấn công "đánh hơi mạng". Loại tấn công này bao gồm việc chặn và phân tích dữ liệu truyền qua mạng để khôi phục thông tin nhạy cảm, chẳng hạn như tên người dùng, mật khẩu hoặc nhiều dữ liệu cá nhân hơn, đặc biệt là nếu chúng không được mã hóa.
Cần bổ sung mã hóa khẩn cấp
Các nhà nghiên cứu của Shadowserver đã nhanh chóng cảnh báo tất cả các nhà điều hành máy chủ dễ bị tấn công yêu cầu họ bổ sung mã hóa TLS. Trong báo cáo gửi tới các nhà điều hành, tổ chức này nhắc lại rằng "mật khẩu được sử dụng để truy cập email của bạn có thể bị công cụ theo dõi mạng chặn lại".
Ngoài ra, "việc truy cập không an toàn vào dịch vụ có thể cho phép các cuộc tấn công nhằm đoán mật khẩu trên máy chủ". Điều quan trọng là các nhà điều hành máy chủ phải thực hiện các biện pháp khẩn cấp để đảm bảo tính bảo mật của thông tin liên lạc của người dùng Internet.
Nguồn: Bleeping Computer
