"Trái tim rỉ máu" là một lỗ hổng nằm trong phần mềm mã nguồn mở Open SSL. Phần mềm này được sử dụng rộng rãi để mã hóa các luồng tin lưu chuyển trên Web. Lỗ hổng này cho phép hacker đánh cắp mật khẩu của người sử dụng web, đánh lừa họ truy cập vào những website giả mạo để tiếp tục đánh cắp thông tin.
Như đã được đề cập trước đây, lỗ hổng này có thể ảnh hưởng đến 66% các trang web sử dụng phần mềm có chứa lỗ hổng này, bao gồm cả các dịch vụ lớn như Facebook, Yahoo, và Gmail.
NASA đã biết trước về lỗ hổng bảo mật Trái tim rỉ máu. |
Tuy nhiên, đây lại là một công cụ cực kỳ hữu ích cho những nỗ lực thu thập dữ liệu của NSA, mặc dù việc sử dụng sẽ khiến người ta đặt câu hỏi về mục đích hoạt động và hiệu quả thực sự của NSA. Sau tất cả, câu hỏi lớn hơn được đặt ra là dành cho hệ thống an ninh mạng của Mỹ, khi để dữ liệu công dân Mỹ trong tình trạng "dễ bị tổn thương trong hai năm", cho đến việc NSA sử dụng một phương pháp thu thập mà không để lại dấu vết với mục đích để chiến đấu chống lại các mối đe dọa (?).
NSA ngay lập tức đã phủ nhận rằng cơ quan này đã được sử dụng lỗ hổng Heartbleed cho mục đích kể trên.
NSA đã lợi dụng
Điều này dường như không quá bất ngờ, nhất là khi NSA đã tìm thấy lỗ hổng dễ bị tổn thương này một cách nhanh chóng ngay sau khi nó được công bố. Bởi đây là một lỗi nhỏ không phá vỡ bất cứ chức năng nào của SSL một cách rõ ràng, không ai trong cộng đồng mã nguồn mở có thể "đủ sức tưởng tượng" để tìm được nó một cách nhanh chóng như thế.
Đó chính là loại lỗ hổng mà NSA và "đội quân nhỏ" của cơ quan này cố gắng tìm kiếm. Một lỗ hổng được sử dụng rộng rãi, và nhanh chóng trở thành "một phần cơ bản của bộ công cụ của cơ quan này dùng để đánh cắp mật khẩu tài khoản và các nhiệm vụ thông thường khác".
Nguồn tin còn chỉ ra rằng, việc sửa chữa lỗ hổng Heartbleed đang được thực hiện, không đồng nghĩa với việc chấm dứt việc lấy dữ liệu người dùng của NSA. Bloomberg xác nhận rằng cơ quan này có một cơ sở dữ liệu của hàng ngàn lỗ hổng như vậy, trong số đó nhiều khả năng vẫn chưa được chú ý bởi các nhà nghiên cứu bảo mật máy tính độc lập.
Tuy nhiên NSA, đã bác bỏ cáo buộc của Bloomberg, và khẳng định rằng cơ quan này "không hề biết về Heartbleed cho đến khi nó được công bố".