LivingSocial, từng là trang web mô hình mua chung (Groupon) lớn thứ 2, là mục tiêu tấn công mới nhất của các hacker.

Theo các thông báomà trang AllThingsD nắm được, một số người nặc danh đã ăn cắp tên, email, ngàysinh và mật khẩu của phần lớn khách hàng tại trang LivingSocial.

Trang web có nguồn gốctừ thủ đô Washington, được sở hữu một phần bởi Amazon, có khoảng 70 triệu kháchhàng trên khắp thế giới. Các chi nhánh của công ty ở Philippines, Hàn Quốc,Indonesia và Thái Lan không bị ảnh hưởng vì chúng được quản lý bởi các máy chủkhác.

Để nhìn nhận cuộc độtkích này, Robert Hansen, giám đốc quản lý sản phẩm và phổ biến công nghệ củacông ty bảo mật WhiteHat, cho rằng phạm vi ảnh hưởng ở đây rất quan trọng." Nếu có khoảng một tỉ người dùng Internet thì chỉ riêng cuộc tấn công nàyđã ảnh hưởng gần như 0,5% "dân số mạng" toàn cầu. Điều này có thể là một thảm họa, không chỉriêng đối với tài khoản và thẻ tín dụng bị đánh cắp trực tiếp mà còn các mậtkhẩu được sử dụng lại ở nhiều nơi của người dùng. Họ nên đổi các mật khẩu củamình ngay lập tức."

Trong email thông báocủa mình, CEO của LivingSocial, Tim O'Shaughnessy viết, "Chúng tôi đangđối mặt với một cuộc tấn công mạng trên hệ thống máy tính mà hậu quả là các dữliệu khách hàng đã bị tiếp cận một cách bất hợp pháp từ các máy chủ của côngty."

Ông khuyên các kháchhàng nên tạo mật khẩu mới. LivingSocial sau đó đã đặt lại mật khẩu của kháchhàng, tuy nhiên chỉ đối với những người bị tấn công hay toàn bộ khách hàng thìkhông rõ.

Một điều được coi là maymắn trong lần bị hack này là thông tin tài chính, bao gồm số thẻ tín dụng củangười bán và người mua dường như chưa bị tiếp cận bởi hacker. "Thông tinthẻ tín dụng được lưu trữ riêng là một điều tốt và tôi mừng là họ đã làmthế", Chris Wysopal, một chuyên gia bảo mật thông tin tại Veracode nóitrong cuộc phỏng vấn với CNET.

Còn rất nhiều câu hỏichưa được trả lời trong email của LivingSocial, bao gồm hai điều chính: phươngthức tấn công nào được dùng để tiếp cận cơ sở dữ liệu? Cuộc tấn công đã xảy racách đây bao lâu?

Về phương thức mà thôngtin bị lấy trộm, Wysopal nói nó có khả năng là cuộc tấn công sử dụng ứng dụngphần mềm chạy trên trình duyệt web để tiếp cận cơ sở dữ liệu SQL của trang."Nếu đó là một ứng dụng Web thì việc kiểm tra đã tốt hơn", ông nói.

"Có một sự thậttrong ngành bảo mật là," Wysopal nói." Nếu chúng ta biết nguồn gốccủa những cuộc tấn công này thì việc giúp các công ty cải thiện hệ thống anninh của họ sẽ dễ dàng hơn."

LivingSocial từ chốibình luận khi được yêu cầu thêm thông tin về cuộc tấn công. " Chúng tôi sẽkhông thảo luận thêm về thời gian và chi tiết của cuộc tấn công vì lý do cuộcđiều tra đang diễn ra".

LivingSocial chỉ là nạnnhân mới nhất trong một chuỗi các Website nổi tiếng bị tấn công cơ sở dữ liệukhách hàng. Trong vòng 18 tháng trước, Evernote, Zappos và Linkedln đều có dữliệu khách hàng bị xâm phạm.

Mặc dù thông thường trongcác cuộc tấn công như thế này thì không thể làm được gì, nhưng Wysopal đưa ramột số bước cơ bản để khách hàng có thể tự bảo vệ chính mình. Ông nói, vì thờiđiểm tấn công chưa biết rõ nên "có thể các hacker đã tiếp cận email củabạn, hãy kiểm tra nếu nó được đang nhập từ một nơi khác hay nó đã được chuyểncho một tài khoản khác."

"Nếu bạn đang dùngcùng một mật khẩu cho nhiều trang web khác nhau thì hãy đổi chúng. Hãy chùngcác ứng dụng quản lý mật khẩu như OnePass hay RoboForm, LastPass vàKeyPass"