An ninh trong Octo: Ví dụ về mối đe dọa thực sự và Các phương pháp bảo vệ tốt nhất

Các mối đe dọa hiện có: một trường hợp thực tế

Không lâu trước đây, một số người dùng đã liên hệ với chúng tôi về một trường hợp rõ ràng cho thấy một số vấn đề cấu hình bảo mật có thể dẫn đến mất kiểm soát các hồ sơ.

Kẻ tấn công đã đăng nhập vào một số tài khoản người dùng Octo và truy cập vào hồ sơ của họ. Trong quá trình điều tra, chúng tôi phát hiện ra rằng:

• các tài khoản đã được đăng nhập ngay từ lần đầu tiên, nghĩa là kẻ tấn công đã biết mật khẩu;

• không có người dùng bị ảnh hưởng nào bật xác thực hai yếu tố (2FA);

• dữ liệu của người dùng bị ảnh hưởng có trong các lỗ hổng từ các trang web đặc thù, điều này có thể đã giúp kẻ tấn công xác định tài khoản nào để nhắm đến.

Khả năng kẻ tấn công lấy được mật khẩu từ cơ sở dữ liệu Octo là không có, vì chúng tôi không lưu trữ mật khẩu ở dạng văn bản thuần túy. Dữ liệu này được mã hóa và ngay cả đội ngũ Octo cũng không có quyền truy cập. Khả năng giải mã thông tin đăng nhập cũng bị loại trừ, vì hệ thống bảo mật của Octo phát hiện hoạt động đáng ngờ và đặt lại mật khẩu cho những người dùng có nguy cơ. Việc tấn công thông qua dữ liệu bị lộ trước đây từ một dịch vụ bên thứ ba cũng được coi là khó xảy ra, vì một trong những người dùng bị ảnh hưởng đã đổi mật khẩu sau khi lỗ hổng được phát hiện.

Công cụ có khả năng cao nhất mà kẻ tấn công sử dụng để có quyền truy cập vào tài khoản là chương trình đánh cắp. Các chương trình phần mềm độc hại như vậy được cài đặt trên thiết bị của người dùng và đánh cắp thông tin đăng nhập cho các dịch vụ khác nhau.

Kết luận: cách hiệu quả nhất để bảo vệ dữ liệu của bạn là bật xác thực hai yếu tố. Nó giảm đáng kể nguy cơ vi phạm bảo mật, bao gồm các cuộc tấn công thực hiện bằng phần mềm đánh cắp. Điều này áp dụng không chỉ cho Octo, mà còn cho bất kỳ dịch vụ nào khác.

Đội ngũ Octo không thể bảo vệ thiết bị của người dùng khỏi phần mềm đánh cắp. Tuy nhiên, ở cấp độ kiến trúc dịch vụ và các tùy chọn bảo mật có sẵn, chúng tôi đã thiết lập các biện pháp bảo vệ chống lại tất cả các vectơ tấn công có thể. Tuy nhiên, như trường hợp trên cho thấy, điều này có thể không đủ. Hãy phân tích những gì đã được thực hiện từ phía Octo và nơi bạn cần sự tham gia trực tiếp.

Những gì chúng tôi đã làm để bảo vệ hồ sơ của bạn

• Chúng tôi đảm bảo lưu trữ dữ liệu an toàn. Chúng tôi sử dụng mã hóa AES-256, một trong những tiêu chuẩn mã hóa an toàn nhất, được các cơ quan chính phủ, tổ chức tài chính, ngân hàng và các công ty lớn sử dụng.

• Chúng tôi mã hóa dữ liệu hồ sơ bằng nhiều thành phần: một khóa bí mật, một khóa cơ sở dữ liệu duy nhất và một khóa người dùng nếu hồ sơ được bảo vệ bằng mật khẩu. Nếu kẻ tấn công không có quyền truy cập vào ngay cả một trong những thành phần này, việc giải mã hồ sơ là không thể.

• Chúng tôi thực hiện bảo vệ chống giải mã mật khẩu tàn bạo. Nếu có mối đe dọa, chúng tôi sẽ đặt lại mật khẩu người dùng.

• Chúng tôi liên tục cải thiện bảo vệ dữ liệu như một phần của các bản cập nhật định kỳ, ví dụ như chuyển sang các phương pháp mã hóa tiên tiến hơn và thêm các quy trình giám sát sự kiện bảo mật mới.

Những gì bạn nên làm trước tiên

• Bật xác thực hai yếu tố. Bước đơn giản này sẽ bảo vệ bạn khỏi hầu hết các mối đe dọa phổ biến. Đồng thời hãy đảm bảo lưu trữ mã dự phòng 2FA ở nơi an toàn trong trường hợp bạn mất quyền truy cập vào thiết bị liên kết với 2FA.

• Đảm bảo quyền truy cập đảm bảo vào địa chỉ email được sử dụng để đăng ký tài khoản Octo của bạn. Chỉ qua email này bạn mới có thể thay đổi mật khẩu trong trường hợp bắt buộc đặt lại mật khẩu.

Những gì khác bạn có thể làm để tăng cường bảo mật tài khoản của mình

• Sử dụng mật khẩu độc nhất và phức tạp. Điều này không bảo vệ bạn khỏi phần mềm đánh cắp tự nó, nhưng nó là một khởi đầu tốt.

• Kiểm tra xem dữ liệu của bạn có bị lộ trong các lỗ hổng không. Khả năng cao là có. Tình huống nguy hiểm nhất là khi lỗ hổng đến từ một nguồn tài nguyên đặc thù mà người dùng có khả năng cao sử dụng trình duyệt chống phát hiện. Trong trường hợp đó, kẻ tấn công có mọi thứ cần thiết để chọn bạn làm mục tiêu ưu tiên và cố gắng truy cập vào hồ sơ của bạn bằng dữ liệu bị đánh cắp.

• Đặt mật khẩu cho các hồ sơ quan trọng nhất của bạn. Nếu bạn có hồ sơ cho phép rút quỹ, tốt nhất hãy bảo vệ chúng bằng một mật khẩu bổ sung. Octo thuận tiện cung cấp khả năng này. Không ai ngoài bạn biết mật khẩu này. Điều này có nghĩa là kẻ tấn công sẽ không thể truy cập vào hồ sơ ngay cả khi họ đánh cắp thiết bị của bạn. Hồ sơ như vậy cũng không thể được chuyển sang tài khoản Octo khác. Tuy nhiên, hãy cẩn thận: nếu bạn quên hoặc mất mật khẩu hồ sơ, nó không thể được khôi phục.

• Cấu hình quyền truy cập trong nhóm của bạn. Yếu tố con người là nguyên nhân chính của nhiều vấn đề khác nhau, không chỉ những vấn đề liên quan đến bảo mật của Octo. Bạn có thể cấu hình quyền truy cập hồ sơ cho các thành viên nhóm khác nhau bằng thẻ. Nếu bạn cần thu hồi quyền truy cập của thành viên nhóm vào một số hồ sơ nhất định, bạn có thể dễ dàng thực hiện trong cài đặt tài khoản của bạn trong phần “Nhóm”. Chủ nhóm có thể hoàn toàn xóa tài khoản của thành viên nhóm.