Embed Size (px)
Citation preview
UBND TỈNH BẾN TRE
SỞ GIÁO DỤC VÀ ĐÀO TẠO
Số: /SGDĐT-KTQLCLGD&CNTT
V/v cảnh báo nguy cơ mất an toàn thông tin
từ phần mềm họp/dạy trực tuyến Zoom
CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
Bến Tre, ngày tháng 4 năm 2020
Kính gửi:
- Phòng Giáo dục và Đào tạo các huyện, thành phố;
- Các đơn vị trực thuộc Sở;
- Các Trung tâm GDNN-GDTX huyện, thành phố;
Thực hiện Công văn số 250/CATTT-VNCERT/CC ngày 14/4/2020 của Cục
An toàn thông tin, Bộ Thông tin và Truyền thông về việc cảnh báo nguy cơ mất
an toàn thông tin từ phần mềm họp trực tuyến Zoom;
Căn cứ Công văn số 575/STTTT-CNTT ngày 15/4/2020 của Sở Thông tin và
Truyền thông, tỉnh Bến Tre về việc cảnh báo nguy cơ mất an toàn thông tin từ phần
mềm họp trực tuyến Zoom;
Nhằm đảm bảo an toàn, an ninh thông tin mạng trong hoạt động của ngành
giáo dục và đào tạo, Sở Giáo dục và Đào tạo yêu cầu Phòng Giáo dục và Đào tạo,
các đơn vị trực thuộc Sở, các trường học trên địa bàn tỉnh thực hiện các nội dung
sau:
1. Không sử dụng phần mềm Zoom để tổ chức họp trực tuyến tại đơn vị mình;
2. Đối với các trường học sử dụng phần mềm Zoom phục vụ dạy trực tuyến
tiếp tục thực hiện theo Công văn số 708/SGD&ĐT-CTTT ngày 15/4/2020 của Sở
Giáo dục và Đào tạo về việc tăng cường công tác bảo đảm an toàn cho học sinh
trong quá trình học tập qua Internet. Các trường từng bước điều chỉnh, lựa chọn
phần mềm khác phù hợp để sử dụng thay thế phần mềm Zoom phục vụ dạy học
trực tuyến; khuyến khích lựa chọn các sản phẩm phần mềm do doanh nghiệp uy tín
trong nước sản xuất và đang được miễn phí trong mùa dịch Covid-19 do Bộ Giáo
dục và Đào tạo giới thiệu.
Đối với các trường học còn sử dụng phần mềm Zoom phục vụ dạy học trực
tuyến (vì cần có thời gian để chuyển đổi) thì lãnh đạo nhà trường tuyên truyền,
thông báo các vấn đề về bảo mật của phần mềm Zoom và yêu cầu giáo viên sử
dụng các giải pháp bảo mật (tham khảo phụ lục đính kèm) nhằm hạn chế các rủi ro
mất an toàn thông tin, ảnh hưởng đến chất lượng dạy học trực tuyến.
Nơi nhận: - Như trên;
- Giám đốc Sở (để báo cáo);
- Các Phó Giám đốc (để theo dõi);
- Các Phòng, Thanh tra Sở (để phối hợp);
- Website Sở GD&ĐT;
- Lưu: VT; KTQLCLGD&CNTT.
KT. GIÁM ĐỐC
PHÓ GIÁM ĐỐC
Bùi Minh Nhựt
PHỤ LỤC
Các vấn đề bảo mật khi sử dụng phần mềm Zoom dạy học trực tuyến
(Kèm theo Công văn số . . . . ngày . . . . tháng 04 năm 2020)
1/ Những lỗ hổng bảo mật của Zoom nằm ở đâu?
Cộng đồng người dùng, các kỹ sư và chuyên gia tìm thấy ít nhất 10 lỗ hổng bảo
mật trong trải nghiệm Zoom:
1. “Zoombombing”, tức bất cứ người nào có thể đột nhập vào meeting của bạn
miễn là họ có meeting ID và “thả bom” ảnh nhạy cảm, lấy nội dung hoặc phá phách
cuộc gọi. Những vị khách không mời này làm ảnh hưởng đến chất lượng phiên dạy
học trực tuyến.
2. Cửa sổ chat của Zoom không phân biệt được những trang web thường và
đường dẫn UNC (Universal Naming Convention), một loại đường dẫn cho phép
hacker lấy mật khẩu tài khoản Windows của người dùng.
3. Qua UNC, hacker cũng có thể cài phần mềm gián điệp hoặc virus vào máy
tính của người dùng.
4. Zoom gửi profile người dùng iOS tới Facebook khi người đó đăng nhập với
tài khoản Facebook.
5. Zoom không hoàn toàn mã hóa thông tin đầu cuối. Mục đích của mã hóa đầu
cuối (end-to-end) là để app không đọc được nội dung trao đổi giữa người dùng,
nhưng trên thực tế là Zoom vẫn đọc được vì chỉ mã hóa… một phần.
6. Zoom dùng những biện pháp kiểu hacker để tắt các cảnh báo bảo mật của
máy Mac.
7. Vì lỗi số 6, hacker dễ dàng lợi dụng Zoom để tiếp cận máy mà không gây
các báo động bảo mật. Hacker có thể bật webcam và mic của chiếc điện thoại hoặc
máy tính đó và bí mật theo dõi người dùng.
8. Zoom tự động gộp nội dung của tất cả những người dùng cùng đuôi email
vào một folder, mặc định là những người đó cùng công ty trong khi đó hoàn toàn
có thể là hai công ty khác nhau. Nếu một ngày bạn nhận ra meeting của công ty
mình toàn “người lạ” và họ có được ảnh lẫn email của mình, thì đó là lý do.
9. Zoom chia sẻ thông tin người dùng với marketer ngoài công ty, các luật sư
nhận định sau khi soi xét chính sách bảo mật của app này. Ngay sau khi bị chú ý,
Zoom nhanh chóng tẩy xóa chính sách bảo mật và khẳng định “chúng tôi không
bán thông tin của bạn”.
10. Ít nhất 15,000 cuộc hội thoại riêng tư của Zoom có thể được truy ra với một
công cụ tìm kiếm đặc thù. Tương tự, bạn có thể dùng một phần mềm khác để tra ra
đường dẫn của hàng loạt meeting đang mở. Trung tâm ứng cứu khẩn cấp không
gian mạng Việt Nam, Cục An toàn thông tin ghi nhận có hơn 500.000 tài khoản
Zoom đã bị lộ lọt thông tin cá nhân của người sử dụng, trong đó bao gồm email,
mật khẩu, đường dẫn URL các cuộc họp và mật khẩu kèm theo.
Một số lỗ hổng nêu trên đã được Zoom thông báo khắc phục, tuy nhiên cần có
sự kiểm chứng của các chuyên gia.
2/ Làm thế nào để bảo vệ cuộc gọi của mình trên Zoom?
Các chuyên gia khuyên người dùng thực hiện các điều sau đây khi dùng Zoom:
1. Không chia sẻ meeting number với bất cứ ai ngoài những người được mời;
không nên sử dụng ID cuộc meeting cá nhân, vì điều này có thể mở đường cho
hacker tấn công. Hãy chọn ID cuộc meeting bằng cách tạo ngẫu nhiên khi tạo phiên
họp mới.
2. Hạn chế ghi hình lại cuộc gọi. Nếu không có file ghi hình thì không có gì để
rò rỉ cả.
3. Nếu phải ghi hình, hãy đặt tên file khác chứ không để tên mặc định mà Zoom
đặt.
4. Đặt password cho phiên dạy học trực tuyến, chỉ chia sẻ password này với
những người được tham gia.
5. Đặt chế độ “screen sharing” về “Host Only”, thì những hacker kiểu
Zoombombing sẽ không thể phá hoại phiên dạy trực tuyến được.
6. Dùng tính năng “waiting room”, giáo viên duyệt những người tham dự trước
khi cho người học vào phiên học trực tuyến.
7. Dùng tính năng “virtual background” để che quang cảnh xung quanh mình
lại.
8. Khóa không cho người mới tham gia phiên dạy trực tuyến ngay sau khi đã
đủ người tham gia học.
9. Nếu nhận thấy ai đó đang có hành vi làm gián đoạn phiên học trực tuyến,
hãy loại họ ra và nếu cần thiết vô hiệu hóa không cho họ tham gia trở lại.
10. Chú ý tải các phần mềm cài đặt Zoom từ nguồn chính thống và thường
xuyên cập nhật phiên bản mới của phần mềm.
------------------
