Lỗi nghiêm trọng khiến game thủ có thể bị trộm sạch tài khoản tại quán net

Rogue Knight  - Theo Trí Thức Trẻ | 03/02/2016 07:15 PM

Gần đây một chủ quán net đã phát hiện ra lỗ hổng trong bảo mật của hệ thống phần mềm tính tiền CSM khiến cho game thủ có thể bị trộm sạch tài khoản.

Đối với những game thủ thường xuyên lui tới các quán net thì việc tạo lập tài khoản hội viên để hưởng một số ưu đãi như giảm giá, các chương trình khuyến mại... là điều hết sức quen thuộc. Chúng ta có thể nạp một lần thật nhiều tiền khi có khuyến mại, giảm giá để chơi tiếp trong những lần đến sau mà không phải mang thêm tiền.

Tuy nhiên, gần đây một chủ quán net đã chia sẻ trên diễn đàn Hội Quán Net rằng mình phát hiện ra lỗ hổng trong bảo mật của hệ thống phần mềm tính tiền CSM khiến cho game thủ có thể bị trộm sạch tài khoản bởi các nhân viên xấu tính mà cả chủ quán cũng như khách hàng đều không thể phát hiện và xử lý được vì mật khẩu vẫn được giữ nguyên, các file lưu trữ từ hệ thống cũng khó phát hiện được.


(Ảnh minh hoạ).

(Ảnh minh hoạ).

Cụ thể, lỗi bảo mật này được khai thác như sau: khi các game thủ chơi xong, đôi lúc không ấn thoát tài khoản mà bấm nút nguồn, tắt máy về để không bị tình trạng người khác đến sau đăng nhập vào và vẫn có thể vào được các tài khoản lưu trên web như facebook, mail... Khi đó, nếu như nhân viên trông quán chọn chức năng đổi máy trạm sang PC khác thì tài khoản của người đó sẽ được sử dụng ngay lập tức mà không cần phải nhập lại mật khẩu.

Như vậy, tài khoản của khách hàng có thể được sử dụng tiếp một cách dễ dàng mà không cần phải trích xuất cơ sở dữ liệu, cũng không cần đổi mật khẩu, và gần như không thể xác thực được vị khách đó có thực sự ngồi chơi ở máy khác không hay đã bị nhân viên trông quán 'chôm chỉa'.

"Mình làm ví dụ cho xem nhé.

1. Mình tạo 1 tài khoản tên la TOP, nạp vào 50k.

2. Mở máy 27 lên chơi. Chơi 1 lúc xong mình bấm nút nguồn tắt máy, và về. Cái này thì hội viên ở quán mình hay chơi xong tắt máy đi về. Rồi hôm sau ra báo mất tiền.

3. Mình mở 1 máy bất kỳ lên trạng thái available.

4. Mình để trỏ chuột vào máy 27, click phải lên, chọn đổi máy trạm, và đổi đến máy available để chơi.

5. Xem kết quả như hình, và người khác có thể chơi free trên tài khoản khách hồi nãy.

6. Kết quả là hôm sau khách đó ra chửi inh ởi bảo quán làm ăn bố láo, không chơi mà mất tiền, oan cho chủ không nhỉ".

Thực sự đây là vấn đề hết sức đáng quan ngại bởi chỉ duy nhất chủ quán là người chịu thiệt:

"Đôi lời chia sẽ thêm: Một số bạn sao bảo không coi lại nhật ký người dùng để phạt nhân viên:

- Xin thưa, nhật ký người dùng lưu thời gian sử dụng đầy đủ, chứng tỏ quán không gian. Nhưng làm sao biết khách chơi hay nhân viên mình cho khách khác chơi?

- Về máy tính tiền vẫn trừ đúng và đủ thời gian sử dụng của tài khoản hội viên. Tuy nhiên Nhân viên không thay mật khẩu j cả nên xem trên nhật ký cũng không có dòng này.

- Và cuối cùng là tài khoản hội viên mất tiền vô cớ (ở đây hiểu là có người khác được lợi, chỉ chuyển tiền từ người này sang người khác, chứ chủ quán ko mất mát gì cả. Vì phần mềm trừ đúng theo thời gian sử dụng) Cái mất ở đây là thằng hội viên mất tiền, nên nó sẽ đánh giá rằng:

+ Quán sử dụng keylog để xem mật khẩu khách hàng => Quán không làm ăn được, ai tin nữa mà đến đây chơi. sợ mất tài khoản.

+ Quán lừa đảo khách hàng.

...và nhiều cái hệ lụy khác mà do phần mềm này gây ra.


Lỗi này có thể khiến khách hàng tẩy chay quán net vì mất tiền không rõ nguyên nhân (Ảnh minh hoạ).

Lỗi này có thể khiến khách hàng tẩy chay quán net vì mất tiền không rõ nguyên nhân (Ảnh minh hoạ).

Còn về phía nhân viên:

- Bạn nói nó gian sao? không đúng, vì nó sử dụng phần mềm theo chức năng chủ quán không cấm. (cái này không có trong phân quyền nhân viên) nên không thể nói nó là lỗi.

- Nó không can thiệp vào MY SQL, Data, hay bất kỳ hệ thống nào ==> Không phải lỗi nhân viên.

- Nhật ký không lưu bất cứ cái gì chứng tỏ nhân viên đó làm.

Bấy nhiêu thôi, làm sao kết tội nhân viên, chỉ tội mang tiếng oan cho chủ phòng máy, khách từ bỏ đi mà không dám quay lại".

Hiện tại, phía đơn vị chủ quản phát hành phần mềm quản lý CSM là VNG đã đưa ra bản vá khắc phục lỗi này trên phiên bản mới nhất 5.6.2 (không hỗ trợ các phiên bản cũ) và yêu cầu mọi phòng máy nên update phần mềm và tiến hành cài đặt bản vá để tránh gặp phải những rắc rối vì lỗ hổng trên.

Lo cho sức khỏe của khách, chủ quán net quyết tâm cấm hút thuốc