Skip to main content

Tản mạn về X, dữ liệu rò rỉ và những câu hỏi liên quan

Tối qua tớ có đăng bài thông báo/cảnh báo trên page Juno_okyo về vụ "3 triệu thông tin cá nhân người dùng" mà tớ từng thông báo trước đó vào đầu tháng 9. Sau đó nhận lại được khá nhiều phản hồi sau khi một số trang báo và diễn đàn công nghệ viết bài chia sẻ lại. Trong bài viết này tớ sẽ trả lời một số câu hỏi tớ đọc được mà có thể bạn sẽ cùng chung thắc mắc.

Server X nằm ở Việt Nam hay nước ngoài?

Trang GenK có đăng bài viết trong đó có một câu ở đoạn đầu là:

Dựa trên những gì blogger này chia sẻ, lỗ hổng này đến từ một server được tạm gọi là "server X", chưa rõ đây là một dịch vụ của Việt Nam hay nước ngoài.

Tớ xin khẳng định đây là dữ liệu từ server của một trang web Việt Nam.

Những dữ liệu nào có thể bị rò rỉ?


Thông tin cá nhân người dùng bao gồm:

  • Họ và tên
  • Giới tính
  • Ngày/tháng/năm sinh
  • Số CMND (chứng minh nhân dân)
  • Số điện thoại
  • Địa chỉ Email
  • Địa chỉ cá nhân (số nhà, phường, xã, huyện, tỉnh, thành phố...)
  • ... (còn nhiều thông tin khác có thể có giá trị)

Bạn sẽ gặp chuyện gì nếu bị lộ những thông tin trên?


Phân tích theo từng thông tin thu được:

  • Họ và tên, giới tính, ngày/tháng/năm sinh, CMND và địa chỉ cá nhân có thể được các hacker sử dụng cho các cuộc tấn công bằng kỹ thuật Social Engineering hoặc trả lời câu hỏi bảo mật. Ngoài ra những dữ liệu này có thể dùng để tạo (generate) ra danh sách mật khẩu nhắm vào người dùng Việt Nam.
  • Số điện thoại có thể sử dụng để phát tán tin nhắn rác, spam, quảng cáo,... Các cháu "có ông chú ở Viettel" thích điều này!
  • Địa chỉ Email có thể sử dụng vào các chiến dịch Email Marketing (tiếp thị, quảng cáo thông qua Email). Dân SEOer thích điều này!

Ngoài ra thì...

ro-ri-3-trieu-du-lieu-ca-nhan

Tại sao tớ chưa công khai danh tính của X?


Bạn nào là độc giả thường xuyên của Juno_okyo's Blog thì chắc đã đọc qua một số bài write-up về lỗ hổng bảo mật trên SinhVienIT, Phimmoi, VietDesigner. Điểm chung của những bài viết này là gì? Đó là các trang này đều đã vá lỗi trước khi tớ công bố chi tiết lên Blog cá nhân. Đây không chỉ là nguyên tắc của tớ, mà còn của nhiều anh em white-hat, bug hunter khác.
nguyen-tac-bao-cao-lo-hong-bao-mat

Chừng nào X chưa phản hồi báo cáo của tớ và khắc phục lỗ hổng thì các bài viết chi tiết sẽ được giữ ở trạng thái "bản nháp".

Làm sao để biết bạn có nằm trong số 3 triệu đó không?


Bạn có thể kiểm tra ngay bằng cách truy cập tại đây.

Nó hoạt động như thế nào?

Trang này sử dụng API của chính server X để kiểm tra xem địa chỉ Email đã tồn tại trong Cơ sở dữ liệu hay chưa. Nó được sử dụng trong module đăng ký tài khoản mới.

Liệu trang kiểm tra ở trên có lưu email của tôi hay không?


Tớ có đọc được một số bình luận trên Facebook và Voz thắc mắc về việc liệu "tớ có lưu email đó để spam hay không"? Và câu trả lời là KHÔNG. Câu hỏi này cũng liên quan tới niềm tin, bạn không tin tưởng thì bạn có quyền không nhập email vào trang đó, nó không phải là một việc tớ có thể ép buộc!

Có lẽ vì GenK nói tớ là "Bloggger bảo mật" nên các bạn quên mất (hoặc chưa biết) rằng tớ còn là developer. Nếu muốn có email để đi spam thì dev không chơi cái trò tạo Form thu thập email đơn giản như vậy, nó không hiệu quả. Dân dev thứ thiệt sẽ "chơi" như này:

script-quet-so-dien-thoai-hang-loat

Mượn hình trên của anh Phúc (xnohat), đây là đoạn code PHP anh ý viết để thu thập hàng loạt số điện thoại từ Internet. Tớ có thể code một script tương tự để quét hàng loạt địa chỉ Email, nếu treo trên VPS thì mỗi ngày có thể quét ra hàng trăm, hàng ngàn, hàng triệu địa chỉ Email từ mọi trang mà crawler có thể quét tới. Rõ ràng nó hiệu quả (và chuyên nghiệp) hơn rất nhiều so với trò dụ dỗ người dùng nhập địa chỉ Email vào Form :).
quet-hang-loat-dia-chi-email

Share this with your friends
Loading...