Server X nằm ở Việt Nam hay nước ngoài?
Trang GenK có đăng bài viết trong đó có một câu ở đoạn đầu là:Dựa trên những gì blogger này chia sẻ, lỗ hổng này đến từ một server được tạm gọi là "server X", chưa rõ đây là một dịch vụ của Việt Nam hay nước ngoài.
Tớ xin khẳng định đây là dữ liệu từ server của một trang web Việt Nam.
Những dữ liệu nào có thể bị rò rỉ?
Thông tin cá nhân người dùng bao gồm:
- Họ và tên
- Giới tính
- Ngày/tháng/năm sinh
- Số CMND (chứng minh nhân dân)
- Số điện thoại
- Địa chỉ Email
- Địa chỉ cá nhân (số nhà, phường, xã, huyện, tỉnh, thành phố...)
- ... (còn nhiều thông tin khác có thể có giá trị)
Bạn sẽ gặp chuyện gì nếu bị lộ những thông tin trên?
Phân tích theo từng thông tin thu được:
- Họ và tên, giới tính, ngày/tháng/năm sinh, CMND và địa chỉ cá nhân có thể được các hacker sử dụng cho các cuộc tấn công bằng kỹ thuật Social Engineering hoặc trả lời câu hỏi bảo mật. Ngoài ra những dữ liệu này có thể dùng để tạo (generate) ra danh sách mật khẩu nhắm vào người dùng Việt Nam.
- Số điện thoại có thể sử dụng để phát tán tin nhắn rác, spam, quảng cáo,... Các cháu "có ông chú ở Viettel" thích điều này!
- Địa chỉ Email có thể sử dụng vào các chiến dịch Email Marketing (tiếp thị, quảng cáo thông qua Email). Dân SEOer thích điều này!
Ngoài ra thì...
Tại sao tớ chưa công khai danh tính của X?
Bạn nào là độc giả thường xuyên của Juno_okyo's Blog thì chắc đã đọc qua một số bài write-up về lỗ hổng bảo mật trên SinhVienIT, Phimmoi, VietDesigner. Điểm chung của những bài viết này là gì? Đó là các trang này đều đã vá lỗi trước khi tớ công bố chi tiết lên Blog cá nhân. Đây không chỉ là nguyên tắc của tớ, mà còn của nhiều anh em white-hat, bug hunter khác.
Chừng nào X chưa phản hồi báo cáo của tớ và khắc phục lỗ hổng thì các bài viết chi tiết sẽ được giữ ở trạng thái "bản nháp".
Làm sao để biết bạn có nằm trong số 3 triệu đó không?
Bạn có thể kiểm tra ngay bằng cách truy cập tại đây.
Nó hoạt động như thế nào?
Trang này sử dụng API của chính server X để kiểm tra xem địa chỉ Email đã tồn tại trong Cơ sở dữ liệu hay chưa. Nó được sử dụng trong module đăng ký tài khoản mới.
Liệu trang kiểm tra ở trên có lưu email của tôi hay không?
Tớ có đọc được một số bình luận trên Facebook và Voz thắc mắc về việc liệu "tớ có lưu email đó để spam hay không"? Và câu trả lời là KHÔNG. Câu hỏi này cũng liên quan tới niềm tin, bạn không tin tưởng thì bạn có quyền không nhập email vào trang đó, nó không phải là một việc tớ có thể ép buộc!
Có lẽ vì GenK nói tớ là "Bloggger bảo mật" nên các bạn quên mất (hoặc chưa biết) rằng tớ còn là developer. Nếu muốn có email để đi spam thì dev không chơi cái trò tạo Form thu thập email đơn giản như vậy, nó không hiệu quả. Dân dev thứ thiệt sẽ "chơi" như này: