Minds không mã hóa nội dung chat
Trong bài trước tôi có nói Minds mã hóa nội dung chat, nhưng lưu chìa khóa giải mã trên máy chủ. Chìa khóa giải mã được bảo vệ bằng mật khẩu của người dùng, nhưng mật khẩu này máy chủ biết. Nói cách khác, máy chủ Minds hoàn toàn có thể giải mã nội dung chat.
Tôi nhớ ra tôi chỉ mới xem mã nguồn app của Minds trên điện thoại, chưa xem phiên bản web ở địa chỉ https://minds.com. Tôi xem thì phát hiện phiên bản này không mã hóa nội dung chat. Nói cách khác, máy chủ Minds không cần làm gì cũng có thể xem được nội dung chat.
Nếu bạn sử dụng Minds, không nên gửi những nội dung nhạy cảm qua chat.
Tôi đã từng nghĩ Minds muốn bảo vệ riêng tư của người dùng, chỉ là họ không biết làm sao. Để giúp đỡ họ, tôi thông báo những lỗ hổng này cho Minds và đề nghị họ phải gỡ bỏ quảng cáo về "end-to-end encryption", cảnh báo người dùng về điểm yếu trong dịch vụ của họ và ngay lập tức tiến hành sửa lỗi.
Nhưng tôi đã lầm. Minds không gỡ bỏ quảng cáo, không cảnh báo người dùng và cũng không có động thái gì cho thấy họ sẽ sửa lỗi. Trong bài phỏng vấn với Luật Khoa, thậm chí họ còn nói về zero-knowledge proof. Họ muốn gây ấn tượng với người dùng Việt Nam bằng cách sử dụng nhiều thuật ngữ mà bản thân họ không hiểu gì cả. Nếu đây không phải là lừa đảo thì tôi cũng không biết gọi là gì.
Trả lời Phản hồi qua Đài Châu Á Tự Do, CEO Bill Ottman nói rằng Minds không làm ICO. Đây lại là một lời nói dối trắng trợn. Thư giới thiệu Minds token nhắc đến từ purchase 25 lần. Mục tiêu của lá thư này là thuyết phục nhà đầu tư mua Minds token. Nếu đây không phải là ICO tôi cũng không biết gọi là nó gì.
Đính chính: Đài Châu Á Tự Do không phỏng vấn Bill Ottman mà ông Bill chủ động gửi phản hồi. "Bill Ottman có liên lạc vào xin 1 cuộc nói chuyện với Cát Linh, nhưng tôi từ chối. It's enough stage for Bill", phóng viên Cát Linh cho tôi biết qua email.
Lỗ hổng mã hóa tin nhắn có thể sửa, dịch vụ chưa an toàn có thể làm cho an toàn, nhưng cách hành xử của Minds mới đáng suy nghĩ. Bill Ottman nói rằng họ mong muốn mọi người giúp công ty phát triển theo hướng tốt nhất. Muốn như vậy, trước nhất họ phải trung thực và minh bạch. Cho đến nay tôi chỉ thấy Minds nói dối và mờ ám. Đây có thể là lý do mà dự án của Minds trên GitHub chẳng có mấy lập trình viên đóng góp, chả bù với Mastodon.
Tôi còn một bài phỏng vấn về Minds, nhưng tôi hi vọng đây là lần cuối tôi viết về dịch vụ này. Nó không xứng đáng để tôi dành thêm thời gian. Những người đấu tranh cho tự do là những người hay hoài nghi. Tôi tin Minds không dễ gì lừa được họ, nên rồi Minds cũng sẽ tự chết thôi, không cần phải nói thêm về nó nữa.
Tôi nhớ ra tôi chỉ mới xem mã nguồn app của Minds trên điện thoại, chưa xem phiên bản web ở địa chỉ https://minds.com. Tôi xem thì phát hiện phiên bản này không mã hóa nội dung chat. Nói cách khác, máy chủ Minds không cần làm gì cũng có thể xem được nội dung chat.
Nếu bạn sử dụng Minds, không nên gửi những nội dung nhạy cảm qua chat.
Tôi đã từng nghĩ Minds muốn bảo vệ riêng tư của người dùng, chỉ là họ không biết làm sao. Để giúp đỡ họ, tôi thông báo những lỗ hổng này cho Minds và đề nghị họ phải gỡ bỏ quảng cáo về "end-to-end encryption", cảnh báo người dùng về điểm yếu trong dịch vụ của họ và ngay lập tức tiến hành sửa lỗi.
Nhưng tôi đã lầm. Minds không gỡ bỏ quảng cáo, không cảnh báo người dùng và cũng không có động thái gì cho thấy họ sẽ sửa lỗi. Trong bài phỏng vấn với Luật Khoa, thậm chí họ còn nói về zero-knowledge proof. Họ muốn gây ấn tượng với người dùng Việt Nam bằng cách sử dụng nhiều thuật ngữ mà bản thân họ không hiểu gì cả. Nếu đây không phải là lừa đảo thì tôi cũng không biết gọi là gì.
Đính chính: Đài Châu Á Tự Do không phỏng vấn Bill Ottman mà ông Bill chủ động gửi phản hồi. "Bill Ottman có liên lạc vào xin 1 cuộc nói chuyện với Cát Linh, nhưng tôi từ chối. It's enough stage for Bill", phóng viên Cát Linh cho tôi biết qua email.
Lỗ hổng mã hóa tin nhắn có thể sửa, dịch vụ chưa an toàn có thể làm cho an toàn, nhưng cách hành xử của Minds mới đáng suy nghĩ. Bill Ottman nói rằng họ mong muốn mọi người giúp công ty phát triển theo hướng tốt nhất. Muốn như vậy, trước nhất họ phải trung thực và minh bạch. Cho đến nay tôi chỉ thấy Minds nói dối và mờ ám. Đây có thể là lý do mà dự án của Minds trên GitHub chẳng có mấy lập trình viên đóng góp, chả bù với Mastodon.
Tôi còn một bài phỏng vấn về Minds, nhưng tôi hi vọng đây là lần cuối tôi viết về dịch vụ này. Nó không xứng đáng để tôi dành thêm thời gian. Những người đấu tranh cho tự do là những người hay hoài nghi. Tôi tin Minds không dễ gì lừa được họ, nên rồi Minds cũng sẽ tự chết thôi, không cần phải nói thêm về nó nữa.
Comments
Can we move this discussion to https://github.com/Minds/mobile-native/issues/9? It's the bug that I filed before being told to email security@minds.com.
https://twitter.com/Condor_Law/status/966494575618437120
Anh có thể coi một bài phỏng vấn về Livenguide trên Việt Nam Thời Báo ở đây: https://www.facebook.com/letrungtinh/posts/10214622061559690?__xts__[0]=68.ARAWBoIq1ifs7PqhoOVYcq_PicvP7y_DvMKnUhgXP01-0Nf4T4kMc4Jji4nkSUSK_PQHHIfAIk_-Flf28JXNYJny_pzIRDk4Kcb9N02QCXMk1p-BUydiypsJg0Tp8cc6jqA2gNk&__tn__=-R
Mời anh nếu được bớt chút thời gian đọc bài phỏng vấn, có thể sử dụng thử Livenguide và góp ý giúp chúng tôi. Nếu anh thấy thú vị thì chúng ta có thể trao đổi thêm và làm cùng thì rất tốt. Tôi rất quý trọng những bài viết, đóng góp và trăn trở của anh giành cho Việt Nam.
Rất mong được trao đổi thêm với anh trên email: letrungtinh@gmail.com
Cảm ơn anh và chúc anh và gia đình vui khỏe.
Lê Trung Tĩnh