Posts

Showing posts from 2021

Lỗ hổng của Sổ sức khỏe điện tử

Cập nhật: xem thêm một số chi tiết kỹ thuật . Tôi không có thời gian viết chi tiết, nên chỉ công bố email mà tôi chia sẻ với Bộ TTTT, Bộ Y Tế và Viettel. Xin được lọc bỏ tên và email của những người đã trực tiếp liên hệ để đảm bảo riêng tư. Tất cả các lỗ hổng đã biết đều đã được sửa. Team SSKĐT còn đang cân nhắc một số giải pháp bảo vệ riêng tư cho người dùng tốt hơn tôi mong đợi. Dẫu vậy đề nghị đưa mã nguồn lên GitHub của tôi chưa được thực hiện. --- On Mon, Oct 4, 2021 at 3:40 AM <đã lọc bỏ> wrote: <đã lọc bỏ> gửi lại từ GMAIL Dear Thái, Sáng nay, anh Long Bộ trưởng Y tế có chuyển <đã lọc bỏ> các thông tin liên quan đến ý kiến của Thái. Rất mong Thái có thêm ý kiến chi tiết về mặt kỹ thuật để anh em có thể nhanh chóng khắc phục các điểm yếu nếu có. <Đã lọc bỏ> CC kèm trong email này <đã lọc bỏ> Viettel và các anh em Cục CNTT Bộ Y tế để cũng tham gia luôn. <đã lọc bỏ> sẽ giúp trao đổi và follow cụ thể về mặt kỹ thuật. Cảm ơn Thái nhé! --- From: ⛷ T

Chiến dịch gây quỹ chống COVID của VietBay đã quyên được hơn 800 nghìn USD

Image
Với tình hình dịch bệnh đang dần được kiểm soát ở Sài Gòn, Bình Dương và các vùng lân cận, chúng tôi xin kết thúc chiến dịch gây quỹ “ Hỗ trợ người Việt Nam đang gặp khó khăn do Covid-19 ". Từ mục tiêu ban đầu 24,000 USD, tính tới ngày 30 tháng 9 chiến dịch gây quỹ đã nhận được 699.135,43 USD và 466.751.456 VND bao gồm đóng góp và cam kết đóng góp cho các dự án chính và 104.255,5 USD đóng góp cho các dự án theo chỉ định của nhà hảo tâm. Chúng tôi đã giải ngân được hơn 740.000 USD và sẽ tiếp tục giải ngân phần còn lại trong những ngày sắp tới. Do phải mất 4 đến 6 tuần để nhận được đóng góp qua Facebook cũng như các công ty quản lý đóng góp từ thiện, chúng tôi sẽ cập nhật thành quả cuối cùng của chiến dịch vào cuối tháng 11. Cho các dự án đang tiếp diễn, chúng tôi sẽ cập nhật thường xuyên khi có kết quả. Xem theo dõi thông tin trên trang Facebook của VietBay:  https://www.facebook.com/VietBayArea.USA/ . Chúng tôi sẽ mãi không quên tấm lòng của những nhà hảo tâm, các đối tác và tình

Câu hỏi thường gặp về vụ lộ dữ liệu Sổ sức khỏe điện tử

Dữ liệu của tôi có bị lộ hay không? Nếu bạn tiêm vaccine COVID ở Việt Nam, khả năng cao là dữ liệu bạn khai báo để được tiêm sẽ được đưa vào Sổ sức khỏe điện tử. Tùy thuộc vào địa điểm tiêm, dữ liệu bao gồm tên, ngày tháng năm sinh, địa chỉ nhà, nơi làm việc, số điện thoại, số chứng minh thư, số bảo hiểm y tế, số bảo hiểm xã hội… Hệ thống có lưu thông tin hộ gia đình, từ đó có thể biết được ai sống cùng một nhà và mối quan hệ gia đình. Hệ thống này còn lưu trữ cả hồ sơ bệnh án, nhưng tôi không rõ nếu chỉ tiêm vaccine COVID thì có phải khai báo gì không. Kẻ xấu lợi dụng lỗ hổng sẽ có thể tìm kiếm và tải về tất cả thông tin kể trên. Tôi không có bằng chứng có ai đó đã làm như vậy. Để xác nhận 100%, phải có một cuộc điều tra độc lập. Tôi không nghĩ người ta sẽ làm vậy, trừ khi Quốc hội và Chính phủ vào cuộc. Tôi cần phải làm gì để tự bảo vệ? Thật sự tôi không có giải pháp nào cả. Dữ liệu danh tính là dữ liệu trọn đời, mất rồi không thể nào lấy lại được. Nếu kẻ xấu lấy được thông tin này,

Thư ngỏ gửi Thủ tướng Phạm Minh Chính về việc thay đổi tư duy làm app chống dịch

Kính gửi Thủ tướng Phạm Minh Chính, Tôi là Dương Ngọc Thái, kỹ sư an ninh mạng đang làm việc ở Google, Hoa Kỳ. Tôi viết thư này để thông báo cho Thủ tướng biết một số lỗ hổng nghiêm trọng của hệ thống Sổ sức khỏe điện tử. Đây là hệ thống do Bộ Y tế quản lý và cho đến thời điểm này có chứa thông tin cá nhân và sức khỏe của gần 25 triệu người Việt Nam, bao gồm cả đại biểu Quốc hội và lãnh đạo các cấp. Con số có thể không dừng ở 25 triệu người, vì toàn bộ những người đã tiêm vaccine Covid-19 đều sẽ có thông tin trên hệ thống này. Thông tin bị lộ bao gồm: tên, địa chỉ, số chứng minh nhân dân, số điện thoại, nơi làm việc, một số người có số bảo hiểm y tế thì có thể truy ra tình trạng và lịch sử bệnh tật; từ địa chỉ hoặc dữ liệu hộ khẩu có thể truy ra thông tin về người thân trong gia đình. Đây là các thông tin nhân thân nhạy cảm, có thể bị lợi dụng để lừa đảo hoặc thậm chí xâm hại an ninh quốc gia. Để làm bằng chứng về mối nguy hại, tôi đính kèm một số thông tin cơ bản của 298 Đại biểu Quốc

Cảnh báo: lỗ hổng lộ thông tin gần 25 triệu người đã tiêm vaccine ở Việt Nam

Sau khi tôi nói về tư duy làm app quốc dân , một đồng bọn nhắn tin kêu tôi vô coi hệ thống Sổ sức khỏe điện tử, "chắc nó nát lắm". Hệ thống này do Bộ Y tế quản lý và Viettel thực hiện. Thú thật, sau khi báo lỗi và góp ý về Bluezone tôi cũng thấy ngán làm việc với các team quốc doanh. Nhưng số trời hay sao đó, ba tôi đủ tiêu chuẩn nhưng chưa được cấp thẻ xanh, thẻ vàng Covid. Thế là tôi phải vô coi Sổ sức khỏe điện tử (SSKĐT) cấp thẻ thế nào. Vô coi thì tôi thấy Sổ sức khỏe điện tử có nhiều lỗ hổng bảo mật sơ đẳng, làm lộ thông tin cá nhân và dữ liệu sức khỏe của gần 25 triệu người Việt Nam và người nước ngoài đang sống ở Việt Nam, bao gồm cả đại biểu Quốc hội và lãnh đạo các cấp. Nói chung, nếu bạn từng tiêm vaccine ở Việt Nam, thông tin của bạn nhiều khả năng đã được lưu trữ trong hệ thống này, bất kể bạn đã cài app hay chưa. Thông tin bị lộ bao gồm: tên, địa chỉ, số chứng minh nhân dân, số điện thoại, nơi làm việc, một số người có số bảo hiểm y tế thì có thể truy ra tình

Quyền được gãi ngứa

(Một phiên bản của bài này đã đăng trên VNExpress ) Làm công nghệ gần hai mươi năm, vậy mà tôi phải vã mồ hôi mới đăng ký được cho ba tôi tiêm vaccine trên Cổng tiêm chủng quốc gia. Ba tôi đã lớn tuổi, biết xài điện thoại thông minh, tuy không thạo lắm. Ông không tự đăng ký được nên tôi phải giúp. Đó là đầu tháng tám vừa qua. Tôi điền thông tin xong, thấy cũng thuận tiện, nhưng sau đó Cổng tiêm chủng yêu cầu "xác nhận số điện thoại". Họ gửi về điện thoại của ba tôi một mã số, phải nhập đúng mã số đó mới được đăng ký. Tôi gọi điện từ nước ngoài về, hỏi mã số để nhập lên cổng. Ông ngơ ngác: "Mã gì con?". Tôi ngớ người, hóa ra ba tôi chưa từng nhập mã OTP để giao dịch trực tuyến. Tôi giải thích một hồi, nhấn nút "gửi lại mã" mấy lần, máy của ông vẫn không nhận được. Mỗi lần gửi mã số mới, hệ thống chỉ chờ hai phút thôi, chậm hơn là phải làm lại. Cuối cùng, tôi quyết định cứ đăng ký bằng số khác, thầm nhủ "họ hỏi thì ráng giải thích". Đăng ký đến giờ

VietBay Sponsors Newsletter 9/13/2021: 3x matching opportunities!

Image
Dear sponsors, In the last days of August 2021, our campaign crossed the $500K milestone. This is already beyond our wildest dreams, but it doesn’t end there. Netflix employees and anonymous VietBay members have given us another 3x matching sponsorship: for every $1 you contribute, they will donate an additional $2 for up to $70,000! This is the great news that we alluded to in our last newsletter. The new matching funds, however, are being depleted very quickly! At the time I am writing this line, we’ve successfully matched about $50K out of $70K. You still have a chance to triple up your donation if you act fast :-). We plan to give 10,000 more food packages, 50,000 more 3M 8210 N95 masks, 20 more patient monitors, and 60 more syringe pumps. Given the great momentum we have seen, we expect the final numbers to be much greater! Things happened VietBay kids and friends performed live music on Castro street in downtown Mountain View and raised $950 on the spot for our campaign. With m

Vụ cướp khẩu trang

Image
Cập nhật 9/9/2021 : đại diện Bộ KHĐT người trực tiếp tham gia dự án này đã gửi cho tôi một lá thư dài nói rằng đây là "tai nạn nghề nghiệp", "ngoài ý muốn". Tôi thấy người viết thư cũng có ý tốt, dẫu gì cũng đã quan tâm giúp đỡ những nhóm thiện nguyện, việc xảy ra trên mặt báo có thể là ngoài ý muốn thật. Tôi bỏ đoạn nói về "đoạn tình đoạn nghĩa", vì tôi thấy họ cũng không muốn việc xảy ra như vậy. Tôi thật sự thấy tiếc cho họ, câu chuyện hay cuối cùng bị phá hỏng vì hai chữ thành tích. Nếu là tôi, tôi sẽ chỉ viết ngắn gọn một dòng: "Chúng tôi thấy kiều bào ở nước ngoài vất vả quyên tiền, săn mua khẩu trang, nên phụ bà con một tay trong khâu vận chuyển, để cùng nhau chung tay vì Việt Nam." Mà người ta muốn lập thành tích để chào mừng cái gì đây trời? Chả lẽ chào mừng Việt Nam đã có mười mấy ngàn người chết vì COVID?! Cập nhật 14/9/2021 : đại diện bộ KHĐT gửi cho tôi một số thông tin chứng minh rằng họ không chủ động ngỏ lời giúp đỡ, mà là người c

Sponsors Newsletter 8/29/2021: patient monitors and syringe pumps

Image
We shared this letter with our contributors and sponsors earlier today. Tôi không có thời gian dịch ra tiếng Việt, nếu mọi người có thắc mắc gì xin cứ hỏi tôi sẽ trả lời. --- Dear supporters,   We would like to give you an update on how we have used your generous donation to help Vietnamese struggling due to COVID-19. In less than two months, VietBay has raised $388,622 and disbursed $343,679 to provide 50,000+ meals and food packages, 26,300 3M N95 masks, and $50,000 worth of medical equipment for our fellow Vietnamese. Aside from our main partner the Lotus Charity Foundation, we have  also worked closely with VNHelp and provided funding for the Joy Foundation, “Những người yêu Sài Gòn” and more than 10 grass-root charity groups. Together with our partners we have provided: 17,977 food packages for people in need in Saigon, Binh Duong, etc., 30,000 meals for homeless, Covid patients and people in need in Saigon, 35 tons of vegetables, 20 tons of rice for people in quarantined areas in

Người ta có thể xác định vị trí của blogger hay không?

Image
Một bạn đọc hỏi . Đây là một câu hỏi hay, có thể dùng để phỏng vấn. Hồi trước tôi có làm dự án chuyển Blogger sang sử dụng HTTPS, nghĩa là tất cả phiên truy cập của tác giả và bạn đọc đều được mã hóa, khiến không dễ để ai đó theo dõi hay xác định vị trí của một blogger nào đó. Tuy vậy không nên chủ quan, nếu không cẩn thận vẫn có thể để lộ địa điểm hay danh tính. Một số biện pháp tự bảo vệ: 1/ Không nên click vào link trong comment. Người ta có thể dùng cách này để xác định địa chỉ IP của bạn. 2/ Mỗi khi muốn viết blog, mở một cửa sổ Incognito, soạn blog xong thì đóng cửa sổ đó lại. Việc này ngăn chặn kẻ xấu khai thác lỗ hổng của Blogger nếu có. 3/ Không nên tự truy cập vào blog của mình quá nhiều lần, nhất là sau khi mới đăng bài mới. 4/ Mở tính năng "Use secure DNS" của Chrome để hạn chế lộ thông tin qua kênh DNS khi truy cập blog. 5/ Khi post hình lên blog nhớ đổi tên hình, nếu tên có chứa thông tin nhạy cảm. Blogger đã tự động bỏ thông tin địa điểm ra khỏi hình, nhưng khô

HOSE đã hoạt động ổn định?

Tôi thấy tin là HOSE đã đưa vào sử dụng thành công hệ thống tạm thời của FPT: Nhờ sự vào cuộc của FPT, HoSE đủ khả năng xử lý số lượng giao dịch lên đến 3-5 triệu lệnh một ngày, cao gấp nhiều lần mức 900.000 như trước đó. Tôi đã có nghi ngại, nhưng bây giờ phải nói chúc mừng team FPT!

VietBay COVID-19 relief campaign - Sponsors Newsletter 8/19/2021: masks, PPEs and oximeters

Image
We shared this letter with our contributors and sponsors earlier today. Tôi không có thời gian dịch ra tiếng Việt, nếu mọi người có thắc mắc gì xin cứ hỏi tôi sẽ trả lời. --- Dear sponsors, We’d like to give you an update on the current situation of the COVID-19 outbreak in Vietnam, what we’ve done to help and what will come next. Please let us know if you don’t want to receive further updates.   Current situation   Source: VNExpress   Source: VNExpress At this point the numbers are just statistics. Please watch this 30 seconds clip to truly experience what’s happening: everything is super overloaded and Saigon’s healthcare system can collapse at any moment.   If you have more time, we highly recommend watching this video of a doctor from Hanoi volunteering to fight COVID in Binh Duong sharing his experience. It's 2 hours but it's worth every second.   What’ve we done?   We have quite a few updates on our homepage: https://www.vietbay.group/events/fundraiser-to-help-vietnames

Kinh nghiệm phỏng vấn ở Silicon Valley với FAANG

Hai bài viết rất hay của một bạn tự xưng là Kỹ sư Sờ-cu-rờ-ti  gửi đăng (xin thề theo luật omega tôi không biết đây có phải là chunxong không): https://socurity.wordpress.com/2021/05/15/kinh-nghiem-phong-van-o-silicon-valley-voi-faang/ https://socurity.wordpress.com/2021/06/24/kinh-nghiem-phong-van-o-silicon-valley-voi-faang-phan-2/ Bây giờ mà tôi đi phỏng vấn thì rớt hết. Hồi xưa cũng rớt hết, mà giờ cũng rớt hết. May quá Google không định kỳ phỏng vấn lại.

BKAV đã bị hack như thế nào?

Image
BKAV lại bị hack , hacker nói sẽ live stream, nhưng, móng tay nhọn gặp da mặt dày, BKAV đã "xịt nước" tắt hết máy chủ!  Sợ té đái là có thiệt nha bà con ơi. Để đền bù cho đông đảo người hâm mộ, trong đó có tôi, hacker công bố hai video mô tả quá trình hack vào BKAV. Trong video thứ nhất (thanks chunxong for the shoutout to this blog!), chunxong tìm thấy một máy chủ của BKAV ở địa chỉ https://118.70.155.198:8008 . Máy chủ này giờ đã chết. Thật tội nghiệp, không biết ăn phải quả "thủy lôi" của vị lãnh đạo thiện chiến nào. Trong video, có lẽ quay ngày 7/8/2021, máy chủ này chạy một sản phẩm security do BKAV tự chế có cái tên rất kêu BKAV IPS Firewall . Máy chủ yêu cầu phải đăng nhập và a-lê-hấp hacker nhập  ' or 1=1-- và vô được luôn! Cập nhật : chỗ này chưa chính xác lắm. chunxong nói rằng đoạn code đăng nhập mặc dù có lỗi SQL Injection, nhưng trước đó còn có một đoạn kiểm tra mật khẩu phải đúng như regular expression như sau: ^(?=.*[a-z])(?=.*[A-Z])(?=.*[0

Bluezone: lợi bất cập hại

BKAV lại bị hack và trong một bài phỏng vấn  hacker cho biết đã xâm nhập vào mạng nội bộ của BKAV và lấy được dữ liệu Bluezone: Q: Did you specifically target BKAV or it was just a coincidence? A: I know BKAV from a long time ago, at the beginning, they pioneer in technical research - that's good, but, today, they're all talking & doing so little. They've a lot of connections with high-positioned officers in the government and participated in so many projects for government, THIS, is the problem. They get their places in so many projects because of their "connections with high-positioned officers in government", not by their ability. So, the quality and security of government's projects goes down dramatically. E.g. the Bluezone project, as of today, it has so little help for Covid-19 pandemic prevention in Vietnam, but, it requests a lot of "security permission" from the user's phones and collected a lot of data. A lot of people asking whet

BKAV lại bị hack

Image
Tôi không nhớ nổi đây là lần thứ bao nhiêu BKAV bị hack : Hello all, I've hacked into their servers, and was able to dump the source code of their products (including source code for their flagship product  BKAV Pro) Contact me: lovebkav@protonmail.com BKAV phản hồi thế nào? Không biết có được quế nhân nào mách bảo mà BKAV kết luận  hacker là nhân viên cũ, trộm được mớ code cũ thôi : Trả lời Zing, đại diện Bkav xác nhận đây là những dữ liệu từ phần mềm Bkav. Tuy nhiên, dữ liệu lấy từ mã nguồn cũ, không gây ảnh hưởng tới khách hàng. Theo Bkav, đây là dữ liệu xuất phát từ một nhân viên cũ đã nghỉ việc, bị rò rỉ từ cách đây hơn một năm. Theo đánh giá từ phía công ty, những module thành phần cũ này không gây ra ảnh hưởng với khách hàng. Ai ngờ hacker bực quá tung lên nhiều đoạn chat giữa các thành viên lãnh đạo BKAV : I'm TIRED of people from BKAV keep telling I'm their former employee, and my data is OLD I've NEVER worked with/for BKAV and, my data is NEW as this post is