Bluezone: lợi bất cập hại

BKAV lại bị hack và trong một bài phỏng vấn hacker cho biết đã xâm nhập vào mạng nội bộ của BKAV và lấy được dữ liệu Bluezone:

Q: Did you specifically target BKAV or it was just a coincidence?

A: I know BKAV from a long time ago, at the beginning, they pioneer in technical research - that's good, but, today, they're all talking & doing so little.

They've a lot of connections with high-positioned officers in the government and participated in so many projects for government, THIS, is the problem. They get their places in so many projects because of their "connections with high-positioned officers in government", not by their ability. So, the quality and security of government's projects goes down dramatically. E.g. the Bluezone project, as of today, it has so little help for Covid-19 pandemic prevention in Vietnam, but, it requests a lot of "security permission" from the user's phones and collected a lot of data. A lot of people asking whether I have the Bluezone data, the answer is: "I've hacked into BKAV's internal network, and do have Bluezone data, but, I do not have any intention to sell, publish those data by any means".

I hacked BKAV to raise people's awareness about what they are really doing. They manipulate media, press…, they're cheating Vietnamese people so much.

Trong các bài phân tích về Bluezone trước đây, tôi đã nhắc đi nhắc lại nguy cơ BKAV không có khả năng bảo vệ dữ liệu Bluezone.

Trong bài ngày 3/8/2020, tôi viết thế này:

Đội phát triển Bluezone nên công bố phương án bảo vệ dữ liệu mà máy chủ thu thập được, đảm bảo chỉ người có thẩm quyền mới có thể đọc hoặc ghi dữ liệu. Đảm bảo an ninh cho máy chủ cũng là một vấn đề cần được quan tâm. Chính phủ Việt Nam nên thuê một bên thứ ba đánh giá độc lập cách làm của Bluezone.

Sau đó trong bài trả lời phỏng vấn BBC, tôi có hai lần nhắc đến chuyện này:

2. Sau cập nhật mới nhất, liệu Bluezone còn những lỗ hổng nào mất an toàn cho người dùng không? Quyền riêng tư của người dùng được đảm bảo tới đâu?

[...]

Bluezone sẽ có được social graph của cả nước và người nào nắm được social graph sẽ có nhiều cách kiếm quyền và tiền. Cả đế chế của Facebook được xây dựng dựa trên social graph. Đây là lý do nhiều nước không chọn cách làm này, vì e ngại tập trung quá nhiều thông tin vào một chỗ sẽ dễ dẫn đến lạm quyền. Google và Apple cũng đã xây dựng một công nghệ truy vết cài sẵn trên Android và iOS, nhưng công nghệ này cũng không tiết lộ social graph cho phía máy chủ.

Dẫu vậy tôi nghĩ giải pháp của Bluezone phù hợp với tình hình văn hóa, xã hội ở Việt Nam. Dân ai cũng muốn dịch qua cho nhanh để còn quay lại cuộc sống bình thường, có hi sinh một chút riêng tư và mất một chút thông tin cá nhân cũng ít ai phàn nàn. Người dân nói chung là tin tưởng Chính phủ, Chính phủ kêu cài Bluezone là cả chục triệu người cài liền. Vấn đề chỉ là Bluezone sẽ bảo vệ dữ liệu ra sao và làm sao để đảm bảo không bị lạm quyền. Hiện giờ Bluezone chưa có cung cấp thông tin gì về chuyện này. Chính phủ và Bluezone cũng cần phải cam kết sẽ xóa hết dữ liệu một khi dịch bệnh đã qua.

[...]

4. Liệu có khả năng tin tặc đột nhập vào hệ thống dữ liệu của Bluezone không? Nếu có thì có thể dẫn đến hậu quả nào?

Như đã nói ở trên, ai đột nhập vào hệ thống dữ liệu của Bluezone sẽ có được social graph của tất cả người dùng Bluezone. Ngoài ra, họ còn có thể phá hoại bằng cách biến một người bất kỳ thành F0, F1 hay F2. Tức là họ có thể khiến nhiều người bị cách ly và khiến các cơ quan y tế phải tốn công sức kiểm tra những người không bị bệnh.

Hiện giờ có rất ít thông tin về cách Bluezone thiết kế và bảo vệ hệ thống dữ liệu, nên tôi không thể đánh giá chính xác được. Dựa vào chất lượng của những gì mà Bluezone đã công bố, tôi nghĩ Chính phủ Việt Nam phải hết sức thận trọng và nên thuê một bên thứ ba đánh giá độc lập cách làm của nhóm Bluezone.

Mặc dù hacker cho biết sẽ không bán hay công bố dữ liệu Bluezone, nhưng nếu một hacker Việt hack được thì mười "hacker lạ" cũng sẽ hack được. "Hacker lạ" sẽ làm gì khi nắm trong tay tên, địa chỉ, số điện thoại, tình trạng sức khỏe (F0/F1/F2), lịch sử tiếp xúc (ôm ai lúc nào) của hàng chục triệu người Việt?

Xài Bluezone rủi ro là vậy, nhưng lợi ở đâu?

Người ta nói Bluezone đã giúp phát hiện 51.000 ca F1. Con số rất ấn tượng, nhưng bao nhiêu trong đó là F1 thật sự và bao nhiêu có nguy cơ trở thành F0? Khi hệ thống y tế quá tải, khi người dân đã quá khổ sở với cách ly tập trung, với việc bị hạn chế đi lại thì cái cần không phải là phát hiện tràn lan, mà là phát hiện chính xác, tức là chất lượng quan trọng hơn số lượng. Thay vì tập trung giảm thiểu false positive, tức là những người không phải là F1 mà vẫn bị tính là F1, cái cách người ta thông báo con số 51.000 ca F1 cho thấy người ta chỉ quan tâm đến thành tích hão.

Chính phủ bắt buộc người dân cài Bluezone, nhưng không quan tâm hiệu quả chống dịch thế nào, nguy cơ an ninh ra sao. Bây giờ dịch bùng lên, mọi thứ quá tải, rồi thêm sự cố an ninh, nhưng cả làng im ru, không có bất kỳ quan chức lãnh đạo nào đã từng tung hô Bluezone lên tiếng nhận trách nhiệm. Người ta chỉ giỏi hô khẩu hiệu, phát động phong trào, đao to búa lớn, vĩ đại vĩ cuồng, nhưng chẳng ai buồn hỏi một câu đơn giản nhất: làm cái này có hiệu quả không, liệu có lợi bất cập hại? Khỉ muốn ăn chuối còn phải hỏi cơ mà!

Phải chi không ai có ý kiến thì còn nói tại không biết, đằng này bao nhiêu ý kiến. Nói thiệt nản chết mẹ.