Bluezone: lợi bất cập hại

BKAV lại bị hack và trong một bài phỏng vấn hacker cho biết đã xâm nhập vào mạng nội bộ của BKAV và lấy được dữ liệu Bluezone:

Q: Did you specifically target BKAV or it was just a coincidence?

A: I know BKAV from a long time ago, at the beginning, they pioneer in technical research - that's good, but, today, they're all talking & doing so little.

They've a lot of connections with high-positioned officers in the government and participated in so many projects for government, THIS, is the problem. They get their places in so many projects because of their "connections with high-positioned officers in government", not by their ability. So, the quality and security of government's projects goes down dramatically. E.g. the Bluezone project, as of today, it has so little help for Covid-19 pandemic prevention in Vietnam, but, it requests a lot of "security permission" from the user's phones and collected a lot of data. A lot of people asking whether I have the Bluezone data, the answer is: "I've hacked into BKAV's internal network, and do have Bluezone data, but, I do not have any intention to sell, publish those data by any means".

I hacked BKAV to raise people's awareness about what they are really doing. They manipulate media, press…, they're cheating Vietnamese people so much.

Trong các bài phân tích về Bluezone trước đây, tôi đã nhắc đi nhắc lại nguy cơ BKAV không có khả năng bảo vệ dữ liệu Bluezone.

Trong bài ngày 3/8/2020, tôi viết thế này:

Đội phát triển Bluezone nên công bố phương án bảo vệ dữ liệu mà máy chủ thu thập được, đảm bảo chỉ người có thẩm quyền mới có thể đọc hoặc ghi dữ liệu. Đảm bảo an ninh cho máy chủ cũng là một vấn đề cần được quan tâm. Chính phủ Việt Nam nên thuê một bên thứ ba đánh giá độc lập cách làm của Bluezone.

Sau đó trong bài trả lời phỏng vấn BBC, tôi có hai lần nhắc đến chuyện này:

2. Sau cập nhật mới nhất, liệu Bluezone còn những lỗ hổng nào mất an toàn cho người dùng không? Quyền riêng tư của người dùng được đảm bảo tới đâu?

[...]

Bluezone sẽ có được social graph của cả nước và người nào nắm được social graph sẽ có nhiều cách kiếm quyền và tiền. Cả đế chế của Facebook được xây dựng dựa trên social graph. Đây là lý do nhiều nước không chọn cách làm này, vì e ngại tập trung quá nhiều thông tin vào một chỗ sẽ dễ dẫn đến lạm quyền. Google và Apple cũng đã xây dựng một công nghệ truy vết cài sẵn trên Android và iOS, nhưng công nghệ này cũng không tiết lộ social graph cho phía máy chủ.

Dẫu vậy tôi nghĩ giải pháp của Bluezone phù hợp với tình hình văn hóa, xã hội ở Việt Nam. Dân ai cũng muốn dịch qua cho nhanh để còn quay lại cuộc sống bình thường, có hi sinh một chút riêng tư và mất một chút thông tin cá nhân cũng ít ai phàn nàn. Người dân nói chung là tin tưởng Chính phủ, Chính phủ kêu cài Bluezone là cả chục triệu người cài liền. Vấn đề chỉ là Bluezone sẽ bảo vệ dữ liệu ra sao và làm sao để đảm bảo không bị lạm quyền. Hiện giờ Bluezone chưa có cung cấp thông tin gì về chuyện này. Chính phủ và Bluezone cũng cần phải cam kết sẽ xóa hết dữ liệu một khi dịch bệnh đã qua.

[...]

4. Liệu có khả năng tin tặc đột nhập vào hệ thống dữ liệu của Bluezone không? Nếu có thì có thể dẫn đến hậu quả nào?

Như đã nói ở trên, ai đột nhập vào hệ thống dữ liệu của Bluezone sẽ có được social graph của tất cả người dùng Bluezone. Ngoài ra, họ còn có thể phá hoại bằng cách biến một người bất kỳ thành F0, F1 hay F2. Tức là họ có thể khiến nhiều người bị cách ly và khiến các cơ quan y tế phải tốn công sức kiểm tra những người không bị bệnh.

Hiện giờ có rất ít thông tin về cách Bluezone thiết kế và bảo vệ hệ thống dữ liệu, nên tôi không thể đánh giá chính xác được. Dựa vào chất lượng của những gì mà Bluezone đã công bố, tôi nghĩ Chính phủ Việt Nam phải hết sức thận trọng và nên thuê một bên thứ ba đánh giá độc lập cách làm của nhóm Bluezone.

Mặc dù hacker cho biết sẽ không bán hay công bố dữ liệu Bluezone, nhưng nếu một hacker Việt hack được thì mười "hacker lạ" cũng sẽ hack được. "Hacker lạ" sẽ làm gì khi nắm trong tay tên, địa chỉ, số điện thoại, tình trạng sức khỏe (F0/F1/F2), lịch sử tiếp xúc (ôm ai lúc nào) của hàng chục triệu người Việt?

Xài Bluezone rủi ro là vậy, nhưng lợi ở đâu?

Người ta nói Bluezone đã giúp phát hiện 51.000 ca F1. Con số rất ấn tượng, nhưng bao nhiêu trong đó là F1 thật sự và bao nhiêu có nguy cơ trở thành F0? Khi hệ thống y tế quá tải, khi người dân đã quá khổ sở với cách ly tập trung, với việc bị hạn chế đi lại thì cái cần không phải là phát hiện tràn lan, mà là phát hiện chính xác, tức là chất lượng quan trọng hơn số lượng. Thay vì tập trung giảm thiểu false positive, tức là những người không phải là F1 mà vẫn bị tính là F1, cái cách người ta thông báo con số 51.000 ca F1 cho thấy người ta chỉ quan tâm đến thành tích hão.

Chính phủ bắt buộc người dân cài Bluezone, nhưng không quan tâm hiệu quả chống dịch thế nào, nguy cơ an ninh ra sao. Bây giờ dịch bùng lên, mọi thứ quá tải, rồi thêm sự cố an ninh, nhưng cả làng im ru, không có bất kỳ quan chức lãnh đạo nào đã từng tung hô Bluezone lên tiếng nhận trách nhiệm. Người ta chỉ giỏi hô khẩu hiệu, phát động phong trào, đao to búa lớn, vĩ đại vĩ cuồng, nhưng chẳng ai buồn hỏi một câu đơn giản nhất: làm cái này có hiệu quả không, liệu có lợi bất cập hại? Khỉ muốn ăn chuối còn phải hỏi cơ mà!

Phải chi không ai có ý kiến thì còn nói tại không biết, đằng này bao nhiêu ý kiến. Nói thiệt nản chết mẹ.

Comments

Phương NH said…
Quảng nổ bùm bùm bùm =))))
baotd said…
> Quảng nổ bùm bùm bùm =))))

QUảng thật này thật sự nổ rồi, banh xác rồi. 💣💣💣
Sang Ke said…
Đề nghị CEO Nguyễn Tử Quảng phải giải trình trước quốc hội Việt Nam giống như CEO Mark Zuckerberg đã từng giải trình trước quốc hội Hoa Kỳ về bê bối Cambridge Analytica của Facebook
Wello said…
Vấn đề bây giờ là dịch khủng bố miền nam, nhất là SG và CT nhưng Bluezone thì không còn ai nhắc đến hay yêu cầu trình hay quét mã. Thay vào đó là những buổi test nhanh ráo riết để bóc tách F0 ra khỏi cộng đồng. Đến mức lúc dịch càn quét tới miền Nam thì dịch vụ OTP Bluezone lỗi liên tục khiến không thể đăng ký theo dõi.
Cảm ơn idol Thái vẫn viết tiếp những bài blog hay!
n0sleep said…
Có "việt kiều yêu nước mắm" mang nhiều thứ ra giữa ban ngày nhưng bao người vẫn trong cái bóng của "lùm cây". Phần thì không biết, phần thì biết nhưng "dại" lắm. X.h bây giờ hỗn kinh khủng không biết đâu mà lần. Yêu Tổ quốc, yêu Đồng bào nhưng chẳng dám cái gì cũng yêu!
Unknown said…
Sau khi đọc được bài của bạn về lỗ hổng bluezone mình cũng đã gỡ bỏ rồi
Ngay từ đầu mình khi nghe bkav làm cái này mình đã không tin tưởng rồi =)))
Fake said…
Dịch rồi cũng sẽ qua, và biệt phủ lại tiếp tục mọc lên...
Unknown said…
Bummm
tamthatlc said…
không có gì ngạc nhiên :V privacy ở vn và 1 số quốc gia đang hy sinh privacy lấy development là cái giếng làng. ai múc thì múc. đừng nói BKAV, facebook là thằng đầu tiên phải bị xử phạt thật năng.nhưng phạt tiền chả giải quyết gì khi bây giờ trẻ con VN cũng có thể quét UID ra sđt. châp nhận cuộc chơi thôi :V cũng may là thời nay ko có những vụ 1 con cá mập đi xé xác 1 con cá bé :V thay vì đó chúng nuôi để lấy trứng :)) bán trứng lâu dài cũng ngon mà... nhất là trứng cá hồi
VNHacker + HVAOnline.. những min-mod của họ vẫn còn đây, vẫn thắp lửa
Loanh quanh TuanVietkey, bluezone.. rồi BKAV kỳ này có thể là phát súng mở màn của " những ông hoàng yêu nước mắm ".
Không dung túng cho những điều sai trái
Quyền Vu said…
Quảng nổ vẫn đăng facebook thực chiến, tôi thật sự mắc ói với thằng cha quảng này.
Sam said…
Kha kha cái đợt bắt cài thì t kiên quyết thà xào cục gạch còn hơn cài bluezone vì biết phần mềm cc này thế nào cũng bị hack . Giờ thì y như rằng , u mê quá phải chịu thôi . Th chunxong nó bảo ko bán dữ liệu của các bạn đâu nha , nó chỉ treo giá 280k $ thui
admin said…
đơn giản mấy thằng chóp bu miệng hô ngoác mồm cài bluezone nhưng có được thằng nào cài, nó cài nó chụp lên báo chứng tỏ với nhau còn về nhà nó xóa bố đứa nào biết chỉ có bọn dư luận viên bò đỏ rẻ tiền thì mới hào hứng công tác tuyên truyền cũng y hệt vụ vắc xin cũng hô hào tiêm vero cell của sinopharm tàu ra rả hằng ngày trên báo đài nhưng mả bố chúng nó còn không dám rờ vào chứ mà tiêm cái con khỉ.