Cảnh báo: lỗ hổng lộ thông tin gần 25 triệu người đã tiêm vaccine ở Việt Nam

Sau khi tôi nói về tư duy làm app quốc dân, một đồng bọn nhắn tin kêu tôi vô coi hệ thống Sổ sức khỏe điện tử, "chắc nó nát lắm". Hệ thống này do Bộ Y tế quản lý và Viettel thực hiện.

Thú thật, sau khi báo lỗigóp ý về Bluezone tôi cũng thấy ngán làm việc với các team quốc doanh. Nhưng số trời hay sao đó, ba tôi đủ tiêu chuẩn nhưng chưa được cấp thẻ xanh, thẻ vàng Covid. Thế là tôi phải vô coi Sổ sức khỏe điện tử (SSKĐT) cấp thẻ thế nào.

Vô coi thì tôi thấy Sổ sức khỏe điện tử có nhiều lỗ hổng bảo mật sơ đẳng, làm lộ thông tin cá nhân và dữ liệu sức khỏe của gần 25 triệu người Việt Nam và người nước ngoài đang sống ở Việt Nam, bao gồm cả đại biểu Quốc hội và lãnh đạo các cấp. Nói chung, nếu bạn từng tiêm vaccine ở Việt Nam, thông tin của bạn nhiều khả năng đã được lưu trữ trong hệ thống này, bất kể bạn đã cài app hay chưa.

Thông tin bị lộ bao gồm: tên, địa chỉ, số chứng minh nhân dân, số điện thoại, nơi làm việc, một số người có số bảo hiểm y tế thì có thể truy ra tình trạng và lịch sử bệnh tật; từ địa chỉ hoặc dữ liệu hộ khẩu có thể truy ra thông tin về người thân trong gia đình. Bà con hãy hết sức cảnh giác.

Chi tiết kỹ thuật tôi đã cung cấp cho Bộ TTTT, Bộ Y Tế và Viettel và sẽ công bố rộng rãi vào ngày 11/10/201. Team SSKĐT cảm ơn, đã nhanh chóng sửa được một phần và đang gấp rút sửa hết.

Nhìn chung, thái độ tôi nhận được là hết sức cầu thị và chuyên nghiệp, tốt hơn nhiều khi làm việc với team Bluezone. Tôi rất cảm kích các anh chị em đội dự án đã phải miệt mài sửa chữa lỗ hổng. Hệ thống đã tốt hơn rất nhiều so với cách đây vài ngày.

Tôi đề nghị họ nên đưa lên GitHub để tôi và những ai quan tâm có thể cùng tham gia sửa lỗi. Tôi không có nhiều thời gian và kiến thức cũng hạn hẹp, nhưng Việt Nam không thiếu tài năng, chỉ thiếu cách để họ "tự gãi ngứa" thôi.

Hệ thống nào cũng có lỗi, nhưng có nhiều lỗi sơ đẳng như vậy, là biểu hiện của thiếu trách nhiệm và thiếu giám sát của người quản lý. Hệ thống nhạy cảm như vậy nhưng tôi có cảm giác chưa hề được đánh giá bảo mật.

Trách nhiệm không nằm ở đội ngũ lập trình viên, mà ở chỗ tại sao không có người hỗ trợ họ. Tôi hiểu và thông cảm phải làm nhanh và gấp rút, nhưng hệ thống này cũng đã có lâu rồi, chứ không phải mới làm ngày một ngày hai.

Những vấn đề này không có gì khó với nhân lực trong nước. Tôi tin tôi cũng không phải là người đầu tiên phát hiện ra các vấn đề này. Thế thì tại sao các sản phẩm công nghệ công của Việt Nam vẫn bị hoài? Tôi nghĩ mấu chốt nằm ở lỗ hổng trong tư duy.

Vá lỗ hổng phần mềm không khó bằng vá lỗ hổng tư duy. Những lỗ hổng mà tôi và người khác phát hiện rồi sẽ sửa được thôi, nhưng nếu không sửa tận gốc cách làm thì đâu lại sẽ vào đấy. Cũng may là Sổ sức khỏe hiện mới có dữ liệu của 25 triệu người - gần ¼ dân số, để đến khi nó có đầy đủ thông tin của 100% dân thì còn nguy hiểm đến chừng nào. Nhưng cũng xui là đã 25 triệu người xài rồi mới phát hiện lỗ hổng.

Thế thì làm sao để sớm phát hiện vấn đề? Không có người làm hoặc làm chưa tới thì phải mở mã nguồn, mở thiết kế, để người có chuyên môn có thể tư vấn ngay từ lúc sản phẩm chưa chạy. Sửa nhà trên bản vẽ lúc nào cũng dễ hơn xây xong hết rồi mới phát hiện cái móng bị toạc.

Làm gì cũng vậy, muốn thành công thì không chỉ phải tìm cách làm đúng, mà còn cần nhanh chóng phát hiện ra mình đang làm sai. Muốn vậy thì phải công khai, minh bạch cách mình muốn làm, tiếp nhận ý kiến, dám sai dám sửa.

Chỉ vậy thôi là dân đã đỡ khổ biết chừng nào. Đâu cần đao to búa lớn, bốn chấm không với không chấm bốn, hùng cường với mai lệ huyền. Làm có mấy cái app thôi, lỗi thì nhiều như vắt rừng mùa mưa, mà có người tuyên bố như thể đang chế tên lửa lên cung Trăng thăm chú Cuội, "super app đi ra thế giới". Thôi, xuống, đừng leo cột điện nữa, để tụi nó còn tìm đường quay lại Mỹ.

Nói thêm cho rõ, tôi chưa thấy team SSKĐT phát biểu ngông cuồng như vầy. Ngoại trừ những vấn đề an ninh, hệ thống của họ khá bài bản, hiện đại. Người làm được việc bao giờ cũng hiểu giới hạn của mình. Phát ngôn “chém gió” là tôi thấy ở một nhóm làm công nghệ quốc doanh trong nước, những kẻ đang cưa bom bằng tiền thuế.

Bạn tôi tư vấn “hay là nói chuyện với lãnh đạo của họ”. Có người còn ngỏ lời giúp chuyển thông tin. Tôi viết một lá thư gửi cho Thủ tướng Phạm Minh Chính vào sáng ngày 4/10/2021. Người quen của tôi nói Thủ tướng đã đọc và làm việc với Bộ trưởng Nguyễn Thanh Long.

Bạn tôi đã chia sẻ thông tin với một số Đại biểu Quốc hội. Tôi cũng trao đổi với một vị ĐBQH, giải thích tại sao mở mã nguồn các app quốc dân lợi nhiều hơn hại, hy vọng họ đại diện cho lợi ích của người dân và sẽ lên tiếng.

Thú thật, tôi không kỳ vọng sẽ có thay đổi gì, chừng nào thấy mới hay. Tôi vẫn làm những chuyện này, vì trách nhiệm xã hội của mình. Tôi có một niềm tin ngây thơ rằng nếu mỗi người làm tốt phần của mình, xã hội sẽ tự khắc đi lên.

Xem thêm:


Cảm ơn H.P, V.H và trùm cuối đã xem qua bản nháp.

Comments

Unknown said…
Ủng hộ hết mình :), cố tìm lỗi nhiệt tình nhé :D. HP có phải là anh đang ở bên P không? (chị H bữa trước bọn em đến ăn cơm với TV đó :) ).
Cố gắng xử cái PC-covid luôn đi, híc k muốn bị cài cái đó đâu :|.
Thai Duong said…
Unknown: he he cảm ơn chị H. hôm nào cho tụi em xin thêm một bữa cơm.

Re PCCovid: chiến lược bảo mật của các cốp nhà mình là phát hành thật nhiều app mới, liên tục thay tên đổi họ, làm cho hacker hoa mắt, bỏ cuộc, thế là an toàn.
NAD said…
Cảm ơn bác
Unknown said…
Xin cảm ơn bạn. Mong các IQ cao sớm cập nhật tình hình để còn biết mà sửa sai.
Thao Pham said…
Cái khó, cái khổ trong cuộc đời là "Không biết mình ko biết cái gì"!
Hay quá; bài viết đầy tâm huyết và có trách nhiệm! Nếu không lột áo Bộ trưởng Y tế và TTTT ngay và luôn- mà đây mới chỉ là một phần nhỏ- thì đúng là "họ" đang làm trò trẻ con và tai họa vẫn còn dài dài...
Unknown said…
A Thái review Apps PC covid luôn nghe. Cảm ơn
vnCybersecu said…
Tôi cùng quan điểm với anh ở câu kết của bài.
Thanks anh vì mãi giữ tâm huyết.
Unknown said…
Hay quá anh, mỗi công dân đều có tư duy này, tất xã hội sẽ tốt.
Anh Tuan Nguyen said…
Thank bài viết và những đóng góp của a.
Nghia said…
Dạ cám ơn anh nhiều, anh đúng là người vừa có tâm với nghề và vừa yêu quê hương đất nước. Người luôn có quê hương trong trái tim thì dù ở đâu cũng có thể đóng góp được cho quê hương cách này, hay cách khác. Mong anh tiếp tục có nhiều sức khỏe, thăng tiến trong chuyên môn, công việc, cuộc sống. Người yêu đất Việt nhiều lắm, nhưng những ai có thêm cả "quyền lực" lớn trong tay thì mới giúp kiến tạo ra sự thay đổi, sự phát triển đáng kể được. Năng lực chuyên môn của anh cũng là 1 trong các loại quyền lực mà em nói đến.
Trong thời buổi vàng thau lẫn lộn, mập mờ, những người như anh thật hiếm hoi như sao trên bầu trời trong thành phố.
Rất mong chờ các bài viết, tâm tư tiếp theo của anh.
Unknown said…
Lúc nào qua ăn cứ nhắn nhé :D, hê hê :D, tìm qua fb :D, thoải mái luôn :)
afterlastangel said…
:( Em cũng thấy cái đầu API lồ lộ khi decompile code. Nhưng mà chỉ về mặt lý thuyết chứ không dám exploit làm POC vì sợ vi phạm pháp luật ở VN. Nó mong manh quá. Thật sự mà nói với những API public như vậy thì chỉ cản người ngay, chứ chuyện kẻ gian lấy được không hề khó. Chỉ bị cản trở bởi pháp luật VN... Chứ cái app pccovid release beta, em vừa post POC lên là trong 1 tiếng có người gọi điện thoại yêu cầu gỡ xuống, vì làm ảnh hưởng đến việc chống dịch. Sợ quá trời, không dám làm gì nữa.
Unknown said…
anh nói đúng quá, VN có rất nhiều nhân tài về cntt nhưng ko hiểu sao các app vẫn lỗi như vậy. Nói thật chỉ cần vào đh bkhn hay đh công nghệ chọn ra một team 10 sv của lớp hệ tài năng + 1 senior nhiều kinh nghiệm để quản lý team là dư sức giải quyết những vấn đề công nghệ này
Thai Duong said…
afterlastangel: tôi cũng thấy bài của bạn. Thật tiếc. Tôi có nói với đại diện bộ TTTT rồi, họ làm sao riết không ai dám và muốn làm việc với họ, trong khi họ làm thì không ra gì. Họ có lắng nghe hay không thì hồi sau mới rõ.
Kiên đặng said…
cũng chả biết nói gì khác ngoài cảm ơn bác cả. Thứ lỗ hổng to nhất của các app chính là Bê Ka và Anh nổ thì rất khó có thể vá được. Tư duy làm việc nhưng cứ coi mình là rốn vũ trụ đ ai bằng mình mới là nhất thì chịu rồi. 1 lần nữa cảm ơn Bác vì bài viết
somebody said…
Cảm ơn bạn đã bỏ công sức ra để kiểm tra tính an toàn của các app nhà nước này, toàn đồ dỏm không mà cứ làm hoài.
Unknown said…
Bluezone của anh Quảng ôm bomb tui sợ lắm rùi
Lỗ hỏng đã được fix chưa ạ? Hôm nay ngày 13 em chưa thấy anh public
Thai Duong said…
Định Nguyễn: rồi bạn. Tôi đã công bố một số chi tiết ở https://vnhacker.blogspot.com/2021/10/lo-hong-cua-so-suc-khoe-ien-tu.html.