Cảnh báo: lỗ hổng lộ thông tin gần 25 triệu người đã tiêm vaccine ở Việt Nam
Sau khi tôi nói về tư duy làm app quốc dân, một đồng bọn nhắn tin kêu tôi vô coi hệ thống Sổ sức khỏe điện tử, "chắc nó nát lắm". Hệ thống này do Bộ Y tế quản lý và Viettel thực hiện.
Thú thật, sau khi báo lỗi và góp ý về Bluezone tôi cũng thấy ngán làm việc với các team quốc doanh. Nhưng số trời hay sao đó, ba tôi đủ tiêu chuẩn nhưng chưa được cấp thẻ xanh, thẻ vàng Covid. Thế là tôi phải vô coi Sổ sức khỏe điện tử (SSKĐT) cấp thẻ thế nào.
Vô coi thì tôi thấy Sổ sức khỏe điện tử có nhiều lỗ hổng bảo mật sơ đẳng, làm lộ thông tin cá nhân và dữ liệu sức khỏe của gần 25 triệu người Việt Nam và người nước ngoài đang sống ở Việt Nam, bao gồm cả đại biểu Quốc hội và lãnh đạo các cấp. Nói chung, nếu bạn từng tiêm vaccine ở Việt Nam, thông tin của bạn nhiều khả năng đã được lưu trữ trong hệ thống này, bất kể bạn đã cài app hay chưa.
Thông tin bị lộ bao gồm: tên, địa chỉ, số chứng minh nhân dân, số điện thoại, nơi làm việc, một số người có số bảo hiểm y tế thì có thể truy ra tình trạng và lịch sử bệnh tật; từ địa chỉ hoặc dữ liệu hộ khẩu có thể truy ra thông tin về người thân trong gia đình. Bà con hãy hết sức cảnh giác.
Chi tiết kỹ thuật tôi đã cung cấp cho Bộ TTTT, Bộ Y Tế và Viettel và sẽ công bố rộng rãi vào ngày 11/10/201. Team SSKĐT cảm ơn, đã nhanh chóng sửa được một phần và đang gấp rút sửa hết.
Nhìn chung, thái độ tôi nhận được là hết sức cầu thị và chuyên nghiệp, tốt hơn nhiều khi làm việc với team Bluezone. Tôi rất cảm kích các anh chị em đội dự án đã phải miệt mài sửa chữa lỗ hổng. Hệ thống đã tốt hơn rất nhiều so với cách đây vài ngày.
Tôi đề nghị họ nên đưa lên GitHub để tôi và những ai quan tâm có thể cùng tham gia sửa lỗi. Tôi không có nhiều thời gian và kiến thức cũng hạn hẹp, nhưng Việt Nam không thiếu tài năng, chỉ thiếu cách để họ "tự gãi ngứa" thôi.
Hệ thống nào cũng có lỗi, nhưng có nhiều lỗi sơ đẳng như vậy, là biểu hiện của thiếu trách nhiệm và thiếu giám sát của người quản lý. Hệ thống nhạy cảm như vậy nhưng tôi có cảm giác chưa hề được đánh giá bảo mật.
Trách nhiệm không nằm ở đội ngũ lập trình viên, mà ở chỗ tại sao không có người hỗ trợ họ. Tôi hiểu và thông cảm phải làm nhanh và gấp rút, nhưng hệ thống này cũng đã có lâu rồi, chứ không phải mới làm ngày một ngày hai.
Những vấn đề này không có gì khó với nhân lực trong nước. Tôi tin tôi cũng không phải là người đầu tiên phát hiện ra các vấn đề này. Thế thì tại sao các sản phẩm công nghệ công của Việt Nam vẫn bị hoài? Tôi nghĩ mấu chốt nằm ở lỗ hổng trong tư duy.
Vá lỗ hổng phần mềm không khó bằng vá lỗ hổng tư duy. Những lỗ hổng mà tôi và người khác phát hiện rồi sẽ sửa được thôi, nhưng nếu không sửa tận gốc cách làm thì đâu lại sẽ vào đấy. Cũng may là Sổ sức khỏe hiện mới có dữ liệu của 25 triệu người - gần ¼ dân số, để đến khi nó có đầy đủ thông tin của 100% dân thì còn nguy hiểm đến chừng nào. Nhưng cũng xui là đã 25 triệu người xài rồi mới phát hiện lỗ hổng.
Thế thì làm sao để sớm phát hiện vấn đề? Không có người làm hoặc làm chưa tới thì phải mở mã nguồn, mở thiết kế, để người có chuyên môn có thể tư vấn ngay từ lúc sản phẩm chưa chạy. Sửa nhà trên bản vẽ lúc nào cũng dễ hơn xây xong hết rồi mới phát hiện cái móng bị toạc.
Làm gì cũng vậy, muốn thành công thì không chỉ phải tìm cách làm đúng, mà còn cần nhanh chóng phát hiện ra mình đang làm sai. Muốn vậy thì phải công khai, minh bạch cách mình muốn làm, tiếp nhận ý kiến, dám sai dám sửa.
Chỉ vậy thôi là dân đã đỡ khổ biết chừng nào. Đâu cần đao to búa lớn, bốn chấm không với không chấm bốn, hùng cường với mai lệ huyền. Làm có mấy cái app thôi, lỗi thì nhiều như vắt rừng mùa mưa, mà có người tuyên bố như thể đang chế tên lửa lên cung Trăng thăm chú Cuội, "super app đi ra thế giới". Thôi, xuống, đừng leo cột điện nữa, để tụi nó còn tìm đường quay lại Mỹ.
Nói thêm cho rõ, tôi chưa thấy team SSKĐT phát biểu ngông cuồng như vầy. Ngoại trừ những vấn đề an ninh, hệ thống của họ khá bài bản, hiện đại. Người làm được việc bao giờ cũng hiểu giới hạn của mình. Phát ngôn “chém gió” là tôi thấy ở một nhóm làm công nghệ quốc doanh trong nước, những kẻ đang cưa bom bằng tiền thuế.
Bạn tôi tư vấn “hay là nói chuyện với lãnh đạo của họ”. Có người còn ngỏ lời giúp chuyển thông tin. Tôi viết một lá thư gửi cho Thủ tướng Phạm Minh Chính vào sáng ngày 4/10/2021. Người quen của tôi nói Thủ tướng đã đọc và làm việc với Bộ trưởng Nguyễn Thanh Long.
Bạn tôi đã chia sẻ thông tin với một số Đại biểu Quốc hội. Tôi cũng trao đổi với một vị ĐBQH, giải thích tại sao mở mã nguồn các app quốc dân lợi nhiều hơn hại, hy vọng họ đại diện cho lợi ích của người dân và sẽ lên tiếng.
Thú thật, tôi không kỳ vọng sẽ có thay đổi gì, chừng nào thấy mới hay. Tôi vẫn làm những chuyện này, vì trách nhiệm xã hội của mình. Tôi có một niềm tin ngây thơ rằng nếu mỗi người làm tốt phần của mình, xã hội sẽ tự khắc đi lên.
Xem thêm:
* (Mới cập nhật): Chi tiết lỗ hổng của Sổ sức khỏe điện tử
Cảm ơn H.P, V.H và trùm cuối đã xem qua bản nháp.
Comments
Cố gắng xử cái PC-covid luôn đi, híc k muốn bị cài cái đó đâu :|.
Re PCCovid: chiến lược bảo mật của các cốp nhà mình là phát hành thật nhiều app mới, liên tục thay tên đổi họ, làm cho hacker hoa mắt, bỏ cuộc, thế là an toàn.
Thanks anh vì mãi giữ tâm huyết.
Trong thời buổi vàng thau lẫn lộn, mập mờ, những người như anh thật hiếm hoi như sao trên bầu trời trong thành phố.
Rất mong chờ các bài viết, tâm tư tiếp theo của anh.