Thư ngỏ gửi Thủ tướng Phạm Minh Chính về việc thay đổi tư duy làm app chống dịch

Kính gửi Thủ tướng Phạm Minh Chính,

Tôi là Dương Ngọc Thái, kỹ sư an ninh mạng đang làm việc ở Google, Hoa Kỳ.

Tôi viết thư này để thông báo cho Thủ tướng biết một số lỗ hổng nghiêm trọng của hệ thống Sổ sức khỏe điện tử. Đây là hệ thống do Bộ Y tế quản lý và cho đến thời điểm này có chứa thông tin cá nhân và sức khỏe của gần 25 triệu người Việt Nam, bao gồm cả đại biểu Quốc hội và lãnh đạo các cấp. Con số có thể không dừng ở 25 triệu người, vì toàn bộ những người đã tiêm vaccine Covid-19 đều sẽ có thông tin trên hệ thống này.

Thông tin bị lộ bao gồm: tên, địa chỉ, số chứng minh nhân dân, số điện thoại, nơi làm việc, một số người có số bảo hiểm y tế thì có thể truy ra tình trạng và lịch sử bệnh tật; từ địa chỉ hoặc dữ liệu hộ khẩu có thể truy ra thông tin về người thân trong gia đình. Đây là các thông tin nhân thân nhạy cảm, có thể bị lợi dụng để lừa đảo hoặc thậm chí xâm hại an ninh quốc gia.

Để làm bằng chứng về mối nguy hại, tôi đính kèm một số thông tin cơ bản của 298 Đại biểu Quốc hội, trong đó bao gồm Bộ trưởng Y tế Nguyễn Thanh Long, Bộ trưởng Nguyễn Kim Sơn, Bộ trưởng Lê Minh Hoan, Bộ trưởng Bùi Thanh Sơn, nguyên Bí thư TPHCM Nguyễn Thiện Nhân…

Tôi đánh giá hệ thống Sổ sức khỏe điện tử được phát triển bài bản, hiện đại. Tuy vậy, hệ thống có những lỗ hổng rất cơ bản, không cần chuyên môn cao vẫn có thể phát hiện và lợi dụng.

Tôi cung cấp thông tin này trước mắt để Thủ tướng có thể chỉ đạo Bộ Y tế làm việc với nhà phát triển để vá lỗi. Tôi nghĩ việc sửa lỗi rất cần có sự tham gia và đánh giá độc lập của một bên thứ ba.

Về lâu dài, tôi đề nghị Chính phủ và Quốc hội yêu cầu những hệ thống công nghệ quốc dân chứa thông tin cá nhân của đa số công dân trong xã hội phải được công khai mã nguồn, tài liệu thiết kế, kế hoạch phát triển để những người có chuyên môn khắp nơi có thể giúp giám sát và sửa lỗi. Nếu mã nguồn và thiết kế của Sổ sức khỏe điện tử (và các app chống dịch khác) được công bố rộng rãi ngay từ đầu, những lỗ hổng mà tôi tìm thấy đã sớm được phát hiện và ngăn chặn. 

Trân trọng,

Dương Ngọc Thái

Comments

NAD said…
Cho e xem “thông tin đính kèm” vs bác ơi :))
Unknown said…
Mấy anh hacker chuyên cào bàn phím đâu rồi, bơi vào lấy lỗ hổng nào
Huong Nguyen said…
thật đáng tiếc là những vấn đề kinh điển như công bố mà nguồn mở hay bên độc lập thứ ba đánh giá... không được quan tâm sự dụng. Không nhẽ muốn giấu dốt?! Còn app PC Covid chưa thấy tác giả review; hay nó chính là Bluezon mà tác giả đã nói rất nhiều rồi mà không biến chuyển nên đủ rồi không nói nữa?! ��
Anonymous said…
Gửi kiểu vầy, không biết đến được bán 9h không?
Anonymous said…
kĩ sư google mà dùng blogspot. phèn thế :v