thằng thánh nổ này nó còn kéo dài bao lâu nữa
Một trang web của BKAV sở hữu làm lộ thông tin cá nhân người nhiễm Covid – say Linux! (archive.org)
Một trang web của BKAV sở hữu làm lộ thông tin cá nhân người nhiễm Covid
29 THÁNG CHÍN, 2021 ~
AFTERLASTANGEL
Trong quá trình xem thử các Ứng dụng phòng, chống dịch Covid-19 Quốc gia mới
https://pccovid.gov.vn/ (do BKAV hỗ tợ phát triển)
Với File APK được cung cấp để cài thử. Tôi có làm phân tích thử xem ứng dụng này sử dụng các quyền gì trên điện thoại đọc code thì thấy ứng dụng này sử dụng phần nhiều thư viện có liên quan tới Bluezone. Trong quá trình đọc code, tôi có thấy một trang có địa chỉ
https://trumlaynhiem.hcdt.vn/
Tra cứu trên vnnic thì tên miền hcdt thuộc quyền sở hữu của công ty cổ phần BKAV.
Giao diện trang trumlaynhiem bao gồm 1 thanh bên trái thể hiện danh sách tỉnh thành và địa điểm các chùm lây nhiễm. Bên phải thể hiện đồ họa lây nhiễm.
Vào chi tiết API dùng để lấy thông tin ví dụ:
https://trumlaynhiem.hcdt.vn/Home/GetDataByName?name=Bar+New+Ph%C6%B0%C6%A1ng+%C4%90%C3%B4ng&parentName=T%E1%BB%89nh+Qu%E1%BA%A3ng+Ng%C3%A3i&datePub=01%2F06%2F2021
API này trả về thông tên tên tuổi bệnh nhân, địa chỉ và số điện thoại (hình đã xóa thông tin cá nhân từ API)
Kiểm tra thử bằng Zalo thì thấy số điện thoại hiển thị đúng với tên người.
Ngoài ra một vài thông tin truy vết con bao gồm cả lịch trình di chuyển truy vết của bệnh nhân.
Ngoài ra có một vài dữ liệu bao gồm cả địa chỉ nhà chính xác của người bệnh.
Việc xây dựng hệ thống API không hề được bảo vệ bởi bất kì một lớp bảo mật nào. Để tất cả mọi người dùng có thể truy xuất được những thông tin cá nhân nhạy cảm nhất là một điều tối kị và là lỗi sơ đẳng nhất trong kỹ thuật lập trình.
Với sức mạnh của mạng máy tính ngày nay chỉ cần khoảng 1 vài tiếng là có thể truy xuất hết dữ liệu của bệnh nhân nhiễm Covid 19 trên trang web thuộc quyền sở hữu của BKAV .
Disclaimer:
- Mục đích của nghiên cứu nhằm cảnh báo về lỗ hổng bảo mật sơ đẳng khi làm lộ dữ liệu cá nhân.
- Bài viết được dùng các kỹ thuật truy cập đơn giản không hề dùng bất kì một công cụ trái pháp luật nào. Việc sử dụng nội dung trong bài viết để tải hoặc lưu trữ thông tin cá nhân là vi phạm pháp luật. Người đọc tự chịu trách nhiệm nếu sử dụng những thông tin này.
