Vietjetair.com không mã hóa mật khẩu người dùng?

5kytu

W-------
18/09/2015
23
31 bài viết
Vietjetair.com không mã hóa mật khẩu người dùng?
Như các bạn đã biết Vietjet Air là một trong những hãng hàng không hàng đầu Việt Nam với ưu điểm giá vé phải chăng. Mấy nay thời tiết Đà Nẵng nóng bức quá nên mình định book 1 vé ra Hà Nội ăn phở cho ấm rồi về thì phát hiện bất ngờ... {13}

Như thường lệ mình đăng nhập https://book.vietjetair.com/userprofilelogin.aspx?lang=vi để book vé. {113}

vj1.jpg
Vốn là người cẩn thận, mình thường sử dụng mật khẩu mạnh cho các tài khoản trực tuyến (độ dài trên 20 ký tự bao gồm ký tự đặc biệt) và với thói quen này mình đã quên mất mật khẩu. {49}

Nhưng không sao, mình dùng tính năng Quên mật khẩu thôi. {108}

vj2.jpg

Chỉ sau 3s đã có mail về, nhanh hơn cả Usain Bolt về đích: {8}
vj3.jpg
Và...

vj4.jpg

VietJet Air gửi thông tin đăng nhập về email bao gồm e-mail + password mà mình đã đăng ký trước đó và quên chớ không phải là một đường link để đặt lại mật khẩu. Điều đáng nói password gửi về lại có dạng plaint text đồng nghĩa với password người dùng đã không được mã hóa, với cách làm này ứng dụng web vẫn hoạt động tốt. Về phía người dùng phải nói là rất tiện dụng. Tuy nhiên đứng ở mặt bảo mật thì không ổn tí nào.

VietJet Air là một hãng hàng không lớn, và với trang đặt vé này thì lượng tài khoản có thể lên đến hàng triệu, và với những tài khoản dùng để đặt vé thì thông tin gần như thật 100%. Khi trang web hoạt động ổn và bảo mật tốt thì có thể không sao, nhưng trong trường hợp xảy ra sự cố rò rỉ dữ liệu thì những thông tin bị lộ sẽ ảnh hưởng rất lớn đến người dùng, đặc biệt là lộ mật khẩu không mã hóa người dùng có thể bị tấn công những tài khoản liên quan nếu đặt mật khẩu giống nhau cho các tài khoản.
Đây là một vấn đề quan trọng cần được quan tâm hơn vì có thể ảnh hưởng đến uy tín VietJet Air lẫn vấn đề riêng tư và bảo mật người dùng, hy vọng VietJet Air sẽ sớm xử lý trong thời gian tới.

Các bạn nghĩ sao về vấn đề này?
 
Chỉnh sửa lần cuối:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: narutotoma
Anh report cho Vietjet đi :)
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
điều này chưa hẳn nếu bạn biết chính xác mật khẩu cũ là vậy? hệ thống tự động tạo mk mới rồi update db và gửi bạn plantext cũng dc mà.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: Putin
Comment
điều này chưa hẳn nếu bạn biết chính xác mật khẩu cũ là vậy? hệ thống tự động tạo mk mới rồi update db và gửi bạn plantext cũng dc mà.
Gửi mật khẩu dạng Plain text thông qua email là cách thức không được khuyến nghị sử dụng bạn nhé, vì nhiều lý do mất an toàn.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Gửi mật khẩu dạng Plain text thông qua email là cách thức không được khuyến nghị sử dụng bạn nhé, vì nhiều lý do mất an toàn.
Thực ra e cho rằng vì là password random từ phía vietjet nên chắc chắn là sẽ yêu cầu người dùng thay đổi password.
Nếu không phải là máy tính bị nhiễm malware thì cũng đâu có cách nào sniff được từ ssl của mail đâu. Cái này có thể xem là tính năng nhưng chưa gây ra lỗi.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Liệu có một vụ Vietnam Airline thứ 2 ko ta?
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
điều này chưa hẳn nếu bạn biết chính xác mật khẩu cũ là vậy? hệ thống tự động tạo mk mới rồi update db và gửi bạn plantext cũng dc mà.
Chủ thớt nói rõ xem mật khẩu kia có đúng là mật khẩu cũ mà mình từng đặt không ?
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Confirm VietJet Air gởi password plaintext nhé.
screen-shot-2017-09-30-at-1-41-43-pm-png.2370
screen-shot-2017-09-30-at-1-41-43-pm-png.2371
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Confirm VietJet Air gởi password plaintext nhé.
screen-shot-2017-09-30-at-1-41-43-pm-png.2370
screen-shot-2017-09-30-at-1-41-43-pm-png.2371
Như vậy bạn ấy lưu mật khẩu KH dạng clear, và khi quên thì gửi lại chính mật khẩu này à
Vậy nhân viên VJ tự vào xem mật khẩu của KH được sao ?
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Anh report cho Vietjet đi :)

Mình đã liên hệ góp ý bên VietJet nhưng chưa có phản hồi.

điều này chưa hẳn nếu bạn biết chính xác mật khẩu cũ là vậy? hệ thống tự động tạo mk mới rồi update db và gửi bạn plantext cũng dc mà.
Thực ra e cho rằng vì là password random từ phía vietjet nên chắc chắn là sẽ yêu cầu người dùng thay đổi password.
Nếu không phải là máy tính bị nhiễm malware thì cũng đâu có cách nào sniff được từ ssl của mail đâu. Cái này có thể xem là tính năng nhưng chưa gây ra lỗi.
Chủ thớt nói rõ xem mật khẩu kia có đúng là mật khẩu cũ mà mình từng đặt không ?

VietJet gửi về mail mật khẩu mình đã tạo chớ không phải hệ thống tự sinh password rồi gửi về mail nhé. Lấy mật khẩu trong mail đăng nhập dùng tiếp không cần phải đổi password mới. Có thể mục đích của VietJet là đem lại sự tiện lợi, giảm phiền phức tối đa cho khách hàng. Tuy nhiên, đứng ở khía cạnh bảo mật thì nên xem xét lại vì bảo mật riêng tư của người dùng và vì uy tín công ty.

vj4-jpg.2369
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Mình đã liên hệ góp ý bên VietJet nhưng chưa có phản hồi.





VietJet gửi về mail mật khẩu mình đã tạo chớ không phải hệ thống tự sinh password rồi gửi về mail nhé. Lấy mật khẩu trong mail đăng nhập dùng tiếp không cần phải đổi password mới. Có thể mục đích của VietJet là đem lại sự tiện lợi, giảm phiền phức tối đa cho khách hàng. Tuy nhiên, đứng ở khía cạnh bảo mật thì nên xem xét lại vì bảo mật riêng tư của người dùng và vì uy tín công ty.

vj4-jpg.2369
Mật khẩu các tài khoản mình hay dùng chung lắm, giờ lộ mất cái mail là toi ngay, đi kèm là mất facebook, gmail etc :(
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Mình cũng gioogns bạn Poseidon vì tiện nên hay dùng chung mật khẩu. Thôi kiểu này phải đổi thôi. Cảm ơn bạn vì bài viết hữu ích nhé.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Bên trên