Cảnh báo lổ hổng làm lộ thông tin nhạy cảm của 4 triệu người dùng tại Việt Nam

boomgia

W-------
03/08/2014
2
3 bài viết
Cảnh báo lổ hổng làm lộ thông tin nhạy cảm của 4 triệu người dùng tại Việt Nam
Chào ban quản trị WhiteHat,

Mình vừa phát hiện một lổ hổng cực trị nghiêm trọng, lổ hổng này có thể giúp hacker dễ dàng chiếm đoạt thông tin nhạy cảm (họ tên, sđt, email, địa chỉ,...) của hơn 4 triệu người dùng trên ứng dụng của công ty X (xin được giấu tên vì lổ hổng chưa được vá). Tuy đã liên lạc với công ty X hơn 3 ngày trước nhưng họ vẫn chưa khắc phục được lổ hổng này, nên qua đây mong WhiteHat bằng nhiều biện pháp để có thể giúp đỡ cảnh báo đến người dùng cũng như vá lổ hổng này.

Chi tiết phân tích lổ hổng nghiêm trọng này có thể xem tại: https://yabeow.com/4-trieu-thong-ti...-hoi-ve-thuc-trang-an-ninh-mang-tai-viet-nam/
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Trước hết cảm ơn bạn về tinh thần sẵn sàng cảnh báo khi gặp lỗ hổng ảnh hưởng đến thông tin người dùng.

Như trong blog của bạn có viết "Liệu doanh nghiệp, tổ chức ở Việt Nam có chú ý tới An ninh mạng?" và phần "Timeline" X cũng đã tiếp nhận vấn đề bạn report (sau 1 ngày). Không phải đơn vị nào cũng có thể khắc phục ngay lỗ hổng khi gặp vấn đề, nhất là ở Việt Nam (mới đây Google cũng công bố 1 lỗ hổng của Microsoft sau khi cảnh báo 90 ngày chưa được khắc phục)

Mình nghĩ bạn nên cho X thêm thời gian.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Mình cũng nghĩ như vậy. Tuy nhiên trong quá trình khắc phục lỗi X nên có biện pháp hạn chế/khắc phục tạm thời lỗi này để không bị khai thác gây hại cho nguời dùng (điều này hoàn toàn có thể). Mong WhiteHat hỗ trợ cùng X để khắc phục :)
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Sáng nay mình có liên hệ với bạn boomgia và kiểm tra đúng là có tồn tại lỗ hổng như bạn report.

Tuy nhiên trên blog của bạn đã có nội dung "Gặp trực tiếp đại diện của X trên văn phòng của X và trao đổi một số thông tin liên quan." nên BQT sẽ không gửi cảnh báo đến X nữa do các bên đã gặp trực tiếp và trao đổi cụ thể với nhau.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Bên trên