Cảnh báo lổ hổng làm lộ thông tin nhạy cảm của 4 triệu người dùng tại Việt Nam

Thảo luận trong 'Cảnh báo an ninh mạng' bắt đầu bởi boomgia, 23/02/17, 05:02 PM.

  1. boomgia

    boomgia W-------

    Tham gia: 03/08/14, 09:08 AM
    Bài viết: 4
    Đã được thích: 2
    Điểm thành tích:
    3
    Chào ban quản trị WhiteHat,

    Mình vừa phát hiện một lổ hổng cực trị nghiêm trọng, lổ hổng này có thể giúp hacker dễ dàng chiếm đoạt thông tin nhạy cảm (họ tên, sđt, email, địa chỉ,...) của hơn 4 triệu người dùng trên ứng dụng của công ty X (xin được giấu tên vì lổ hổng chưa được vá). Tuy đã liên lạc với công ty X hơn 3 ngày trước nhưng họ vẫn chưa khắc phục được lổ hổng này, nên qua đây mong WhiteHat bằng nhiều biện pháp để có thể giúp đỡ cảnh báo đến người dùng cũng như vá lổ hổng này.

    Chi tiết phân tích lổ hổng nghiêm trọng này có thể xem tại: https://yabeow.com/4-trieu-thong-ti...-hoi-ve-thuc-trang-an-ninh-mang-tai-viet-nam/
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  2. sunny

    sunny Điều hành viên Thành viên BQT

    Tham gia: 30/06/14, 10:06 PM
    Bài viết: 1,811
    Đã được thích: 803
    Điểm thành tích:
    113
    Trước hết cảm ơn bạn về tinh thần sẵn sàng cảnh báo khi gặp lỗ hổng ảnh hưởng đến thông tin người dùng.

    Như trong blog của bạn có viết "Liệu doanh nghiệp, tổ chức ở Việt Nam có chú ý tới An ninh mạng?" và phần "Timeline" X cũng đã tiếp nhận vấn đề bạn report (sau 1 ngày). Không phải đơn vị nào cũng có thể khắc phục ngay lỗ hổng khi gặp vấn đề, nhất là ở Việt Nam (mới đây Google cũng công bố 1 lỗ hổng của Microsoft sau khi cảnh báo 90 ngày chưa được khắc phục)

    Mình nghĩ bạn nên cho X thêm thời gian.
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  3. boomgia

    boomgia W-------

    Tham gia: 03/08/14, 09:08 AM
    Bài viết: 4
    Đã được thích: 2
    Điểm thành tích:
    3
    Mình cũng nghĩ như vậy. Tuy nhiên trong quá trình khắc phục lỗi X nên có biện pháp hạn chế/khắc phục tạm thời lỗi này để không bị khai thác gây hại cho nguời dùng (điều này hoàn toàn có thể). Mong WhiteHat hỗ trợ cùng X để khắc phục :)
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  4. sunny

    sunny Điều hành viên Thành viên BQT

    Tham gia: 30/06/14, 10:06 PM
    Bài viết: 1,811
    Đã được thích: 803
    Điểm thành tích:
    113
    Sáng nay mình có liên hệ với bạn boomgia và kiểm tra đúng là có tồn tại lỗ hổng như bạn report.

    Tuy nhiên trên blog của bạn đã có nội dung "Gặp trực tiếp đại diện của X trên văn phòng của X và trao đổi một số thông tin liên quan." nên BQT sẽ không gửi cảnh báo đến X nữa do các bên đã gặp trực tiếp và trao đổi cụ thể với nhau.
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan