Vietjetair.com không mã hóa mật khẩu người dùng?

Thảo luận trong 'Thảo luận chung' bắt đầu bởi 5kytu, 29/09/17, 05:09 PM.

  1. 5kytu

    5kytu W-------

    Tham gia: 18/09/15, 11:09 PM
    Bài viết: 29
    Đã được thích: 22
    Điểm thành tích:
    8
    Như các bạn đã biết Vietjet Air là một trong những hãng hàng không hàng đầu Việt Nam với ưu điểm giá vé phải chăng. Mấy nay thời tiết Đà Nẵng nóng bức quá nên mình định book 1 vé ra Hà Nội ăn phở cho ấm rồi về thì phát hiện bất ngờ... {13}

    Như thường lệ mình đăng nhập https://book.vietjetair.com/userprofilelogin.aspx?lang=vi để book vé. {113}

    vj1.jpg
    Vốn là người cẩn thận, mình thường sử dụng mật khẩu mạnh cho các tài khoản trực tuyến (độ dài trên 20 ký tự bao gồm ký tự đặc biệt) và với thói quen này mình đã quên mất mật khẩu. {49}

    Nhưng không sao, mình dùng tính năng Quên mật khẩu thôi. {108}

    vj2.jpg

    Chỉ sau 3s đã có mail về, nhanh hơn cả Usain Bolt về đích: {8}
    vj3.jpg
    Và...

    vj4.jpg
    VietJet Air gửi thông tin đăng nhập về email bao gồm e-mail + password mà mình đã đăng ký trước đó và quên chớ không phải là một đường link để đặt lại mật khẩu. Điều đáng nói password gửi về lại có dạng plaint text đồng nghĩa với password người dùng đã không được mã hóa, với cách làm này ứng dụng web vẫn hoạt động tốt. Về phía người dùng phải nói là rất tiện dụng. Tuy nhiên đứng ở mặt bảo mật thì không ổn tí nào.

    VietJet Air là một hãng hàng không lớn, và với trang đặt vé này thì lượng tài khoản có thể lên đến hàng triệu, và với những tài khoản dùng để đặt vé thì thông tin gần như thật 100%. Khi trang web hoạt động ổn và bảo mật tốt thì có thể không sao, nhưng trong trường hợp xảy ra sự cố rò rỉ dữ liệu thì những thông tin bị lộ sẽ ảnh hưởng rất lớn đến người dùng, đặc biệt là lộ mật khẩu không mã hóa người dùng có thể bị tấn công những tài khoản liên quan nếu đặt mật khẩu giống nhau cho các tài khoản.
    Đây là một vấn đề quan trọng cần được quan tâm hơn vì có thể ảnh hưởng đến uy tín VietJet Air lẫn vấn đề riêng tư và bảo mật người dùng, hy vọng VietJet Air sẽ sớm xử lý trong thời gian tới.

    Các bạn nghĩ sao về vấn đề này?
     
    Chỉnh sửa cuối: 29/09/17, 06:09 PM
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    narutotoma thích bài này.
  2. tmnt53

    tmnt53 VIP Members

    Tham gia: 25/04/15, 09:04 AM
    Bài viết: 127
    Đã được thích: 98
    Điểm thành tích:
    28
    Anh report cho Vietjet đi :)
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  3. newbies8x

    newbies8x Member

    Tham gia: 09/08/17, 09:08 AM
    Bài viết: 9
    Đã được thích: 5
    Điểm thành tích:
    3
    điều này chưa hẳn nếu bạn biết chính xác mật khẩu cũ là vậy? hệ thống tự động tạo mk mới rồi update db và gửi bạn plantext cũng dc mà.
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    Putin thích bài này.
  4. nktung

    nktung Super Moderator Thành viên BQT

    Tham gia: 08/10/13, 04:10 AM
    Bài viết: 896
    Đã được thích: 370
    Điểm thành tích:
    83
    Gửi mật khẩu dạng Plain text thông qua email là cách thức không được khuyến nghị sử dụng bạn nhé, vì nhiều lý do mất an toàn.
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  5. poseidon

    poseidon Well-Known Member

    Tham gia: 09/04/17, 04:04 PM
    Bài viết: 88
    Đã được thích: 31
    Điểm thành tích:
    18
    Có phải là lỗi không mà report?
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  6. krone

    krone VIP Members

    Tham gia: 26/07/16, 03:07 PM
    Bài viết: 260
    Đã được thích: 137
    Điểm thành tích:
    43
    Thực ra e cho rằng vì là password random từ phía vietjet nên chắc chắn là sẽ yêu cầu người dùng thay đổi password.
    Nếu không phải là máy tính bị nhiễm malware thì cũng đâu có cách nào sniff được từ ssl của mail đâu. Cái này có thể xem là tính năng nhưng chưa gây ra lỗi.
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  7. Formular 1

    Formular 1 Member

    Tham gia: 10/04/17, 04:04 PM
    Bài viết: 10
    Đã được thích: 3
    Điểm thành tích:
    3
    Liệu có một vụ Vietnam Airline thứ 2 ko ta?
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  8. Putin

    Putin W-------

    Tham gia: 14/10/14, 03:10 AM
    Bài viết: 38
    Đã được thích: 8
    Điểm thành tích:
    18
    Chủ thớt nói rõ xem mật khẩu kia có đúng là mật khẩu cũ mà mình từng đặt không ?
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  9. nQg

    nQg W-------

    Tham gia: 05/01/15, 03:01 PM
    Bài viết: 25
    Đã được thích: 14
    Điểm thành tích:
    18
    Confirm VietJet Air gởi password plaintext nhé.[​IMG][​IMG]
     

    Các file đính kèm:

    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  10. Putin

    Putin W-------

    Tham gia: 14/10/14, 03:10 AM
    Bài viết: 38
    Đã được thích: 8
    Điểm thành tích:
    18
    Như vậy bạn ấy lưu mật khẩu KH dạng clear, và khi quên thì gửi lại chính mật khẩu này à
    Vậy nhân viên VJ tự vào xem mật khẩu của KH được sao ?
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  11. 5kytu

    5kytu W-------

    Tham gia: 18/09/15, 11:09 PM
    Bài viết: 29
    Đã được thích: 22
    Điểm thành tích:
    8
    Mình đã liên hệ góp ý bên VietJet nhưng chưa có phản hồi.

    VietJet gửi về mail mật khẩu mình đã tạo chớ không phải hệ thống tự sinh password rồi gửi về mail nhé. Lấy mật khẩu trong mail đăng nhập dùng tiếp không cần phải đổi password mới. Có thể mục đích của VietJet là đem lại sự tiện lợi, giảm phiền phức tối đa cho khách hàng. Tuy nhiên, đứng ở khía cạnh bảo mật thì nên xem xét lại vì bảo mật riêng tư của người dùng và vì uy tín công ty.

    [​IMG]
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  12. poseidon

    poseidon Well-Known Member

    Tham gia: 09/04/17, 04:04 PM
    Bài viết: 88
    Đã được thích: 31
    Điểm thành tích:
    18
    Mật khẩu các tài khoản mình hay dùng chung lắm, giờ lộ mất cái mail là toi ngay, đi kèm là mất facebook, gmail etc :(
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  13. narutotoma

    narutotoma Member

    Tham gia: 11/04/17, 10:04 AM
    Bài viết: 16
    Đã được thích: 2
    Điểm thành tích:
    3
    Mình cũng gioogns bạn Poseidon vì tiện nên hay dùng chung mật khẩu. Thôi kiểu này phải đổi thôi. Cảm ơn bạn vì bài viết hữu ích nhé.
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan