LOZI.VN ĐÃ “VÔ Ý” ĐỂ LỘ DỮ LIỆU 2 TRIỆU NGƯỜI DÙNG NHƯ THẾ NÀO?
Trong quá trình viết series Bảo mật nhập môn, mình vẫn hay đi nghịch dạo, tìm lỗi bảo mật
dạo theo tinh thần “code dạo” của blog. Lẽ tất nhiên, đã tìm lỗi thì phải tìm các trang to to,
nhiều người dùng một tí, chứ trang nho nhỏ thì ai quan tâm.
Là developer, mình không đủ giỏi về mạng hay hạ tầng để có thể tấn công server hay DDOS gì
gì đó. Vì vậy, mình quyết định chỉ kiểm tra web và app, hai thứ mình rành nhất. Việt Nam nói
là làm, mình bắt đầu truy cập website của app của 1 số ông lớn như tiki, lazada, foody....
Việc dò lỗi cũng giống như câu cá vậy, đôi khi câu được cá bự, đôi khi câu cả buổi không được
con nào. Kì này, mình câu được một con cá nho nhỏ mà... nguy hiểm của lozi.vn.
Dò tìm từ web
Khi vào giao diện lozi.vn, đập vào mắt mình là lỗi bự nhất: không có HTTPS! Nói đơn giản, lướt
web có thông tin quan trọng mà không có HTTP cũng giống như các bạn đi mát xa, nhầm, đi
chịch mà không dùng BCS vậy. Hacker có thể chôm dữ liệu của bạn trong nháy mắt khi bạn
không hay biết gì. (Xem thêm về độ bảo mật của giao thức HTTP).
Tiếp theo, mình bắt đầu nghịch ngợm bằng cách ... mở Chrome Developer Tool. Đừng coi
thường nó nhé, công cụ này “bá đạo” lắm đấy. Chà, thử xem ta có gì nào?
M ình biết mình đẹp trai, nhưng các bạn đừng nhìn mình mà hãy nhìn vùng khoanh đỏ