Quá trình xử lý lỗi.............................................................................................................
Tối thứ 4 ngày 16/11, mình tìm ra lỗi này, bắt đầu liên hệ với lozi.vn.
Chiều thứ 6 ngày 18/11, mình nhận được reply từ fanpage của lozi. Khoảng 5 phút sau khi
mình gửi mail cho team lozi thì lỗi đã được fix ngay lập tức.
Ngay sáng thứ 7 ngày 19/11, mình đã nhận được mail reply rất tận tình của người chịu trách
nhiệm dù đang là thứ 7. Hoan hô lozi. Thái độ làm việc khác hẳn với bên lotte cinema, bơ
mình hơn nửa tháng trời.
Khoảng 4,5 ngày sau khi mình báo cáo lỗi thì lozi cũng đã cập nhật https và thêm token cho
các API rồi nhé.
Nhận xét
Trong suy nghĩ chung của developer, các RestAPI này thường bị ẩn đi, người dùng không
thấy nên không thế nghịch được. Tiếc thay, developer và hacker có thể dễ dàng decompiler
app và “nghịch ngợm” các API này.
Thật ra, không chỉ có team lozi mà đa phần các team khác cũng khá thiếu cảnh giác về việc
bảo mật API. Điển hình là vụ CGV lộ 3 triệu người dùng cũng do API mobile. Tuy nhiên, team
Foody và Lozi đã bảo mật API khá tốt, mình nghịch thử mà không thu được kết quả gì.