Tin tức

Liệu VietnamWorks có biết bảo mật thông tin người dùng?

03 / 11 / 2016

Theo thông tin mới nhất được cục An Toàn Thông Tin hôm nay công bố 02/11/2016, hệ thống website tuyển dụng lớn nhất Việt Nam là VietnamWorks hôm nay đã bị tấn công, và theo chia sẻ của cục An Toàn Thông Tin thì hơn chục nghìn tài khoản người dùng bị rò rỉ.

Điều đáng nói ở đây là thông tin của người dùng bị lộ ra bao gồm: mật khẩu không được mã hoá và tên đăng nhập vào tài khoản. 

Chuyện nói ra thật mà như đùa, với tầm cỡ là một sản phẩm dịch vụ lớn nhất trong hệ thống tuyển dụng ở Việt Nam, và bị sở hữu bởi một công ty Nhật có tiếng Navigos Group mà không có một chút quan tâm tới bảo vệ người dùng. Nói đơn giản thôi, mật khẩu không được mã hoá là một trong những điều quá tồi tệ.

Chưa xong chuyện mật khẩu người dùng không được mã hoá, việc truy cập vào trong VietnamWorks cũng không được bảo vệ, vì tới tận bây giờ sau bao nhiêu năm triển khai, công ty vẫn chưa biết cách thiết lập SSL cho dịch vụ. Cho nên, nếu như người dùng mà đăng nhập vào VietnamWorks ở các mạng Wifi công cộng thì cần dè chừng một chút vì hacker có thể nằm đâu đó bắt gói tin tài khoản người dùng gửi tới VietnamWorks. 

Tuy nhiên, nếu như bạn vào địa chỉ: https://vietnamworks.com , bạn sẽ thấy cái hình thế này,

Nội dung trang là trắng tinh. Như vậy có nghĩa là server đã có triển khai SSL (443) nhưng tại sao trang lại không có gì? Điều này có thể giải thích rất dễ hiểu, bạn chỉ cần bật nmap lên, scan nhẹ nhàng thôi sẽ được như thế này:

PORT    STATE  SERVICE  VERSION
25/tcp  closed smtp
80/tcp  open   http     nginx 1.10.1
|_http-favicon: Unknown favicon MD5: 4D3FA2FC9F124BDED918F66A869E683D
| http-git:
|   113.52.45.12:80/.git/
|_    Potential Git repository found (found 1/6 expected files)
| http-methods:
|_  Supported Methods: GET HEAD POST OPTIONS
| http-robots.txt: 20 disallowed entries (15 shown)
| /cgi-bin/ /online_interview/ /yeucongviec/
| /cuocsongtuyetvoi/ /tutinthanhcong/
| /jobseekers/resume_edit_mod1_5.php* /jobseekers/jobdetail_print.php?* /dang-nhap/?*
| /login/?* /employers/login.php?*
| /employers/searchresults.php?* /press-corner/index.php
| /jobseekers/TRG_vacancies.php* /jobseekers/apply_online.php?*
|_/viec-lam/nop-ho-so-truc-tuyen/
|_http-server-header: nginx/1.10.1
| http-title: Vi\xE1\xBB\x87c l\xC3\xA0m & Tuy\xE1\xBB\x83n d\xE1\xBB\xA5ng - T\xC3\xACm vi\xE1\xBB\x87c l\xC3\xA0m m\xE1\xBB\x9Bi t\xE1\xBA\xA1i Vi...
|_Requested resource was http://www.vietnamworks.com/
443/tcp open   ssl/http nginx 1.10.1
| http-git:
|   113.52.45.12:443/.git/
|     Git repository found!
|     Repository description: Unnamed repository; edit this file 'description' to name the...
|     Remotes:
|       git@gitlab.navigosgroup.com:web-sites/mobileapps.git
|_    Project type: PHP application (guessed from .gitignore)
| http-methods:
|_  Supported Methods: GET HEAD POST
|_http-server-header: nginx/1.10.1
|_http-title: Site doesn't have a title (text/html).
| ssl-cert: Subject: commonName=*.vietnamworks.com
| Issuer: commonName=GlobalSign Domain Validation CA - G2/organizationName=GlobalSign nv-sa/countryName=BE
| Public Key type: rsa
| Public Key bits: 2048
| Signature Algorithm: sha1WithRSAEncryption
| Not valid before: 2014-05-08T04:26:46
| Not valid after:  2017-05-08T04:26:46
| MD5:   b4eb b28a cd8e b368 2059 9235 bb58 a0b5
|_SHA-1: 68d2 54fe 9fed fc42 7a54 7d28 92ff 4005 6597 1e37
|_ssl-date: 2016-11-03T14:08:17+00:00; 0s from scanner time.
| tls-nextprotoneg:
|_  http/1.1

Ồ ra vậy, SSL để xác thực cho việc triển khai mã nguồn sử dụng Git. Rất tiếc, không triển khai để bảo vệ người dùng.

Tưởng vậy là đủ? Không ổn nữa luôn, ngay lúc này, nếu bạn có tài khoản trên VietnamWorks, hãy vào mục Tài Khoản, rồi đổi mật khẩu mới. VietnamWorks sẽ cho bạn một niềm vui nho nhỏ vào trong email của bạn, một email hiển thị đầy đủ nội dung đăng nhập vào tài khoản của bạn bao gồm: tài khoản email đăng nhập và mật khẩu rõ mồn một. Thực sự là không thể hiểu nổi tại sao lại cần thiết gửi lại cái mật khẩu của người dùng vào mail làm gì???

Mật khẩu từ VietnamWorks - kodemate.com

Chỉ qua vài điểm đó thôi thì bạn có thể cảm thấy giống như tôi, lo ngại về sự an toàn thông tin cá nhân của bạn ở trên VietnamWorks.

Cũng theo như tin mới nhất chia sẻ từ CEO của Navigos rằng:

Theo như chúng tôi được biết, ngày hôm qua – 2/11/2016, đã có cá nhân cố gắng truy cập một cách bất hợp pháp vào trang web Đăng Ký Tham Gia Hội Thảo của chúng tôi. Đây là một trang web độc lập hoàn toàn với hệ thống chính của VietnamWorks. Chúng tôi đã nhận diện tài khoản email đằng sau nỗ lực xâm nhập trang Đăng Ký Tham Gia Hội Thảo và sẽ tiến hành những thủ tục pháp lý cần thiết đối với cá nhân này.

Chúng tôi muốn khẳng định lại lần nữa rằng toàn bộ những dữ liệu người tìm việc, nhà tuyển dụng và các cá nhân liên quan trên VietnamWorks đều được đảm bảo an toàn. Trước sự việc ngày hôm qua, chúng tôi đã tăng cường các biện pháp an ninh mạng để đảm bảo chắc chắn hơn nữa những nỗ lực xâm nhập dữ liệu trong tương lai sẽ bị ngăn chặn.

Nếu đúng là việc một cá nhân nào đó đã cố gắng truy cập bất hợp pháp vào một server khác với server chính hiện tại của VietnamWorks, thì có lẽ phần nào người cũng có một chút yên tâm, nhưng điều này không có nghĩa là server chính hiện tại đang được an toàn!

Dẫu sao CEO của Navigos (hay ông chủ của VietnamWorks) là một người Nhật, chúng ta cũng nên đặt niềm tin một chút vào sự thẳng thắn và quyết tâm của họ. Hi vọng VietnamWorks sẽ thực sự cải thiện và bảo mật người dùng một cách tốt hơn.

Ngay lúc này các bạn nên thay đổi mật khẩu của tài khoản trên VietnamWorks, có còn hơn không. Ngoài ra, hãy thay đổi mật khẩu ở những dịch vụ website nào khác mà bạn đang sử dụng có tài khoản đăng nhập giống trên VietnamWorks để đảm bảo an toàn cho chính bạn.

Tiện đây, chia sẻ vui một chút với các bạn có quan tâm tới công nghệ sử dụng trên VietnamWorks. Như đề cập ở trên, bạn thấy là hệ thống sử dụng:

  • Git để quản lý mã nguồn, chúng ta có thể thấy ngay đường dẫn tới git: git@gitlab.navigosgroup.com:web-sites/mobileapps.git , dựa theo tên thì cũng có lý do băn khoăn chút là mã nguồn bản web hay bản mobile? :D
  • Server nginx 1.10.1, sử dụng ngôn ngữ lập trình PHP.
  • Sử dụng Composer, Laravel, PHPUnit.
  • IDE sử dụng là PHPStorm.

Nếu các bạn muốn tìm hiểu PHP, Laravel, hãy vào mục Danh Sách Khoá Học để tìm khoá học phù hợp với bạn nhé.


Quay lại danh sách
CHIA SẺ BÀI VIẾT
KodeMate
Chat với chúng tôi Chat với chúng tôi - kodemate.com