Hacker rao bán mã nguồn giao hàng tiết kiệm ( GHTK)

VNZ-NEWS
(Vn-Z.vn) Ngày 25 tháng 11 , Theo một bài viết được chia sẻ trên trang medium , hacker rao bán hơn 4GB mã nguồn của hệ thống Giaohangtietkiem (GHTK). Được biết GHTK là công ty chuyên trong lĩnh vực Logicstic , vận chuyển Thương mại điện tử chuyên nghiệp. Công ty này cung cấp dịch vụ giao nhận tận nơi, tiện lợi đối với các cửa hàng hoặc doanh nghiệp trực tuyến. GHTK hiện có phạm vi hoạt động rộng khắp tại Việt Nam với hơn 1.000 chi nhánh trên cả nước, 20.000 chủ hàng hoạt động liên tục.
Hệ thống thông tin của GHTK sẽ có rất nhiều thông tin khách hàng như tên, số điện thoại, địa chỉ nhận hàng, hàng hóa bị nếu bị rao bán hoặc tung ra ngoài.

16ZFJnqTNhyUpzBYC5YrRpw.png


Giao diện GHTK

Hacker nói rằng “Hệ thống của GHTK bị tấn công bởi lỗ hổng lớn cho phép hacker xem, chỉnh sửa hoặc thay đổi mã nguồn của bất kỳ dự án nào và hacker đã tận dụng lỗ hổng này bằng cách tải xuống tất cả mã nguồn!”. Anh ấy nói thêm, " Hiện tại lỗ hổng đã được vá."

1oFwzAJpX1n7oU0UEtyXeIQfd11fdd4c974953e.png

Toàn bộ mã nguồn của GHTK

Theo tác giả Elliot Alderson chia sẻ trên Medium ,Họ đã thảo luận với hacker và xác nhận rằng thông tin trên là chính xác. Tuy nhiên, hacker không chia sẻ chi tiết về các lỗ hổng mà hacker đã thực hiện tấn công. Theo phỏng đoán của Elliot, lỗ hổng có thể từ việc sơ suất trong cấu hình DevOps của lập trình viên, quản trị hệ thống hoặc do mật khẩu yếu.

Thông tin khách hàng và cơ sở dữ liệu là lợi thế cạnh tranh quan trọng nhất và là trọng tâm trong mỗi hệ sinh thái kinh doanh. Do đó, quản lý tài nguyên này là rất quan trọng. Việc không quản lý tốt sẽ ảnh hưởng đến thương hiệu và làm mất lòng tin của người tiêu dùng khi tài nguyên khách hàng bị tiết lộ và đây cũng là mục tiêu của nhiều hacker.


10C6l3mMlR0a9ih5p0bDyCw.png


Trong bối cảnh thương mại điện tử, mạng xã hội đang là xu hướng phát triển của nền kinh tế số. Đặc biệt là khi thanh toán trực tuyến ngày càng phổ biến, việc bảo vệ thông tin người tiêu dùng cần được đặt lên hàng đầu.

Hiện tại vẫn chưa có bất kỳ nguồn thông tin nào về việc dữ liệu cá nhân của khách hàng sử dụng dịch vụ GHTK có bị khai thác hay không. Có thông tin tiết lộ rằng trước đây hacker rất muốn thông báo với đội ngũ quản lý của GHTK về lỗ hổng . Tuy nhiên việc báo cáo với GHTK đều không được, trên sàn dành cho các hacker mũ trắng , GHTK đang đóng nhận báo cáo các lỗ hổng.


Screenshot_2020-11-25-GHTK-WhiteHub---Crowdsourced-Security-Platform.png

Chương trình báo cáo lỗ hổng đang bị đóng tại hệ thống Whitehub.net




Quy định chung
Thông báo
GHTK sẽ tạm đóng chương trình để xử lý các báo cáo đã được gửi đến. Chúng tôi sẽ mở lại chương trình trong thời gian tới.
Chính sách bắt buộc
Dưới đây là các yêu cầu bắt buộc với các nhà nghiên cứu và hacker mũ trắng khi thông báo lỗi:
  • Để tránh gián đoạn dịch vụ, các hoạt động scan tự động chỉ được phép thực hiện từ 7PM - 7AM. Các IP thực hiện scan ngoài khung giờ trên sẽ bị block.
  • Không được phép truy cập hay tải xuống dữ liệu cá nhân của người dùng, nếu bạn vô tình phát hiện một lỗ hổng như vậy, hãy dừng lại và thông báo cho chúng tôi ngay lập tức.
  • Không được làm ảnh hưởng đến hoạt động của dịch vụ như gây gián đoạn dịch vụ, phá hủy dữ liệu người dùng trong quá trình tìm lỗi.
  • Chỉ thu thập các thông tin vừa đủ cho việc mô tả lỗ hổng.
  • Cung cấp cho chúng tôi càng nhiều thông tin càng tốt về lỗ hổng mà bạn tìm được, bạn có thể đính kèm file trong báo cáo tại WhiteHub hoặc sử dụng dịch vụ lưu trữ file khác, tuy nhiên hãy chắc chắn rằng chúng chỉ được tiết lộ cho chúng tôi.
  • Mọi câu hỏi hay báo cáo lỗi với doanh nghiệp chỉ được thực hiện qua WhiteHub, vui lòng không liên hệ trực tiếp với doanh nghiệp. Điều này giúp bảo đảm quyền lợi của bạn cũng như tránh các rắc rối khác
  • Không được phép thảo luận công khai về chương trình này
  • Không được phép công khai báo cáo của bạn cho cộng đồng khi chưa được sự đồng ý của chúng tôi. Trong điều kiện cho phép, chúng tôi có thể hỗ trợ bạn việc công khai báo cáo ngay trên hệ thống WhiteHub
Các vi phạm sẽ bị xử lý bằng cách cảnh cáo, từ chối trả tiền thưởng hoặc khóa tài khoản vĩnh viễn trên WhiteHub
Các lỗ hổng cần tập trung
Chúng tôi quan tâm đến bất kỳ vấn đề thiết kế hoặc triển khai nào ảnh hưởng đáng kể đến tính bảo mật hoặc tính toàn vẹn của dữ liệu người dùng và trong phạm vi của chương trình. Bao gồm
  • Remote Code Execution
  • SQL Injection (SQLi)
  • Business Logic
  • Mobile-specific API vulnerabilities
  • Cross Site Scripting (XSS)
  • Cross-Site Request Forgery (CSRF)
  • Các vấn đề liên quan đến Authentication hoặc Authorization
  • Data Exposure
Các lỗi không hợp lệ
Tùy thuộc vào tác động của lỗ hổng, một số vấn đề được báo cáo có thể không được xem là lỗi hợp lệ. Chúng tôi sẽ xem xét chúng theo từng trường hợp cụ thể. Dưới đây là một số loại lỗi sẽ không nhận được thưởng
  • Các lỗi không tuân theo logic của người dùng và sẽ khó xảy ra thực tế
  • Các lỗi chỉ xảy ra khi sử dụng trình duyệt hay plugin phiên bản rất thấp
  • Lỗi cho phép lấy thông tin phiên bản của các công nghệ web
  • URL redirection
  • Logout cross-site request forgery
  • Email spoofing
  • DDoS

Vn-Z.vn team tổng hợp nguồn Medium
 
Trả lời

VNZ-NEWS

Administrator
Cập nhật từ GHTK

GHTK nhanh chóng vào cuộc xử lý lỗ hổng bảo mật từ máy chủ không còn sử dụng, đảm bảo an toàn thông tin cho khách hàng
Ngày 24/11/2020, Công ty Cổ phần Giao hàng tiết kiệm (GHTK) nhận được thông tin về sự việc lộ một phần mã nguồn của GHTK (không bao gồm cơ sở dữ liệu).
Sau khi nhận được thông tin, bộ phận An ninh bảo mật GHTK đã ngay lập tức tiếp nhận và phân tích điều tra sự việc, kết quả như sau:
1. Một máy chủ phát triển ứng dụng của GHTK có lỗ hổng bảo mật, có thể đã cho phép đối tượng đánh cắp một phần mã nguồn ứng dụng của GHTK. Đây là máy chủ cũ, không còn sử dụng nữa.
2. Lỗ hổng đối tượng sử dụng GHTK đã khắc phục từ trước đó. Máy chủ ứng dụng đã được cập nhật phiên bản mới nhất.
3. Thông tin bị lộ không bao gồm thông tin khách hàng. Mọi thông tin khách hàng và đối tác GHTK vẫn được đảm bảo an toàn.
Sự cố kể trên đã khiến không ít khách hàng của GHTK lo lắng về nguy cơ rò rỉ thông tin. Tuy nhiên, GHTK CAM KẾT BẢO MẬT MỌI THÔNG TIN KHÁCH HÀNG. Để đảm bảo an toàn thông tin, GHTK đã chủ động thực hiện rà soát an toàn thông tin toàn bộ và có thêm các biện pháp nghiệp vụ định kỳ theo tháng nhằm gia tăng tính bảo mật trên toàn hệ thống.
GHTK chân thành xin lỗi Quý Khách hàng về trải nghiệm này.
GHTK sẽ tiếp tục nỗ lực cải thiện và nâng cao chất lượng để mang lại cho Quý Khách hàng những dịch vụ tốt nhất.
 

Tanpi

Búa Gỗ Đôi
chẳng biết có bưng bít thông tin không nữa. Chưa kể nếu có lộ đi chăng nữa thì chắc cũng phải giấu chứ nếu không chắc đại loạn