(Vn-Z.vn) Ngày 25 tháng 11 , Theo một bài viết được chia sẻ trên trang medium , hacker rao bán hơn 4GB mã nguồn của hệ thống Giaohangtietkiem (GHTK). Được biết GHTK là công ty chuyên trong lĩnh vực Logicstic , vận chuyển Thương mại điện tử chuyên nghiệp. Công ty này cung cấp dịch vụ giao nhận tận nơi, tiện lợi đối với các cửa hàng hoặc doanh nghiệp trực tuyến. GHTK hiện có phạm vi hoạt động rộng khắp tại Việt Nam với hơn 1.000 chi nhánh trên cả nước, 20.000 chủ hàng hoạt động liên tục.
Hệ thống thông tin của GHTK sẽ có rất nhiều thông tin khách hàng như tên, số điện thoại, địa chỉ nhận hàng, hàng hóa bị nếu bị rao bán hoặc tung ra ngoài.
Giao diện GHTK
Hacker nói rằng “Hệ thống của GHTK bị tấn công bởi lỗ hổng lớn cho phép hacker xem, chỉnh sửa hoặc thay đổi mã nguồn của bất kỳ dự án nào và hacker đã tận dụng lỗ hổng này bằng cách tải xuống tất cả mã nguồn!”. Anh ấy nói thêm, " Hiện tại lỗ hổng đã được vá."
Toàn bộ mã nguồn của GHTK
Theo tác giả Elliot Alderson chia sẻ trên Medium ,Họ đã thảo luận với hacker và xác nhận rằng thông tin trên là chính xác. Tuy nhiên, hacker không chia sẻ chi tiết về các lỗ hổng mà hacker đã thực hiện tấn công. Theo phỏng đoán của Elliot, lỗ hổng có thể từ việc sơ suất trong cấu hình DevOps của lập trình viên, quản trị hệ thống hoặc do mật khẩu yếu.
Thông tin khách hàng và cơ sở dữ liệu là lợi thế cạnh tranh quan trọng nhất và là trọng tâm trong mỗi hệ sinh thái kinh doanh. Do đó, quản lý tài nguyên này là rất quan trọng. Việc không quản lý tốt sẽ ảnh hưởng đến thương hiệu và làm mất lòng tin của người tiêu dùng khi tài nguyên khách hàng bị tiết lộ và đây cũng là mục tiêu của nhiều hacker.
Trong bối cảnh thương mại điện tử, mạng xã hội đang là xu hướng phát triển của nền kinh tế số. Đặc biệt là khi thanh toán trực tuyến ngày càng phổ biến, việc bảo vệ thông tin người tiêu dùng cần được đặt lên hàng đầu.
Hiện tại vẫn chưa có bất kỳ nguồn thông tin nào về việc dữ liệu cá nhân của khách hàng sử dụng dịch vụ GHTK có bị khai thác hay không. Có thông tin tiết lộ rằng trước đây hacker rất muốn thông báo với đội ngũ quản lý của GHTK về lỗ hổng . Tuy nhiên việc báo cáo với GHTK đều không được, trên sàn dành cho các hacker mũ trắng , GHTK đang đóng nhận báo cáo các lỗ hổng.
Chương trình báo cáo lỗ hổng đang bị đóng tại hệ thống Whitehub.net
Vn-Z.vn team tổng hợp nguồn Medium
Hệ thống thông tin của GHTK sẽ có rất nhiều thông tin khách hàng như tên, số điện thoại, địa chỉ nhận hàng, hàng hóa bị nếu bị rao bán hoặc tung ra ngoài.
Giao diện GHTK
Hacker nói rằng “Hệ thống của GHTK bị tấn công bởi lỗ hổng lớn cho phép hacker xem, chỉnh sửa hoặc thay đổi mã nguồn của bất kỳ dự án nào và hacker đã tận dụng lỗ hổng này bằng cách tải xuống tất cả mã nguồn!”. Anh ấy nói thêm, " Hiện tại lỗ hổng đã được vá."
Toàn bộ mã nguồn của GHTK
Theo tác giả Elliot Alderson chia sẻ trên Medium ,Họ đã thảo luận với hacker và xác nhận rằng thông tin trên là chính xác. Tuy nhiên, hacker không chia sẻ chi tiết về các lỗ hổng mà hacker đã thực hiện tấn công. Theo phỏng đoán của Elliot, lỗ hổng có thể từ việc sơ suất trong cấu hình DevOps của lập trình viên, quản trị hệ thống hoặc do mật khẩu yếu.
Thông tin khách hàng và cơ sở dữ liệu là lợi thế cạnh tranh quan trọng nhất và là trọng tâm trong mỗi hệ sinh thái kinh doanh. Do đó, quản lý tài nguyên này là rất quan trọng. Việc không quản lý tốt sẽ ảnh hưởng đến thương hiệu và làm mất lòng tin của người tiêu dùng khi tài nguyên khách hàng bị tiết lộ và đây cũng là mục tiêu của nhiều hacker.
Trong bối cảnh thương mại điện tử, mạng xã hội đang là xu hướng phát triển của nền kinh tế số. Đặc biệt là khi thanh toán trực tuyến ngày càng phổ biến, việc bảo vệ thông tin người tiêu dùng cần được đặt lên hàng đầu.
Hiện tại vẫn chưa có bất kỳ nguồn thông tin nào về việc dữ liệu cá nhân của khách hàng sử dụng dịch vụ GHTK có bị khai thác hay không. Có thông tin tiết lộ rằng trước đây hacker rất muốn thông báo với đội ngũ quản lý của GHTK về lỗ hổng . Tuy nhiên việc báo cáo với GHTK đều không được, trên sàn dành cho các hacker mũ trắng , GHTK đang đóng nhận báo cáo các lỗ hổng.
Chương trình báo cáo lỗ hổng đang bị đóng tại hệ thống Whitehub.net
Quy định chung
Thông báo
GHTK sẽ tạm đóng chương trình để xử lý các báo cáo đã được gửi đến. Chúng tôi sẽ mở lại chương trình trong thời gian tới.
Chính sách bắt buộc
Dưới đây là các yêu cầu bắt buộc với các nhà nghiên cứu và hacker mũ trắng khi thông báo lỗi:
Các vi phạm sẽ bị xử lý bằng cách cảnh cáo, từ chối trả tiền thưởng hoặc khóa tài khoản vĩnh viễn trên WhiteHub
- Để tránh gián đoạn dịch vụ, các hoạt động scan tự động chỉ được phép thực hiện từ 7PM - 7AM. Các IP thực hiện scan ngoài khung giờ trên sẽ bị block.
- Không được phép truy cập hay tải xuống dữ liệu cá nhân của người dùng, nếu bạn vô tình phát hiện một lỗ hổng như vậy, hãy dừng lại và thông báo cho chúng tôi ngay lập tức.
- Không được làm ảnh hưởng đến hoạt động của dịch vụ như gây gián đoạn dịch vụ, phá hủy dữ liệu người dùng trong quá trình tìm lỗi.
- Chỉ thu thập các thông tin vừa đủ cho việc mô tả lỗ hổng.
- Cung cấp cho chúng tôi càng nhiều thông tin càng tốt về lỗ hổng mà bạn tìm được, bạn có thể đính kèm file trong báo cáo tại WhiteHub hoặc sử dụng dịch vụ lưu trữ file khác, tuy nhiên hãy chắc chắn rằng chúng chỉ được tiết lộ cho chúng tôi.
- Mọi câu hỏi hay báo cáo lỗi với doanh nghiệp chỉ được thực hiện qua WhiteHub, vui lòng không liên hệ trực tiếp với doanh nghiệp. Điều này giúp bảo đảm quyền lợi của bạn cũng như tránh các rắc rối khác
- Không được phép thảo luận công khai về chương trình này
- Không được phép công khai báo cáo của bạn cho cộng đồng khi chưa được sự đồng ý của chúng tôi. Trong điều kiện cho phép, chúng tôi có thể hỗ trợ bạn việc công khai báo cáo ngay trên hệ thống WhiteHub
Các lỗ hổng cần tập trung
Chúng tôi quan tâm đến bất kỳ vấn đề thiết kế hoặc triển khai nào ảnh hưởng đáng kể đến tính bảo mật hoặc tính toàn vẹn của dữ liệu người dùng và trong phạm vi của chương trình. Bao gồm
Các lỗi không hợp lệ
- Remote Code Execution
- SQL Injection (SQLi)
- Business Logic
- Mobile-specific API vulnerabilities
- Cross Site Scripting (XSS)
- Cross-Site Request Forgery (CSRF)
- Các vấn đề liên quan đến Authentication hoặc Authorization
- Data Exposure
Tùy thuộc vào tác động của lỗ hổng, một số vấn đề được báo cáo có thể không được xem là lỗi hợp lệ. Chúng tôi sẽ xem xét chúng theo từng trường hợp cụ thể. Dưới đây là một số loại lỗi sẽ không nhận được thưởng
- Các lỗi không tuân theo logic của người dùng và sẽ khó xảy ra thực tế
- Các lỗi chỉ xảy ra khi sử dụng trình duyệt hay plugin phiên bản rất thấp
- Lỗi cho phép lấy thông tin phiên bản của các công nghệ web
- URL redirection
- Logout cross-site request forgery
- Email spoofing
- DDoS
Vn-Z.vn team tổng hợp nguồn Medium