Năm ngoái tính vào CIC kiểm tra sau đợt rộ lên vụ nợ thẻ 8tỷ, nhưng mà m quên mật khẩu. Nhấn vào phần quên mật khẩu, và thật ảo mà là nó gửi về một SMS có mật khẩu cũ plain text luôn.
mật khẩu được thêm salt và peper rồi dùng hash function (ví dụ Argon2id) để chuyển về dạng ký tự ngẫu nhiên (ví dụ: 0d29hqEB+durQi...) thiết kế đúng thì server chỉ lưu kết quả sau hash thôi, còn password thực thì server cũng ko biết, thiết kế vậy để tránh trường hợp bị hack thì hacker cũng ko truy cập hệ thống đc, và quản trị viên cũng ko truy cập đc
khi bạn ấn quyên mật khẩu của tài khoản google chẳng hạn, nó sẽ cho bạn đặt mật khẩu mới chứ ko bao giờ nó gửi lại mật khẩu hiện tại vì chính nó cũng ko biết
lạy chúa, mật khẩu cần mã hoá một chiều để ví dụ đơn giản là tớ có dùng dịch vụ mail hoặc dịch vụ khác cũng dùng mật khẩu đó , nếu bị hack thì không bị dò lây sang dịch vụ khác. ngoài ra một vài vấn đề khác nữa bạn tìm hiểu thêm xem
mật khẩu là 1 chiều, lưu ở database sẽ qua 1 key mã hóa. cơ chế mật khẩu khi nhập là mật khẩu + key mã hóa => key đã lưu ở database 2 cái đó match với nhau sẽ cho login. còn plain text thì đồng nghĩa không có mã hóa mật khẩu sẽ dễ bị hack, đây là cơ bản về bảo mật không có thì đồng nghĩa sẽ có các lỗ hỏng khác
Chào Thái. Những bài viết của bạn rất hay, rất ý nghĩa. Sẽ thật tuyệt vời nếu bạn tiếp tục hỗ trợ các DN, tổ chức tại Vn.
Rất vui vì vô tình nhận ra bạn sau gần 20 năm. Khoảng 2008 mình đã gặp bạn tại Hn, cùng với Tiến Cường (liveforyouth), khi đó bạn vẫn đang làm Admin cho ngân hàng Đông Á. Thời gian sau, hình như khoảng 2012 mình thấy bạn và người bạn Argentina có công bố về lỗi bảo mật về ASP, bạn có sang Mỹ trình bày….
Rất lâu sau mới thấy lại tin tức về bạn, qua loạt bài viết rất hay về an ninh mạng.
Chúc mừng bạn về những thành tựu phi thường trong 20 măm qua.
Khi thông tin cá nhân bị lộ, đặc biệt là dữ liệu tài chính ngân hàng, kẻ xấu dễ lợi dụng để gọi điện lừa đảo. Chẳng hạn chúng giả danh nhân viên ngân hàng, dọa điểm tín dụng thấp, có nợ xấu, rồi yêu cầu nộp tiền hoặc làm thủ tục để “tăng điểm”.
→ Cách phòng tránh: Ai gọi điện nói về vay nợ hay điểm tín dụng thì tốt nhất đừng nghe.
2. Đánh cắp danh tính
Kẻ xấu có thể dùng thông tin cá nhân để vay tiền ngân hàng. Tôi không rõ nguy cơ này lớn tới đâu, nhưng hi vọng các ngân hàng có quy trình xác minh đủ chặt để ngăn chặn.
Điều trớ trêu là CIC có làm ứng dụng cho phép người dân kiểm tra khoản vay để phát hiện sớm việc bị mạo danh. Giờ nếu chính CIC lại bị hack, tôi cũng không biết giải pháp nào khác.
Cảm ơn anh Thái đã chia sẽ thông tin bổ ích và hi vọng anh tiếp tục chia sẽ thêm quan điểm cá nhân anh đối với các vụ việc như thế này. Anh có thể chia sẽ thông tin các sự cố tương tự như thế này ở USA hoặc các nước khác và quy trình kích hoạt sự cố khẩn cấp (mang tầm quốc gia) của họ được không ạ. Cảm ơn a nhiều.
sự cố này là có thật, nhưng hiển nhiên là ko ai học được gì đâu. có khi do hồi trước đem bán công khai bị nói quá thì giờ đổ cho bị hacker nó compromised đó, xứ này là vậy 🤡🙏
Theo em nếu password chỉ cho phép một số ký tự nhất định thì tốt nhất nên encode bằng bảng mã khác, có thể tự định nghĩa. Chứ cứ ôm ASCII chưa nói Unicode để encode xong prefix toàn 0 với 1 thì thêm salt vào cũng thế.
em muốn hỏi các dịch vụ chính phủ có thường thuê bên thứ 3 bảo vệ không, nếu có các bên thứ ba sẽ hỗ trợ chủ động, monitor, hay chỉ lúc có vấn đề/nghi ngờ có vấn đề thì mới kiểm tra/vá lỗi ạ
ShinyHunters, báo cáo thật là khó tin khi chỉ tấn công lấy dữ liệu mà không làm gì tiếp theo. Dữ liệu mẫu thậm chí còn share lên đây cho mn vào download :) không hiểu mục đích là gì luôn.
Năm ngoái tính vào CIC kiểm tra sau đợt rộ lên vụ nợ thẻ 8tỷ, nhưng mà m quên mật khẩu. Nhấn vào phần quên mật khẩu, và thật ảo mà là nó gửi về một SMS có mật khẩu cũ plain text luôn.
Em chưa hiểu lắm. Bấm quên thì nó phải trả về mật khẩu cho mình dùng chứ?
mật khẩu được thêm salt và peper rồi dùng hash function (ví dụ Argon2id) để chuyển về dạng ký tự ngẫu nhiên (ví dụ: 0d29hqEB+durQi...) thiết kế đúng thì server chỉ lưu kết quả sau hash thôi, còn password thực thì server cũng ko biết, thiết kế vậy để tránh trường hợp bị hack thì hacker cũng ko truy cập hệ thống đc, và quản trị viên cũng ko truy cập đc
khi bạn ấn quyên mật khẩu của tài khoản google chẳng hạn, nó sẽ cho bạn đặt mật khẩu mới chứ ko bao giờ nó gửi lại mật khẩu hiện tại vì chính nó cũng ko biết
lạy chúa, mật khẩu cần mã hoá một chiều để ví dụ đơn giản là tớ có dùng dịch vụ mail hoặc dịch vụ khác cũng dùng mật khẩu đó , nếu bị hack thì không bị dò lây sang dịch vụ khác. ngoài ra một vài vấn đề khác nữa bạn tìm hiểu thêm xem
Bạn có thể cho từ khoá ko?
mật khẩu là 1 chiều, lưu ở database sẽ qua 1 key mã hóa. cơ chế mật khẩu khi nhập là mật khẩu + key mã hóa => key đã lưu ở database 2 cái đó match với nhau sẽ cho login. còn plain text thì đồng nghĩa không có mã hóa mật khẩu sẽ dễ bị hack, đây là cơ bản về bảo mật không có thì đồng nghĩa sẽ có các lỗ hỏng khác
bạn search "password hashing" nhé
CP Vietnam quá vội vàng số hoá và tập trung dữ liệu trong khi khung quản trị rủi ro và năng lực an ninh mạng còn yếu, nếu không muốn nói là sơ khai.
Google với Microsoft còn bị bọn này hack nữa là VN :v
Chào Thái. Những bài viết của bạn rất hay, rất ý nghĩa. Sẽ thật tuyệt vời nếu bạn tiếp tục hỗ trợ các DN, tổ chức tại Vn.
Rất vui vì vô tình nhận ra bạn sau gần 20 năm. Khoảng 2008 mình đã gặp bạn tại Hn, cùng với Tiến Cường (liveforyouth), khi đó bạn vẫn đang làm Admin cho ngân hàng Đông Á. Thời gian sau, hình như khoảng 2012 mình thấy bạn và người bạn Argentina có công bố về lỗi bảo mật về ASP, bạn có sang Mỹ trình bày….
Rất lâu sau mới thấy lại tin tức về bạn, qua loạt bài viết rất hay về an ninh mạng.
Chúc mừng bạn về những thành tựu phi thường trong 20 măm qua.
Hành động của của người dân tụi em là gì tiếp theo hả anh. A hướng dẫn để ng dân như tụi em đề phòng
Tôi nghĩ có hai nguy cơ:
1. Lừa đảo
Khi thông tin cá nhân bị lộ, đặc biệt là dữ liệu tài chính ngân hàng, kẻ xấu dễ lợi dụng để gọi điện lừa đảo. Chẳng hạn chúng giả danh nhân viên ngân hàng, dọa điểm tín dụng thấp, có nợ xấu, rồi yêu cầu nộp tiền hoặc làm thủ tục để “tăng điểm”.
→ Cách phòng tránh: Ai gọi điện nói về vay nợ hay điểm tín dụng thì tốt nhất đừng nghe.
2. Đánh cắp danh tính
Kẻ xấu có thể dùng thông tin cá nhân để vay tiền ngân hàng. Tôi không rõ nguy cơ này lớn tới đâu, nhưng hi vọng các ngân hàng có quy trình xác minh đủ chặt để ngăn chặn.
Điều trớ trêu là CIC có làm ứng dụng cho phép người dân kiểm tra khoản vay để phát hiện sớm việc bị mạo danh. Giờ nếu chính CIC lại bị hack, tôi cũng không biết giải pháp nào khác.
chỉ có xóa đi làm lại, aka đầu thai ở nước khác thôi chứ sống ở xứ này thì chả có biện pháp gì đâu :D
Đây quả thật là một biện pháp giải quyết được rất nhiều vấn đề của chúng ta.
Cảm ơn anh Thái đã chia sẽ thông tin bổ ích và hi vọng anh tiếp tục chia sẽ thêm quan điểm cá nhân anh đối với các vụ việc như thế này. Anh có thể chia sẽ thông tin các sự cố tương tự như thế này ở USA hoặc các nước khác và quy trình kích hoạt sự cố khẩn cấp (mang tầm quốc gia) của họ được không ạ. Cảm ơn a nhiều.
sự cố này là có thật, nhưng hiển nhiên là ko ai học được gì đâu. có khi do hồi trước đem bán công khai bị nói quá thì giờ đổ cho bị hacker nó compromised đó, xứ này là vậy 🤡🙏
Sống chung với lũ vẫn còn thích khoe …
Theo em nếu password chỉ cho phép một số ký tự nhất định thì tốt nhất nên encode bằng bảng mã khác, có thể tự định nghĩa. Chứ cứ ôm ASCII chưa nói Unicode để encode xong prefix toàn 0 với 1 thì thêm salt vào cũng thế.
chào anh,
em muốn hỏi các dịch vụ chính phủ có thường thuê bên thứ 3 bảo vệ không, nếu có các bên thứ ba sẽ hỗ trợ chủ động, monitor, hay chỉ lúc có vấn đề/nghi ngờ có vấn đề thì mới kiểm tra/vá lỗi ạ
Another reminder that the world is rotten.
Aadhaar in India, Equifax in US, health records in Australia… and now this.
Different countries, same story: millions reduced to lines in a dump file, left to face scams and fraud while nothing really changes.
ShinyHunters, báo cáo thật là khó tin khi chỉ tấn công lấy dữ liệu mà không làm gì tiếp theo. Dữ liệu mẫu thậm chí còn share lên đây cho mn vào download :) không hiểu mục đích là gì luôn.
https://limewire.com/d/rB2fO#p8TslmujV2
đang chào hàng
cho xin sample lại với bro ơi
160 triệu bản ghi thì nhiều hơn dân số cả nước rồi.
Chắc bao gồm luôn những người đã chuyển sang vay tiền ở ngân hàng địa phủ.
CIC còn có cả record của doanh nghiệp nữa anh ạ, mặc dù không nhiều (VN tổng có khoảng 1tr doanh nghiệp).
Có thể là có cả hồ sơ tín dụng của các doanh nghiệp, tổ chức nên mới nhiều thế
Chắc lại đưa cho anh Quảng làm security nên lại bị hack tiếp quá anh.
Hy vọng CIC và nhà chức trách sớm có giải pháp cho vụ này!