Giao diện website truy vết chùm ca bệnh của Bkav. ẢNH CHỤP MÀN HÌNH

Bkav là một trong những tập đoàn công nghệ góp sức trong quá trình ứng dụng công nghệ vào theo dõi và phòng chống dịch Covid-19 tại Việt Nam. Mới đây, hãng đã cập nhật phần mềm theo dấu bệnh nhân Covid-19 và sử dụng tên mới là PC-Covid, được chọn làm ứng dụng duy nhất phục vụ phòng chống dịch hiện nay.

Tuy nhiên, trong quá trình thử nghiệm chương trình này thông qua file cài đặt dạng .apk cho hệ điều hành Android, một lập trình viên đã phân tích các quyền mà ứng dụng cần để hoạt động trên điện thoại. Mã nguồn chương trình sử dụng phần nhiều thư viện có liên quan đến Bluezone và người này cũng có một phát hiện là trang địa chỉ mang tên trumlaynhiem.hcdt.vn (hiện tại website này không thể truy cập).

Tên miền *hcdt.vn do Bkav đăng ký sở hữu và quản lý. Ở thời điểm phát hiện và truy cập thử, giao diện trang được chia làm 2 phần gồm bên trái thể hiện danh sách địa điểm, địa phương của các chùm lây nhiễm; bên phải thể hiện đồ họa lây nhiễm chi tiết và rất khoa học.

Tên miền được Bkav đăng ký sở hữu nhưng hiện không thể truy cập nữa. ẢNH CHỤP MÀN HÌNH

“Đào” sâu hơn vào hàm API dùng để lấy thông tin, người này khẳng định API trả về dữ liệu gồm tên, tuổi bệnh nhân, địa chỉ và số điệu thoại, ngoài ra còn có một số thông tin liên quan đến quá trình truy vết như lịch trình di chuyển. “Khi kiểm tra thử bằng Zalo thì số điện thoại hiển thị đúng với tên người. Việc xây dựng hệ thống API không hề được bảo vệ bởi bất kỳ một lớp bảo mật nào, để mọi người dùng có thể truy xuất được những thông tin nhạy cảm nhất là một điều tối kỵ và là lỗi sơ đẳng nhất trong kỹ thuật lập trình”, lập trình viên khẳng định.

Người này cũng nhấn mạnh phát hiện của mình chỉ nhằm cảnh báo về lỗ hổng sơ đẳng, không sử dụng để tải hay lưu trữ thông tin cá nhân.

Một chuyên gia bảo mật cho biết do website đã không còn truy cập được nên không thể kiểm chứng tính chính xác của thông tin mà lập trình viên giấu tên đã cung cấp. Trong khi đó, phía Bkav cũng không đưa bình luận nào liên quan đến vấn đề nói trên.

Đây là lần thứ hai trong vòng 2 tháng Bkav vướng vào cáo buộc để rò rỉ dữ liệu vì bảo mật kém. Hồi tháng 8, một hacker giấu tên đã rao bán mã nguồn và dữ liệu của Bkav với giá hàng chục nghìn USD trên một diễn đàn dành cho tin tặc. Vụ việc gây xôn xao và trở thành đề tài “hot” nhất trong diễn đàn nhiều năm qua. Tin tặc tuyên bố phát trực tiếp quá trình truy cập vào hệ thống của Bkav, tuy nhiên sau đó phải thông báo hủy kế hoạch vì cho rằng “Bkav đã ngắt máy chủ” trước thời điểm phát sóng. Bù lại, người này đăng tải video từng bước đã thực hiện và nhiều chuyên gia bảo mật tỏ ra bất ngờ khi hacker chỉ sử dụng các thủ pháp sơ đẳng để có quyền truy cập trong hệ thống của một tập đoàn chuyên về bảo mật.

Ứng dụng PC-Covid còn gặp nhiều lỗi trong ngày đầu triển khai chính thức. ẢNH CHỤP MÀN HÌNH

Liên quan đến ứng dụng PC-Covid, bắt đầu từ ngày 30.9 ứng dụng này đã cho phép người dùng tải về trên hai nền tảng iOS và Android. Tuy nhiên, theo ghi nhận thì rất nhiều người dùng vẫn chưa thể sử dụng được ổn định do không thể nhận được mã OTP để kích hoạt, hoặc việc đồng bộ hóa dữ liệu với các ứng dụng khác vẫn chưa ổn định.

Theo Thành Luân/Thanh niên

https://thanhnien.vn/cong-nghe/nghi-van-mot-website-cua-bkav-lam-lo-thong-tin-nguoi-nhiem-covid-19-1456976.html