Social hacking


Bằng 1 vài kỹ thuật đơn giản vận dụng tư duy của DEV, tôi tìm kiếm được nhiều file dữ liệu nhân sự, viên chức của nhiều đơn vị hành chính công ở Việt Nam
Trong đó tôi thấy có rất nhiều dữ liệu dạng Private, như: ngày tháng năm sinh, tuổi, giới tính, điện thoại, email, dân tộc, trình độ, chuyên ngành, hộ khẩu thường trú, ngày vào biên chế, đơn vị công tác thậm chí nhân sự đó thuộc biên chế nào, gia đình bao gồm những ai cũng có luôn, thậm chí, tôi còn lần thêm được cả tài liệu phê duyệt có dấu mộc, tên người ký phê duyệt biên chế ...

Ở góc cạnh khác, tôi tìm thấy rất nhiều username / password login vào hệ thống thi tuyển viên chức hành chính công, và tôi login thử, well, nó login đc thật, đương nhiên là tôi không làm gì cả.

Ở 1 góc cạnh khác nữa, tôi cũng tìm thấy rất nhiều user/password của doanh nghiệp được cung cấp bởi 1 đơn vị hành chính công lớn - uhm, tôi không chắc username/password đó còn login được hay không nữa 

Những data trên không phải file nào cũng có, nhưng khá unique và nó là data thật, không phải fake. 

Uhm, với tư duy của 1 thằng technical, tôi thấy đó là lỗ hổng cần bịt, mà thực ra, lỗ hổng đó là non-functional - điều rất hay bị bỏ qua ở trong quá trình nghiệm thu dự án. 

Nhưng, đặt vị trí là 1 thằng đạo tặc, việc khai thác các thông tin rất unique này và sử dụng kịch bản gọi điện - hoặc fake mail - hoặc fake address web, rất có thể, những con người kia sẽ bị hack! Thậm chí mất rất nhiều (báo đài ko thiếu vụ đăng tải việc bị lừa đảo như vậy rồi nên tôi không nhắc lại nữa!)

Wellplayed, thực ra, nó là 1 thí nghiệm của tôi trong việc xây dựng tài liệu training nghiệp vụ bảo mật cho member của tôi. Nhưng mà tôi đang cân nhắc có nên training hay không! Vì những data tôi tìm được rất có thể ảnh hưởng tới cuộc sống của 1 ai đó. 

Tôi hay nói câu - Dev là cái thằng xây lên bức tường, ngôi nhà để người sống trong đó. Nếu 1 ngôi nhà được xây bởi các ông thợ xây ẩu, gây sụp đổ thì ai cũng chửi, lên án, thậm chí đi tù. Nhưng các ông Dev - cũng là thợ xây ở 1 góc cạnh nào đó - Và trong nghề Dev, bug là thứ được chấp nhận. Vậy, nếu như cái bug của của các ông tạo điều kiện cho những thằng như Hiếu PC ngày trước gây tàn phá hại cuộc sống của biết bao nhiêu con người, các ông ổn chứ?

Ngủ đã full-width

Post a Comment

Mới hơn Cũ hơn