Thứ Tư, 8 tháng 11, 2017

Lỗ hổng toàn bộ hệ thống zipo.vn và trách nhiệm.

Hôm rồi tôi có phát hiện một lỗ hổng trên website chính của một cty thiết kế website khá lớn ngoài Hà Nội cho phép tôi có thể bypass các rào cản và upload trực tiếp mã độc lên thẳng server không cần phải qua bất kỳ bước xác thực nào, một lỗ hổng vô cùng nguy hiểm.

Sau đó tôi có thu thập thêm một chút info về các khách hàng của bên zipo.vn đã từng thiết kế và vẫn đang quản lý các website này thì phát hiện ra rằng tất cả những website của khách hàng cũng tồn tại chung một lỗ hổng tương tự, tới đây các bạn thử nghĩ rằng nếu tôi bắt đầu phá hoại thì thiệt hại cho cty này sẽ là không thể đong đếm được.



Hoặc nếu tôi âm thầm upload mã độc lên toàn bộ hơn 200 website này và rao bán cho các bên làm về SEO thì khả năng những site đó sẽ rớt hạng thê thảm và cty đó chắc chắn sẽ phải mất rất rất nhiều thời gian để khắc phục nó, đó chỉ là khăc phục tạm thời về mặt kỹ thuật, còn về uy tín và ảnh hưởng tới khách hàng của họ thì khả năng cao là sẽ mất khá nhiều khách hàng thậm chí nếu thiệt hại quá lớn có khả năng phá sản.

Nhưng như các bạn thường thấy thì tôi không có ý định phá hoại, tôi soạn một email thông báo về lỗ hổng và gởi cho admin cũng là người đang vận hành toàn bộ hơn 200 website này, cũng rất nhanh tôi nhận lại được email hồi âm với tinh thần trách nhiệm cao, sau đó tôi trao đổi các chi tiết lỗ hổng để bạn admin ấy nắm và tiến hành vá lỗi.

Thường thì theo kinh nghiệm của tôi thấy khi gởi cảnh báo cho các cty, hay tổ chức trước đây sẽ luôn có
- Một số bên im lặng và âm thầm vá lỗi, không một lời cảm ơn.
- Một số thì cũng rất nhanh gởi hồi âm và để đó, không vá lỗi, bỏ mặc cho khách hàng của họ muốn ra sao thì ra.
- Cũng có người hù dọa này nọ nhưng số này không đáng kể.
- Cũng có một số cá nhân reply, fix bug, cảm ơn, cũng có người donate rất hậu hĩnh, cũng có bên chỉ hứa hão, vấn đề này thường thì tôi không xem nó quan trọng.
- Và cũng có những người có tinh thần trách nhiệm rất cao, họ reply rất đàng hoàng, luôn kèm theo lời cảm ơn, dồn toàn bộ sức lực để vá lỗi cho toàn hệ thống của họ như bên zipo.vn.

Tôi thật sự đánh giá rất cao tinh thần trách nhiệm của các bạn bên zipo.vn, hơn 200 website khách hàng đã được vá lỗ hổng trong một ngày, đó là điều tuyệt vời mà tôi phải chia sẻ để các admin, các giám đốc, các admin kỹ thuật của các cty, tổ chức khác nên tham khảo và làm theo.Vì đó là quyền lợi cũng như trách nhiệm của chính các bạn.

Chúc cty các bạn ngày càng có nhiều khách hàng và luôn giữ được tinh thần trách nhiệm cũng như cái tâm của nghề nghiệp.

Concobe

Không có nhận xét nào:

Đăng nhận xét

Cyberpanel và những lỗ hổng bảo mật đã fix.

Tầm đầu tháng 1/2019 mình thấy đi group nào chuyên về thiết kế website, bán hosting,...Của facebook cũng có những comment khuyên nhau sử dụn...