Lỗ hổng của Sổ sức khỏe điện tử

Dương Ngọc Thái

14-10-2021

Ứng dụng Sổ sức hỏa điện tử. Ảnh trên mạng

Tôi không có thời gian viết chi tiết, nên chỉ công bố email mà tôi chia sẻ với Bộ TTTT, Bộ Y Tế và Viettel. Xin được lọc bỏ tên và email của những người đã trực tiếp liên hệ để đảm bảo riêng tư.

Tất cả các lỗ hổng đã biết đều đã được sửa. Team SSKĐT còn đang cân nhắc một số giải pháp bảo vệ riêng tư cho người dùng tốt hơn tôi mong đợi.

Dẫu vậy đề nghị đưa mã nguồn lên GitHub của tôi chưa được thực hiện.

***

On Mon, Oct 4, 2021 at 3:40 AM <đã lọc bỏ> wrote:

<đã lọc bỏ> gửi lại từ GMAIL

Dear Thái,

Sáng nay, anh Long Bộ trưởng Y tế có chuyển <đã lọc bỏ> các thông tin liên quan đến ý kiến của Thái.

Rất mong Thái có thêm ý kiến chi tiết về mặt kỹ thuật để anh em có thể nhanh chóng khắc phục các điểm yếu nếu có.

<Đã lọc bỏ> CC kèm trong email này <đã lọc bỏ> Viettel và các anh em Cục CNTT Bộ Y tế để cũng tham gia luôn. <đã lọc bỏ> sẽ giúp trao đổi và follow cụ thể về mặt kỹ thuật.

Cảm ơn Thái nhé!

***

From: ⛷ Thai Duong <thaidn@gmail.com>

Date: Mon, Oct 4, 2021 at 7:32 AM

Subject: Re: Về Bug liên quan đến Sổ Sức khoẻ điện tử và các nền tảng công nghệ chống dịch

To: <đã lọc bỏ>

Cc: <đã lọc bỏ>

Chào <đã lọc bỏ>,

Tôi mới nhận được email hôm nay.

Hệ thống Sổ sức khỏe có nhiều vấn đề, mà toàn những chuyện cơ bản như default password, IDOR, HQL Injection, path traversal.

Trước tiên, với tư cách một công dân, tôi muốn nói rằng tôi rất thất vọng với các anh. Hệ thống quan trọng vậy nhưng tôi có cảm giác chưa từng có team security nào kiểm tra đánh giá. Hệ thống có lỗi là chuyện bình thường, nhưng có lỗi nhiều và sơ đẳng như vầy thì rõ ràng là thiếu trách nhiệm.

Mong là các anh đừng tuyên bố rằng hệ thống đã có 100 chuyên gia bảo mật trao đổi đóng góp, như khi tôi chỉ ra lỗ hổng của Bluezone. Nói như vậy thật sự là một sự sỉ nhục với chuyên gia nước nhà. Team Viettel Security của <đã lọc bỏ> chắc chắn có khả năng audit hệ thống này, tại sao họ không làm thì tôi không biết.

Với đội ngũ của Việt Nam hiện tại, những lỗ hổng này không có gì khó đối với các anh chị em trong nước. Tôi tin tôi không phải là người đầu tiên phát hiện chúng. Các anh làm sao mà riết rồi không ai muốn và dám làm việc với các anh, trong khi các anh làm thì không đâu vào đâu.

Với tư cách một chuyên gia an ninh mạng, tôi gửi thông tin lỗ hổng như sau:

1/ Có rất nhiều API endpoints ở trên hai địa chỉ https://datkham-api.kcb.vn và https://api-hssk.kcb.vn không có kiểm tra quyền của người dùng, dẫn đến ai cũng có thể truy vấn thông tin của người khác. Đây là lỗi IDOR cơ bản.

2/ Tương tự như thế, rất nhiều endpoints, đặc biệt là các endpoints tìm kiếm, mắc lỗi HQL Injection. Tôi chưa test nhiều lắm phần này, nhưng tôi thấy có thể lợi dụng lỗ hổng này để vượt qua phần kiểm tra quyền trên một số endpoints.

3/ Lỗ hổng path traversal cho phép đọc file bất kỳ trên https://api-hssk.kcb.vn/patient/patient-resources/avatar?avatar=/etc/passwd và https://api-hssk.kcb.vn/patient/patient-resources/attachment?file=../etc/passwd. Lợi dụng lỗ hổng này có thể xem được cấu hình và mã nguồn của backend, từ đó có thể đi vào nhiều hệ thống khác, nhưng tôi chưa có thời gian xem.

4/ Đặc biệt: rất nhiều accounts trên https://hssk.kcb.vn sử dụng cùng một mật khẩu mặc định là Hssk@#1234 hoặc Hssk@#12345.

Người dân cần được biết thông tin của họ có khả năng bị lộ ra ngoài. Hiện tại tôi thấy thông tin Sổ sức khỏe điện tử đã bị leaked ra ở nhiều nơi, nên tôi sẽ sớm thông báo để những ai quan tâm được biết, nhưng tôi sẽ không cung cấp các chi tiết kỹ thuật.

Tôi cho các anh 7 ngày, kể từ hôm nay để sửa lỗi. Tôi sẽ công bố các chi tiết kỹ thuật vào sáng thứ hai 11/10/2021. Nếu trong thời gian này tôi phát hiện ra các anh có bất kỳ động thái nói dối, lấp liếm hay tấn công cá nhân tôi như những lần trước, tôi sẽ công bố toàn bộ thông tin. Tôi cũng sẽ công bố sớm hơn nếu tôi thấy có quá nhiều người biết đến vấn đề này.

Nếu có cần trao đổi gì thêm thì các anh nhắn lại đây.

Bình Luận từ Facebook

2 BÌNH LUẬN

  1. Tất cả dữ liệu của mỗi CÁ NHÂN thử với kit PCR là MỘT BẢN ĐỒ DI TRUYỀN đầy đủ mọi chi tiết VÔ CÙNG đầy đủ về cá nhân đó về MỌI ĐIỂM Tâm tính thể lực các bệnh tật di truyền
    CHẲNG VẬY mà mỗi khi nhà độc tài trẻ KIM ỦN ỈN của Bắc Hàn đi đại tiện CÓ LẮM vệ sĩ căn phòng TỐI MẬT tại cầu tiêu W.C. nơi “người hỏa tiễn – người tên lửa” vào phóng uế tại các trung tâm hội họp quốc tế nơi KIM ỦN ỈN dự họp …vì nếu Tình báo Mỹ CIA, Tình báo Hoa Nam hoặc hậu thân KGB có được MẪU PHÂN của chú độc tài trẻ KIM ỦN ỈN của Bắc Hàn đi đại tiện CÓ LẮM vệ sĩ căn phòng TỐI MẬT tại cầu tiêu W.C. nơi “người hỏa tiễn – người tên lửa” vào phóng uế tại các trung tâm hội họp quốc tế ĐỂ TRÁNH các điệp viên của 3 CƠ QUAN TÌNH BÁO Mỹ, Tàu, Nga lấy được MẪU PHÂN sẽ lập lại BẢN ĐỒ DI TRUYỀN đầy đủ mọi chi tiết VÔ CÙNG đầy đủ về cá nhân đó về MỌI ĐIỂM Tâm tính thể lực các bệnh tật di truyền của tên độc tài trẻ KIM ỦN ỈN này
    Chính vì vậy NẾU VietTel hay công ty của bác NGUYỄN TỬ QUẢNG để mạng lưới thu thập dữ kiện bằng máy tính lượng tử của Tàu cộng mà chúng quét được HAY CHỈ CẦN mua chuộc được 1 tên CÔN AN MẠNG cao cấp TRONG HÀNG TRĂM VẠN TÊN CÔN AN thì bọn Tình báo HOA NAM sẽ có cả CƠ SỞ DỮ LIỆU QUÝ BÁU và chỉ cần biết TRONG NHÁY MẮT quantum time chúng có thể THAM KHẢO về bất kỳ NGƯỜI VIỆT NAM NÀO thật chi tiết CÓ CƠ SỞ KHOA HỌC qua BẢN ĐỒ DI TRUYỀN đầy đủ mọi chi tiết VÔ CÙNG đầy đủ về cá nhân đó về MỌI ĐIỂM Tâm tính thể lực các bệnh tật di truyền của CÁ NHÂN mà TÀU cộng cần theo dõi chẳng hạn như chú BA SÀM Nguyễn Hữu Vinh HAY nhà báo tự do Jean-Baptist NGUYỄN HỮU VINH

    Chưa kể chúng CÓ THỂ GÀI vài phân tử độc hại trong VERO CELL, SinoVac hay SinoPharm như những CON BỌN bug là bom phần mềm software bomb cài vào MÁY TÍNH thì chắc chắn chúng có thể tạo ĐỘT BIẾN DI TRUYỀN di thể gen LÀ CHUYỆN KHÔNG KHÓ như tôi từng bàn luận về Nhà di truyền Trung C..uốc HỌC TẬP xử dụng CÁI KÉO DI TRUYỀN THẦN DIỆU của Nữ khoa học gia PHÁP Emmanuelle CHARPENTIER đồng Nguyên khôi nhận Giải Nobel Hóa học từng PHÁT MINH sáng chế ra CÁI KÉO DI TRUYỀN THẦN DIỆU nhưng ĐẠO ĐỨC Y HỌC Tây phương DÙNG ĐỂ TRỊ LIỆU trị các căn bệnh di truyền THÌ nhà di truyền học Tàu dùng để sinh ra những CON CỪU NHÂN TẠO hay MỤ người dơi CÁI Thạch Chính Lệ DÙNG DI TRUYỀN HỌC thay đổi NAY nâng cấp CHỨC NĂNG siêu vi lấy từ dơi trong hang động VÂN NAM bên TÀU dùng vào cuộc chiến tranh hóa học sinh học vi trùng CHỐNG NHÂN LOẠI

    DO ĐÓ nên vô cùng thận trọng TỪ Đại dịch siêu vi Trun..g C..uốc là CƠ HỘI chúng làm giàu trên XƯƠNG MÁU LỆ của TOÀN NHÂN LOẠI loài Người SAU KHI cố ý làm xổng chuồng SIÊU VI VŨ HÁN qua bài học TÔN TỬ “bất chiến tự nhiên thành” THA HỒ bán kít PCR dỏm nhái cóp sao THA HỒ bán máy trợ thở THA HỒ bán khẩu trang THA HỒ bán VERO CEL, SinoVac, SinoPharm THA HỒ có trọc phú tỉ phú bên TÀU mọc lên như NẤM DẠI ĐỘC sau CƠN HỒNG THỦY !!!!
    Tha hồ BỌN CHIẾN LANG như thằng đại sứ Tàu tại PARIS thò lưỡi rắn PHUN NỌC ĐỘC
    Chưa kể ÂN ĐỘ rơi vào đại dịch siêu vi Tàu cộng TANG TÓC như thế bọn BÀNH TRƯỚNG Đại Hán vẫn xâm lăng vùng Biên giới Ấn-Tàu VẪN Xâm chiếm hải đảo CÙNG BIỂN MẸ BIỂN ĐÔNG


    Thần dược Thuốc Thánh : loài cây Xuyên Tâm Liên ! Thảo mộc Xuyên Tâm Liên !
    ********************************

    Thảo mộc Loài cây Xuyên Tâm Liên
    Uống xong hạ sốt giảm ho liền
    Sao không săn cắt loài Thảo mộc :
    Cỏ dại cỏ hoang Xuyên Tâm Liên !
    Lom khom làm cỏ sạch Xuân Phúc :
    Nguyễn Xúc Phân đầu n..iểng phi Tiên !
    Dại gì dùng SinoVac thương lái
    Mụ xẩm cơ hội đấnh hơi mùi Bạc tiền
    Trương Mỹ Lan vừa bán vừa tặng
    Lão thoòng LÃ Thanh Hải giả Tiên
    Móc ngoặc tha về SinoPharm
    Hàng chục triệu liều thử nghiệm liên miên :
    Bắt Dân lành đem ra làm CHUỘT BẠCH !
    Chắc chắn kết quả quả báo nhãn tiền !
    Tiền mất tật mang còn mất Tất cả :
    Gia tài của Mẹ Việt Nam cùng Tổ tiên
    Vero Cell làm đột biến Di thể Hồn Việt
    Biến đổi tận gốc Bản đồ Di truyền
    Lạy thôi !… Cứ ra Hồ Tây Chùa Trấn Quốc
    Săn cắt loài Thảo mộc : Xuyên Tâm Liên !

    Trị liệu Đại dịch vì siêu vi Trun..g C..uốc
    “Bất chiến tự nhiên thành !” cho xổng chuồng liền
    Chiến thuật ‘biển người’ = “Biển siêu vi Vũ Hán”
    Vô hình vô cảm vô tâm Liêu Trai phi cô Tiên
    Vô đạo vô tính vô luân LÃ (Lê) Thanh Hải :
    Cháu mụ xẩm già cực dâm Võ Tắc Thiên !
    Gái gú ‘phòng nhì’ ‘đạp mái’ vợ vẫn chưa đủ :
    ‘Làm thêm’ ả xẩm Trương Mỹ Lan tiếp liên !
    Giờ M..ệ Bàn Cờ im mồm ngậm miệng
    Ngày xưa Anh thư giờ hóa thành Chị hèn
    Như bOác Anh k…hùng Hùm Xám đường Bốn
    Nửa hâm hâm nửa giở hơi liên miên
    Nhảy đầm mút mùa nơi Bia ôm Hà L..ội
    Nhếch nhác phóng xe HònĐá tưởng Lão điên :
    Bảo kiếm giữa Bướm đêm dám lạc phòng ngủ trọ
    Thôi rồi sống như đã chết Ông cọp quy tiên !
    Một thời Vàng son vang Anh hùng một Thuở
    Cỗ máy quỷ Phạm Nhan thiêu chột Anh tài Anh hiền :
    Anh hùng hóa Hèn đại nhân như Tướng Giáp !
    Chết quá già giường bệnh đâu chắc Ông Tiên :
    Giống như “thượng mã phong” đâu phải Trận tiền !

    Thảo mộc Loài cây Xuyên Tâm Liên
    Uống xong hạ sốt giảm ho liền
    Sao không săn cắt loài Thảo mộc :
    Cỏ dại cỏ hoang Xuyên Tâm Liên !
    Lom khom làm cỏ sạch Xuân Phúc :
    Nguyễn Xúc Phân đầu n..iểng Lão phi Tiên !
    Dại gì dùng SinoVac thương lái
    Mụ xẩm cơ hội đánh hơi mùi Bạc tiền
    Trương Mỹ Lan vừa bán vừa tặng
    Lão thoòng LÃ Thanh Hải giả Tiên
    Móc ngoặc tha về SinoPharm
    Hàng chục triệu liều thử nghiệm liên miên :
    Bắt Dân lành đem ra làm CHUỘT BẠCH !
    Chắc chắn kết quả quả báo nhãn tiền !
    Tiền mất tật mang còn mất Tất cả
    Gia tài của Mẹ Việt Nam cùng Tổ tiên
    Vero Cell làm đột biến Di thể Hồn Việt
    Biến đổi tận gốc Bản đồ Di truyền
    Lạy thôi !… Cứ ra Hồ Tây Chùa Trấn Quốc
    Săn cắt loài Thảo mộc : Xuyên Tâm Liên !

    Trị liệu Đại dịch vì siêu vi Trun..g C..uốc
    “Bất chiến tự nhiên thành !” cho xổng chuồng liền
    Chiến thuật ‘biển người’ = “Biển siêu vi Vũ Hán”
    Vô hình vô cảm vô tâm Liêu Trai phi cô Tiên
    Vô đạo vô tính vô luân LÃ (Lê) Thanh Hải :
    Cháu mụ xẩm già cực dâm Võ Tắc Thiên !

    Loài cây Xuyên Tâm Liên có tên khoa học là Andrographis Paniculate mọc Vùng Đông Nam Á giờ được xem là Thần dược Thảo mộc chữa trị Đại dịch siêu vi Trun..g C..uốc

    http://universite-digitale1.com/wp-content/uploads/2018/05/MeVietNam.jpg

    TRIỆU LƯƠNG DÂN VIỆT

  2. Đó là Vietel, hãy khóc theo cách của bạn! Lỗ hổng là gì, dân Việt đã rách bươm nên cái lỗ này hoặc cái lỗ BlueZone không là gì cả, ĐM. tất cả APP Việt đều rách như đít khỉ, Thái việc gì phải bày cho đĩ che l.ồn.

Comments are closed.