-
Tìm thấy thiếu niên mất tích ở Ninh Bình, lộ tin nhắn có nội dung đáng sợ
-
Đà Nẵng: Thanh niên bỗng co giật rồi ngừng tim khi chờ khám bệnh, diễn biến sau đó cực kỳ căng thẳng
-
5 món ăn "thần hộ mệnh" cho lá gan: Giúp bạn trẻ lâu, đẹp da và hết mệt mỏi
-
Sự thật rợn người sau những chuyến áp giải nữ phạm nhân thời xưa
-
Muốn thoát nghèo thì chớ để những thứ này trong nhà bếp
-
Vợ Đoàn Văn Hậu tung ảnh bikini nóng bỏng, khoe vóc dáng "đồng hồ cát" sau 1 năm "giấu nhẹm" vì sinh con
-
Trúng số 8 tỷ đồng, người đàn ông nhận hết tiền mặt, nghe quyết định chia tiền mà bất ngờ
-
Cháy nhà khóa trái cửa ở TPHCM, 3 người thoát nạn qua lối trổ ban công tầng 2
-
Nhanh trí cầu cứu CSGT, tài xế grab thoát hiểm trước vị khách "ngáo đá"
-
Danh sách 15 cầu, 17 tuyến đường TPHCM đề xuất lập vùng hạn chế xe xăng
-
Người phụ nữ ở Hà Nội tử vong sau va chạm với xe đầu kéo đi lùi
-
Xuân Lan bóc trần game show: "Tôi được giao đóng vai ác, chửi người như hát"
-
Cách chạy ChatGPT không cần mạng Internet
-
Một ngày huấn luyện của đội hình máy bay chiến đấu tham gia sự kiện A80
-
Không phải nghèo đói, bi kịch lớn nhất của tuổi già là khi con cái đã qua tuổi 30 vẫn làm hai điều
-
Vụ Suni Hạ Linh hát hội chợ Trung Quốc: Trương Bá Chi - Châu Kiệt Luân cũng chạy show đám cưới, siêu thị, có phải dấu hiệu hết thời?
-
Càn quét YouTube nhờ Sing! Asia và Em Xinh Say Hi, Phương Mỹ Chi kiếm ít nhất 11 tỷ trong 1 năm
-
Mã độc rút trộm tiền nhắm vào người dùng Việt, nên cảnh giác với ứng dụng này
-
Sau sinh, ai là người bế bé đầu tiên? Mẹ đừng chọn qua loa vì lý do không ngờ sau đây
-
Vợ chồng cãi nhau vì cái máy rửa bát 11 triệu: Đoạn tin nhắn tiết lộ một vấn đề đáng suy ngẫm
Công nghệ
30/08/2016 17:05Trang web Lotte Cinema dính lỗi bảo mật nghiêm trọng, có thể khiến thông tin khách hàng bị lộ?
![]() |
Lỗi bảo mật này được công bố bởi lập trình viên Phạm Huy Hoàng, chỉ rõ 3 điểm yếu chết người xuất hiện trên trang web Lotte Cinema: không sử dụng giao thức https trong khâu đăng nhập, lỗi impersonation và lỗi XSS.
Đáng chú ý, trước khi lỗi bảo mật nghiêm trọng này được công bố, lập trình viên đã từng thông báo tới đội ngũ Lotte Cinema. Thế nhưng, những gì lập trình viên này nhận về là động thái ngoảnh mặt làm ngơ, rũ bỏ mọi trách nhiệm.
Bức xúc vì thái độ xem thường quyền lợi của khách hàng, lập trình viên Phạm Huy Hoàng đã quyết định công khai 3 lỗi bảo mật nghiêm trọng của website Lotte Cinema tại Việt Nam, đồng thời kêu gọi người dùng hãy tự bảo vệ chính mình.
Bắt đầu “câu cá” |
Dưới đây là trích dẫn một phần nội dung trong bài viết cảnh báo.
Đầu tiên, hãy nhìn góc trên bên trái trình duyệt. Một website không có https, đồng nghĩa với việc toàn bộ thông tin bạn điền vào (username, password) hoàn toàn có thể bị hacker trộm nếu bạn dùng chung đường dây mạng/chung wifi với hacker đó. Đó là lý do các trang ngân hàng, Facebook, Gmail, thanh toán điện từ đều đòi hỏi phải dùng https.
![]() |
![]() |
Các bạn không nhìn lầm đâu, chính là username của các bạn đấy? Thôi, chúng ta cứ cầu trời là họ lưu username để nhắc bạn khi bạn cần đăng nhập lại. Thử đổi sang giá trị khác rồi refresh trang xem nào.
![]() |
Câu nhầm … “cá mập”
Nhờ đổi cookie, mình đã hack được vào tài khoản người khác, có thông tin người dùng luôn! Giờ mình thử đổi thông tin xem nào, được luôn. Thử đặt vé xem nào, cũng được nốt!
![]() |
Có thể dụ dỗ Lotte Cinema gửi mật khẩu cho mình không nhỉ? Thử xem nào, đổi email của user này sang sang email mình, sau đó báo mất mật khẩu. Vào email xem sao?
![]() |
Ồ, nhận được mật khẩu hiện tại luôn, mail của Lotte nhanh thật! Vì một user thường tái sử dụng mật khẩu ở nhiều trang, mình có thể thử dùng username và mật khẩu này ở một số trang khác để mò account. Thấy chết người chưa?
Thử đổi mật khẩu hiện tại xem, được luôn. Giờ mình đã có thể đăng nhập với mật khẩu mới đổi. Đây là lỗi thứ 2, khi thay đổi mật khẩu, bắt buộc người dùng phải đổi mật khẩu cũ. Tỉ số giờ đã là 2-0 cho Lotte Cinema.
Bonus thêm “cá voi”
Hai lỗi trên đã đủ làm tơi tả toàn bộ hệ thống. Chỉ cần viết một con bot nho nhỏ, lần lượt thay giá trị membername trong cookie (từ a tới zzzzzzz) là có thể lấy gần như toàn bộ thông tin khách hàng, hoặc đổi toàn bộ password làm người dùng không đăng nhập được. (Các bạn khác dùng username dài quá thì chịu).
Thế nhưng mọi chuyện chưa dừng ở đây. Mình tiếp tục thử nghiệm điền tiên vào khung “Họ tên”. Lotte tiếp tục lòi ra lỗi XSS (Tấn công bằng cách chèn script vào trang chính).
![]() |
Khá may mắn Lotte là đã cắt chuỗi thành 30 kí tự nên không thể điền JavaScript dài. Tuy nhiên, điều này vẫn không thể làm khó được mình khi viết file javascript ở nơi khác, sau đó embed script vào (Up file js lên dropbox rồi lấy shortlink là xong).
![]() |
![]() |
Kết hợp với con bot đã nói phía trên, mình hoàn toàn có thể dụ dỗ rất nhiều người dùng Lotte tải virus khi họ đăng nhập vào hệ thống. Không còn lời nào để nói, 3-0 cho Lotte Cinema!
Kết luận
Những lỗi bảo mật mình chỉ ra không có gì cao siêu! Do mình không phải dân chuyên về bảo mật nên những kĩ thuật tấn công của mình cũng chỉ dừng ở mức vô cùng cơ bản. Vấn đề của Lotte Cinema là ở chỗ họ “không biết tí gì về bảo mật”, dẫn đến chuyện hệ thống bảo mật quá kém.
Như các bạn đã thấy, hành vi này là sự thiếu tôn trọng khách hàng và còn có thể gây nguy hại cho người dùng. Tuy nhiên, có vẻ Lotte Cinema đã rất khôn ngoan trong khâu pháp lý khi rũ bỏ mọi trách nhiệm trong phần “Thỏa Thuận”. Tuy thua 3-0 nhưng vẫn không phải chịu trách nhiệm gì, hoan hô Lotte Cinema.

Lời khuyên cuối cùng: các bạn vẫn có thể xem phim ở Lotte, nhưng đừng điền bất kì thông tin cá nhân gì vào cái hệ thống đó! Thân chào.
Bài viết thể hiện quan điểm cá nhân của tác giả
Theo Hưng Nguyễn (Cafebiz/Trí Thức Trẻ)








- Marco Asensio: Mải mê yêu đương quên sự nghiệp (15:20)
- Tìm thấy thiếu niên mất tích ở Ninh Bình, lộ tin nhắn có nội dung đáng sợ (15:11)
- 1 thành viên Gia đình Haha trở lại Bản Liền sau 4 tháng xa cách, chị Thông bật khóc ôm chặt không rời (15:07)
- Đà Nẵng: Thanh niên bỗng co giật rồi ngừng tim khi chờ khám bệnh, diễn biến sau đó cực kỳ căng thẳng (24 phút trước)
- Điều gì đáng mong đợi nhất ở iPhone 17 Pro Max? (29 phút trước)
- Làn sóng tẩy chay Tiêu Chiến bất ngờ dâng cao, chỉ vì 1 chiếc áo mà bị cả Hàn Quốc đòi cấm sóng (38 phút trước)
- 5 món ăn "thần hộ mệnh" cho lá gan: Giúp bạn trẻ lâu, đẹp da và hết mệt mỏi (40 phút trước)
- Giá Baleba cao ngất ngưởng, MU vẫn quyết mua (44 phút trước)
- Sự thật rợn người sau những chuyến áp giải nữ phạm nhân thời xưa (49 phút trước)
- Cổ phiếu ngân hàng "dậy sóng": Thách thức phía trước từ điều lưu ý của Thống đốc (50 phút trước)




