Trang web Lotte Cinema dính lỗi bảo mật nghiêm trọng, có thể khiến thông tin khách hàng bị lộ?

aA

Trước khi lỗi bảo mật nghiêm trọng này được công bố, lập trình viên đã từng thông báo tới đội ngũ Lotte Cinema. Thế nhưng, những gì lập trình viên này nhận về là động thái ngoảnh mặt làm ngơ, rũ bỏ mọi trách nhiệm.

Trang web Lotte Cinema dính lỗi bảo mật nghiêm trọng, có thể khiến thông tin khách hàng bị lộ?

Lỗi bảo mật này được công bố bởi lập trình viên Phạm Huy Hoàng, chỉ rõ 3 điểm yếu chết người xuất hiện trên trang web Lotte Cinema: không sử dụng giao thức https trong khâu đăng nhập, lỗi impersonation và lỗi XSS.

Đáng chú ý, trước khi lỗi bảo mật nghiêm trọng này được công bố, lập trình viên đã từng thông báo tới đội ngũ Lotte Cinema. Thế nhưng, những gì lập trình viên này nhận về là động thái ngoảnh mặt làm ngơ, rũ bỏ mọi trách nhiệm.

Bức xúc vì thái độ xem thường quyền lợi của khách hàng, lập trình viên Phạm Huy Hoàng đã quyết định công khai 3 lỗi bảo mật nghiêm trọng của website Lotte Cinema tại Việt Nam, đồng thời kêu gọi người dùng hãy tự bảo vệ chính mình.

Bắt đầu “câu cá”

Dưới đây là trích dẫn một phần nội dung trong bài viết cảnh báo.

Đầu tiên, hãy nhìn góc trên bên trái trình duyệt. Một website không có https, đồng nghĩa với việc toàn bộ thông tin bạn điền vào (username, password) hoàn toàn có thể bị hacker trộm nếu bạn dùng chung đường dây mạng/chung wifi với hacker đó. Đó là lý do các trang ngân hàng, Facebook, Gmail, thanh toán điện từ đều đòi hỏi phải dùng https.

Tiếp theo, ta bắt đầu với việc kiểm tra cookie. Các bạn tải addon EditThisCookie về để làm việc nhé. Thử đăng nhập và xem Lotte Cinema lưu gì trong cookie nào.

Các bạn không nhìn lầm đâu, chính là username của các bạn đấy? Thôi, chúng ta cứ cầu trời là họ lưu username để nhắc bạn khi bạn cần đăng nhập lại. Thử đổi sang giá trị khác rồi refresh trang xem nào.

Không thể tin nổi! Mình bị chuyển sang nick khác mất rồi. Thật không thể tin nổi. Một lỗi bảo mật to như bánh xe bò đã bị lộ chỉ sau 5 phút nghiên cứu. 1-0 cho Lotte Cinema, lỗi này có tên gọi là impersonation.

Câu nhầm … “cá mập”

Nhờ đổi cookie, mình đã hack được vào tài khoản người khác, có thông tin người dùng luôn! Giờ mình thử đổi thông tin xem nào, được luôn. Thử đặt vé xem nào, cũng được nốt!

Có thể dụ dỗ Lotte Cinema gửi mật khẩu cho mình không nhỉ? Thử xem nào, đổi email của user này sang sang email mình, sau đó báo mất mật khẩu. Vào email xem sao?

Ồ, nhận được mật khẩu hiện tại luôn, mail của Lotte nhanh thật! Vì một user thường tái sử dụng mật khẩu ở nhiều trang, mình có thể thử dùng username và mật khẩu này ở một số trang khác để mò account. Thấy chết người chưa?

Thử đổi mật khẩu hiện tại xem, được luôn. Giờ mình đã có thể đăng nhập với mật khẩu mới đổi. Đây là lỗi thứ 2, khi thay đổi mật khẩu, bắt buộc người dùng phải đổi mật khẩu cũ. Tỉ số giờ đã là 2-0 cho Lotte Cinema.

Bonus thêm “cá voi”

Hai lỗi trên đã đủ làm tơi tả toàn bộ hệ thống. Chỉ cần viết một con bot nho nhỏ, lần lượt thay giá trị membername trong cookie (từ a tới zzzzzzz) là có thể lấy gần như toàn bộ thông tin khách hàng, hoặc đổi toàn bộ password làm người dùng không đăng nhập được. (Các bạn khác dùng username dài quá thì chịu).

Thế nhưng mọi chuyện chưa dừng ở đây. Mình tiếp tục thử nghiệm điền tiên vào khung “Họ tên”. Lotte tiếp tục lòi ra lỗi XSS (Tấn công bằng cách chèn script vào trang chính).

Khá may mắn Lotte là đã cắt chuỗi thành 30 kí tự nên không thể điền JavaScript dài. Tuy nhiên, điều này vẫn không thể làm khó được mình khi viết file javascript ở nơi khác, sau đó embed script vào (Up file js lên dropbox rồi lấy shortlink là xong).

Lỗi XSS này chỉ hiện ra ở mỗi trang của user nên không thể dùng để deface website. Tuy nhiên, mình vẫn có thể hiện pop-up giả mạo người dùng tải virus như hình dưới. Dùng JS, mình có thể lấy số thẻ, số CMND để người dùng tin tưởng rằng thông báo là của Lotte.

Kết hợp với con bot đã nói phía trên, mình hoàn toàn có thể dụ dỗ rất nhiều người dùng Lotte tải virus khi họ đăng nhập vào hệ thống. Không còn lời nào để nói, 3-0 cho Lotte Cinema!

Kết luận

Những lỗi bảo mật mình chỉ ra không có gì cao siêu! Do mình không phải dân chuyên về bảo mật nên những kĩ thuật tấn công của mình cũng chỉ dừng ở mức vô cùng cơ bản. Vấn đề của Lotte Cinema là ở chỗ họ “không biết tí gì về bảo mật”, dẫn đến chuyện hệ thống bảo mật quá kém.

Như các bạn đã thấy, hành vi này là sự thiếu tôn trọng khách hàng và còn có thể gây nguy hại cho người dùng. Tuy nhiên, có vẻ Lotte Cinema đã rất khôn ngoan trong khâu pháp lý khi rũ bỏ mọi trách nhiệm trong phần “Thỏa Thuận”. Tuy thua 3-0 nhưng vẫn không phải chịu trách nhiệm gì, hoan hô Lotte Cinema.

Lời khuyên cuối cùng: các bạn vẫn có thể xem phim ở Lotte, nhưng đừng điền bất kì thông tin cá nhân gì vào cái hệ thống đó! Thân chào.

Bài viết thể hiện quan điểm cá nhân của tác giả

Theo Hưng Nguyễn (Cafebiz/Trí Thức Trẻ)