Đang yên đang lành, bỗng dưng cộng đồng mạng lại dậy sóng về tin BKAV bị một hacker tấn công vào hệ thống, kéo theo sau đó là hàng loạt những màn đối đáp truyền thông của đôi bên. Vốn từ trước đến nay chưa từng sử dụng phần mềm diệt virus của BKAV hay bất kỳ sản phẩm nào khác, nên “drama” này tôi chủ yếu theo dõi cho vui. Rồi, cũng đang yên đang lành ngồi xem điện thoại, tôi chợt nhớ ra rằng ứng dụng Bluezone đình đám một thời lại chính là một sản phẩm của công ty này…
Bluezone chính là kết quả của sự hợp tác giữa Bộ Thông tin và Truyền thông, phối hợp với Bộ Y tế và BKAV với mục đích tạo ra một ứng dụng có thể truy vết những người nhiễm COVID-19. Ban đầu khi ứng dụng này được giới thiệu, không ít người đã đưa ra ý kiến quan ngại về quyền riêng tư, về cái cách mà Bluezone có thể bảo đảm dữ liệu của người dùng được bảo vệ. Nhiều cá nhân có kiến thức vững chắc về kỹ thuật phần mềm đã không ít lần chỉ ra rằng ứng dụng này đang tồn đọng quá nhiều lỗ hổng có thể được kẻ xấu khai thác. Thế nhưng, truyền thông nước nhà cùng với sự kêu gọi cài đặt liền của Bộ Thông tin và Truyền thông bằng cách… spam tin nhắn người dân, đã lấn át những ý kiến trên, thậm chí tiêu cực hơn đó là tạo ra góc nhìn cho thấy những ý kiến trái chiều ấy đều là ý kiến “chống phá nỗ lực dập dịch”!
Thôi chuyện đó xưa rồi, cứ xem như là BKAV đã khắc phục được những lỗ hổng trên như những gì mà công ty đã tuyên bố đi. Lần gần nhất, trong một cuộc phỏng vấn được đăng tải trên trang Disroot.org, hacker “chunxong” (người đã tấn công vào BKAV hồi đầu tháng này) đã khẳng định rằng anh ta đã hack thành công vào mạng nội bộ của BKAV, có được dữ liệu của dự án Bluezone. Mặc dù nắm dữ liệu trong tay, nhưng “chunxong” cho biết anh không hề có ý định muốn công khai dữ liệu này hoặc bán nó. Điều này lại một lần nữa dấy lên những lo ngại về dữ liệu người dùng mà công ty này đang nắm giữ.
“I’ve hacked into BKAV’s internal network, and do have Bluezone data, but, I do not have any intention to sell, publish those data by any means. I hacked BKAV to raise people’s awareness about what they are really doing. They manipulate media, press…, they’re cheating Vietnamese people so much.”
Tạm dịch là anh ta đã hack vào mạng nội bộ của BKAV, có được dữ liệu Bluezone nhưng không có chủ ý muốn bán hoặc công khai chúng. “Chunxong” muốn nâng cao nhận thức của người dân về BKAV vì đây là một “thế lực” có thể thao túng truyền thông, lừa dối người dân.
Dù biết rằng công ty nào cũng tồn đọng lỗ hổng và cũng có thể bị hack, ngay cả Microsoft hay Apple cũng đã từng gặp tình trạng như thế. Nhưng BKAV, một công ty làm về bảo mật và an ninh tự nhận là “hàng đầu Việt Nam” lại bị hack quá nhiều như thế, nghĩ cũng buồn. Phải chăng BKAV cũng nhận thức rằng họ đang nắm giữ quá nhiều dữ liệu trong tay cũng như mang trọng trách với chính phủ, do đó khi tin công ty bị hack lộ ra thì họ đã lập tức chối phăng đi và cho rằng hacker là nhân viên cũ đã “chơi xấu” họ?
À, có một điều đáng nghiêm trọng nữa cần phải đề cập đến, đó là tại sao không có bất kỳ một trang báo nào đăng tin về việc hacker đã có được data của Bluezone, dù trước đó những trang này đều kêu gọi cài đặt ứng dụng trên? Thử gõ từ khóa “Bluezone bị hack”, dường như trang tìm kiếm Google không đưa ra bất kỳ kết quả nào liên quan đến sự việc đã đề cập kể trên, trừ hai bài viết của hacker Dương Ngọc Thái (một bài đã viết từ năm 2020, một bài đề cập đến vụ việc mới nhất). Thậm chí trong các kết quả tìm kiếm trả về, còn xuất hiện một bài viết của báo Z*** với tựa đề “Dùng ứng dụng Bluezone không lo bị lộ dữ liệu, hao pin…”!?
Rõ ràng đây là một vấn đề rất nghiêm trọng vì ứng dụng này là ứng dụng truy vết, mà đã truy vết thì không nhiều cũng ít, nó có thể biết được thông tin của người dùng, có thể đó là vị trí, địa chỉ, tình trạng sức khỏe, số điện thoại, lịch trình di chuyển hay lịch sử tiếp xúc chẳng hạn. Thế nhưng không có bất kỳ một trang tin nào nhắc nhở người dân phải thận trọng về vấn đề này.
Theo bài viết trên blog cá nhân của hacker Dương Ngọc Thái, ông đã nói rõ rằng Bluezone là ứng dụng có khả năng nắm được mạng lưới xã hội (social graph) của các cá nhân. Một tổ chức nắm được nhiều social graph có thể dẫn đến việc lạm quyền (hãy nhìn vào đế chế hùng mạnh của Facebook sẽ rõ), và đây cũng chính là lý do tại sao nhiều quốc gia hay tổ chức, dù đủ công nghệ để làm ứng dụng tương tự nhưng họ vẫn không làm. Đơn giản vì họ lo ngại việc tập trung quá nhiều thông tin cá nhân vào một chỗ. Cả Google và Apple cũng từng hợp tác với nhau làm một hệ thống truy quét COVID-19, thế nhưng họ đều không đưa thông tin social graph của người dùng lên máy chủ mà chỉ xử lý local.
Nói thật, BKAV đợt này có thể xem là “trong cái rủi có cái may”. Dù bị tấn công, nhưng hacker “chunxong” đã công bố công khai mọi thứ, từ việc anh ta nắm được dữ liệu gì, anh ta đã đột nhập vào hệ thống của BKAV bằng SQL Injection ra sao, động cơ của anh ta là gì… Thử tưởng tượng nếu có một “kẻ xấu thật sự” tấn công được vào Bluezone, lấy được dữ liệu social graph của người dùng để trục lợi, hay tệ hơn là chống phá nỗ lực dập dịch tại Việt Nam bằng cách tạo ra các thông tin F0, F1, F2 thật giả lẫn lộn, lúc bấy giờ chẳng biết mọi chuyện với BKAV sẽ còn tệ đến mức nào.
Tóm lại, tôi muốn nhấn mạnh rằng: BKAV cần phải cởi mở tiếp nhận khuyết điểm để tiến bộ hơn thay vì tìm cách chống lại các ý kiến chỉ trích. Thứ hai, đó là những trang báo đài, quan chức nào từng liên quan đến Bluezone nên đứng ra nhận trách nhiệm hoặc đưa ra thông tin chính thức thay vì lặng thinh như hiện tại. Còn về phần cá nhân tôi, việc đầu tiên sau khi viết xong bài này là gỡ ứng dụng Bluezone ra khỏi điện thoại của mình!
Bài phỏng vấn gốc của hacker “chunxong” tại đây.
