10/7
Thú thật, sau khi báo lỗi và góp ư về Bluezone tôi cũng thấy ngán làm việc với các team quốc doanh. Nhưng số trời hay sao đó, ba tôi đủ tiêu chuẩn nhưng chưa được cấp thẻ xanh, thẻ vàng Covid. Thế là tôi phải vô coi Sổ sức khỏe điện tử (SSKĐT) cấp thẻ thế nào.
Vô coi th́ tôi thấy Sổ sức khỏe điện tử có nhiều lỗ hổng bảo mật sơ đẳng, làm lộ thông tin cá nhân và dữ liệu sức khỏe của gần 25 triệu người Việt Nam và người nước ngoài đang sống ở Việt Nam, bao gồm cả đại biểu Quốc hội và lănh đạo các cấp. Nói chung, nếu bạn từng tiêm vaccine ở Việt Nam, thông tin của bạn nhiều khả năng đă được lưu trữ trong hệ thống này, bất kể bạn đă cài app hay chưa.
Thông tin bị lộ bao gồm: tên, địa chỉ, số chứng minh nhân dân, số điện thoại, nơi làm việc, một số người có số bảo hiểm y tế th́ có thể truy ra t́nh trạng và lịch sử bệnh tật; từ địa chỉ hoặc dữ liệu hộ khẩu có thể truy ra thông tin về người thân trong gia đ́nh. Bà con hăy hết sức cảnh giác.
Chi tiết kỹ thuật tôi đă cung cấp cho Bộ TTTT, Bộ Y Tế và Viettel và sẽ công bố rộng răi vào ngày 11/10/201. Team SSKĐT cảm ơn, đă nhanh chóng sửa được một phần và đang gấp rút sửa hết.
Nh́n chung, thái độ tôi nhận được là hết sức cầu thị và chuyên nghiệp, tốt hơn nhiều khi làm việc với team Bluezone. Tôi rất cảm kích các anh chị em đội dự án đă phải miệt mài sửa chữa lỗ hổng. Hệ thống đă tốt hơn rất nhiều so với cách đây vài ngày.
Tôi đề nghị họ nên đưa lên GitHub để tôi và những ai quan tâm có thể cùng tham gia sửa lỗi. Tôi không có nhiều thời gian và kiến thức cũng hạn hẹp, nhưng Việt Nam không thiếu tài năng, chỉ thiếu cách để họ “tự găi ngứa” thôi.
Chụp màn h́nh
Hàng loạt ứng dụng đă ra đời trong thời Covid
Hệ thống nào cũng có lỗi, nhưng có nhiều lỗi sơ đẳng như vậy, là biểu hiện của thiếu trách nhiệm và thiếu giám sát của người quản lư. Hệ thống nhạy cảm như vậy nhưng tôi có cảm giác chưa hề được đánh giá bảo mật.
Trách nhiệm không nằm ở đội ngũ lập tŕnh viên, mà ở chỗ tại sao không có người hỗ trợ họ. Tôi hiểu và thông cảm phải làm nhanh và gấp rút, nhưng hệ thống này cũng đă có lâu rồi, chứ không phải mới làm ngày một ngày hai.
Những vấn đề này không có ǵ khó với nhân lực trong nước. Tôi tin tôi cũng không phải là người đầu tiên phát hiện ra các vấn đề này. Thế th́ tại sao các sản phẩm công nghệ công của Việt Nam vẫn bị hoài? Tôi nghĩ mấu chốt nằm ở lỗ hổng trong tư duy.
Vá lỗ hổng phần mềm không khó bằng vá lỗ hổng tư duy. Những lỗ hổng mà tôi và người khác phát hiện rồi sẽ sửa được thôi, nhưng nếu không sửa tận gốc cách làm th́ đâu lại sẽ vào đấy. Cũng may là Sổ sức khỏe hiện mới có dữ liệu của 25 triệu người – gần ¼ dân số, để đến khi nó có đầy đủ thông tin của 100% dân th́ c̣n nguy hiểm đến chừng nào. Nhưng cũng xui là đă 25 triệu người xài rồi mới phát hiện lỗ hổng.
Thế th́ làm sao để sớm phát hiện vấn đề? Không có người làm hoặc làm chưa tới th́ phải mở mă nguồn, mở thiết kế, để người có chuyên môn có thể tư vấn ngay từ lúc sản phẩm chưa chạy. Sửa nhà trên bản vẽ lúc nào cũng dễ hơn xây xong hết rồi mới phát hiện cái móng bị toạc.
Làm ǵ cũng vậy, muốn thành công th́ không chỉ phải t́m cách làm đúng, mà c̣n cần nhanh chóng phát hiện ra ḿnh đang làm sai. Muốn vậy th́ phải công khai, minh bạch cách ḿnh muốn làm, tiếp nhận ư kiến, dám sai dám sửa.
Lỗ hổng thông tin của Sổ sức khỏe điện tử chỉ được phát hiện sau khi có 25 triệu người dùng
Lỗ hổng thông tin của Sổ sức khỏe điện tử chỉ được phát hiện sau khi có 25 triệu người dùng
Chỉ vậy thôi là dân đă đỡ khổ biết chừng nào. Đâu cần đao to búa lớn, bốn chấm không với không chấm bốn, hùng cường với mai lệ huyền. Làm có mấy cái app thôi, lỗi th́ nhiều như vắt rừng mùa mưa, mà có người tuyên bố như thể đang chế tên lửa lên cung Trăng thăm chú Cuội, “super app đi ra thế giới”. Thôi, xuống, đừng leo cột điện nữa, để tụi nó c̣n t́m đường quay lại Mỹ.
Nói thêm cho rơ, tôi chưa thấy team SSKĐT phát biểu ngông cuồng như vầy. Ngoại trừ những vấn đề an ninh, hệ thống của họ khá bài bản, hiện đại. Người làm được việc bao giờ cũng hiểu giới hạn của ḿnh. Phát ngôn “chém gió” là tôi thấy ở một nhóm làm công nghệ quốc doanh trong nước, những kẻ đang cưa bom bằng tiền thuế.
Bạn tôi tư vấn “hay là nói chuyện với lănh đạo của họ”. Có người c̣n ngỏ lời giúp chuyển thông tin. Tôi viết một lá thư gửi cho Thủ tướng Phạm Minh Chính vào sáng ngày 4/10/2021. Người quen của tôi nói Thủ tướng đă đọc và làm việc với Bộ trưởng Nguyễn Thanh Long.
Bạn tôi đă chia sẻ thông tin với một số Đại biểu Quốc hội. Tôi cũng trao đổi với một vị ĐBQH, giải thích tại sao mở mă nguồn các app quốc dân lợi nhiều hơn hại, hy vọng họ đại diện cho lợi ích của người dân và sẽ lên tiếng.
Thú thật, tôi không kỳ vọng sẽ có thay đổi ǵ, chừng nào thấy mới hay. Tôi vẫn làm những chuyện này, v́ trách nhiệm xă hội của ḿnh. Tôi có một niềm tin ngây thơ rằng nếu mỗi người làm tốt phần của ḿnh, xă hội sẽ tự khắc đi lên.
* Bài của kỹ sư Dương Ngọc Thái đă đăng trên trang blog cá nhân ngày 4/10/2021.
Theo BBC