2 điểm bởi GN⁺ 2023-08-29 | 1 bình luận | Chia sẻ qua WhatsApp
  • Các sinh viên đã kiểm tra với thiện chí ứng dụng xã hội ẩn danh Fizz, vốn đang phổ biến trong khuôn viên Stanford, và phát hiện quyền truy cập đọc/ghi toàn bộ cơ sở dữ liệu cùng thông tin người dùng/bài đăng chưa được ẩn danh hóa
  • Các nhà nghiên cứu đã gửi báo cáo công bố lỗ hổng và đề xuất khắc phục, đồng thời cũng đồng ý hoãn công bố để Fizz có thời gian sửa lỗi, nhưng phản hồi sau đó chuyển thành đe dọa pháp lý
  • Fizz yêu cầu họ không công bố phát hiện, viện dẫn vi phạm luật tiểu bang và liên bang, trách nhiệm dân sự/hình sự, cùng khả năng bị 20 năm tù
  • Các nhà nghiên cứu được Kurt OpsahlAndrew Crocker của Electronic Frontier Foundation đại diện pháp lý miễn phí, nên không khuất phục trước yêu cầu im lặng
  • Ngay cả với nghiên cứu bảo mật thiện chí, sẽ an toàn hơn nếu ghi lại mục đích, phạm vi và hành động; tránh lưu trữ/rò rỉ dữ liệu hoặc thao túng tài khoản; và không tự mình đối phó với các đe dọa pháp lý

Vấn đề bảo mật được phát hiện trong Fizz

  • Ứng dụng mạng xã hội ẩn danh của startup sinh viên Stanford Fizz đang trở nên phổ biến trong khuôn viên, và ứng dụng này quảng bá bằng những cách diễn đạt gần như “100% secure”
  • Vì đây là nơi người dùng đăng những câu chuyện nhạy cảm, các sinh viên quan tâm đến bảo mật muốn kiểm tra xem thông tin đó có thực sự an toàn hay không
  • Chỉ trong vài giờ, họ đã có thể có quyền truy cập đọc/ghi toàn bộ vào cơ sở dữ liệu của Fizz
    • Cơ sở dữ liệu lưu trữ thông tin người dùng và bài đăng
    • Những thông tin đó chưa được ẩn danh hóa hoàn toàn
  • Các nhà nghiên cứu kết luận rằng Fizz gần như không có cơ chế bảo vệ bảo mật

Từ công bố có trách nhiệm đến đe dọa pháp lý

  • Các nhà nghiên cứu đã tổng hợp phát hiện thành báo cáo công bố lỗ hổng và gửi email cho Fizz
  • Báo cáo bao gồm các vấn đề đã phát hiện và đề xuất khắc phục; họ cũng chủ động đồng ý không công khai trước một ngày hoãn công bố cụ thể để Fizz có thời gian sửa lỗi
  • Ban đầu Fizz cảm ơn về báo cáo, trả lời rằng việc khắc phục vấn đề là ưu tiên hàng đầu, và gửi một số cập nhật trong vài tuần
  • Sau đó thái độ thay đổi, và họ gửi cho các nhà nghiên cứu những lời đe dọa viện dẫn vi phạm luật tiểu bang/liên bang cùng trách nhiệm dân sự và hình sự
    • Các đe dọa còn bao gồm cả khả năng bị 20 năm tù
    • Trọng tâm là yêu cầu không công bố phát hiện
    • Cấu trúc là nếu họ đồng ý im lặng thì Fizz sẽ không theo đuổi hành động pháp lý, với hạn trả lời là 5 ngày
  • Các nhà nghiên cứu xem đây là nỗ lực dùng sự sợ hãi để buộc họ im lặng

Hỗ trợ pháp lý từ EFF và cách giải quyết

  • Các nhà nghiên cứu đã nhờ mạng lưới của mình giúp đỡ, và chỉ trong vài ngày được kết nối với Kurt Opsahl và Andrew Crocker của Electronic Frontier Foundation
  • Hai người đồng ý đại diện miễn phí cho các nhà nghiên cứu, và các nhà nghiên cứu giải thích cho luật sư về quá trình công bố cũng như các tài liệu liên quan
  • Sau khi nhận tư vấn pháp lý, các nhà nghiên cứu quyết định không khuất phục trước những đe dọa của Fizz
  • Kurt và Andrew soạn phản hồi gửi Fizz, và sau đó đội ngũ Fizz đề nghị gặp mặt
  • Hai bên đã giải quyết tình hình một cách êm thấm, và các nhà nghiên cứu gây sức ép để Fizz chủ động công bố vấn đề cho người dùng
  • Cuối cùng Fizz đã công bố vấn đề cho người dùng

Nguyên tắc mà nhà nghiên cứu bảo mật nên tuân thủ

  • Cần duy trì nghiên cứu ở trạng thái chính đáng và được ghi chép đầy đủ
    • Trước khi nghiên cứu, cần làm rõ mục đích và xác nhận rằng mình không vượt qua ranh giới đạo đức
    • Các nhà nghiên cứu không lưu trữ hay làm rò rỉ dữ liệu có thể truy cập được
    • Họ không thao túng tài khoản của người khác và không gây thiệt hại
    • Họ ghi chép chi tiết mọi thao tác, điều này giúp ích cho việc viết báo cáo công bố lỗ hổng và ứng phó pháp lý
  • Cần phản ứng bình tĩnh
    • Ngay cả khi nhận đe dọa pháp lý, cần phản hồi một cách chuyên nghiệp
    • Mục tiêu là giải quyết tình huống mà không làm vấn đề leo thang
    • Trả lời email theo cảm xúc có thể làm tổn hại khả năng giải quyết êm thấm
  • Cần tìm luật sư

    • Cố tự xử lý đe dọa pháp lý có thể là một sai lầm lớn
    • Họ cho rằng Fizz đã kỳ vọng các nhà nghiên cứu sẽ ngây thơ khuất phục trước lời đe dọa
    • Không phải ai cũng có thể được EFF đại diện miễn phí, nhưng nguồn lực dành cho các nhà nghiên cứu bảo mật thiện chí đang tăng lên, vì vậy nên tận dụng

1 bình luận

 
GN⁺ 2023-08-29
Ý kiến trên Hacker News
  • Tôi không phải luật sư, nhưng vì công việc nên có quan tâm đến vùng xám kỳ lạ của luật này; có vẻ luật sư nhân viên của EFF ở đây đã đưa ra một lập luận hơi gượng ép
    Fizz là một ứng dụng client/server, có lẽ là webapp, và thứ các nhà nghiên cứu kiểm thử là phần mềm chạy trên máy chủ Fizz
    Sau khi tìm thấy lỗ hổng, các nhà nghiên cứu đã dùng hoạt động cơ sở dữ liệu mà họ có được để tạo tài khoản quản trị, và họ chưa từng được phép thực hiện thử nghiệm này
    Nếu các tình tiết này đúng, trừ khi có luật California nào đó mà tôi không biết — mà dù có thì cũng có vẻ vô nghĩa vì luật liên bang được ưu tiên — thì trái với lập luận trong phản hồi của EFF, tôi cho rằng họ đã vi phạm CFAA khá trực tiếp
    Tuy vậy, có ít nhất ba yếu tố làm giảm rủi ro pháp lý: qua những gì được công bố và hành động sau đó, rõ ràng đây là nghiên cứu bảo mật thiện chí nên không phải mục tiêu hấp dẫn để truy tố; cũng không rõ có thiệt hại đáng kể nào hay không; và Fizz còn nhỏ, mới thành lập nên khả năng sự việc đi đến mức thuê công ty pháp chứng hoặc quyết toán với hãng bảo hiểm cũng có vẻ thấp
    Ngoài ra, việc các luật sư của Fizz đe dọa truy tố hình sự để cố buộc các nhà nghiên cứu nhượng bộ những điều có giá trị, như EFF đã chỉ ra, là vi phạm quy tắc của đoàn luật sư bang
    Có vẻ phe đúng đã thắng trong trường hợp này, nhưng tôi thận trọng với việc khái quát hóa quá nhiều bài học. Nếu đó không phải Fizz mà là tính năng xã hội của Dunder Mifflin Infinity, kết quả có thể đã tệ hơn nhiều

    • Như một người bạn đã chỉ ra, “cành cây” mà EFF đứng lên thực ra khá chắc. Vì DOJ đã ra tuyên bố chính sách rằng họ sẽ không truy tố nghiên cứu bảo mật thiện chí
      https://www.justice.gov/opa/pr/department-justice-announces-...
    • Nếu cơ chế vận hành là “nghiên cứu bảo mật không được yêu cầu có thể dễ dàng tích lũy thiệt hại 5–6 chữ số”, thì đây có vẻ là vấn đề của luật hiện hành
      Quy mô “thiệt hại” nằm trong tay nạn nhân, tạo ra động cơ lệch lạc để một tổ chức quan liêu lớn tùy ý tiêu tốn nguồn lực — nhỏ đối với họ nhưng lớn về giá trị tuyệt đối — nhằm áp đặt hình phạt hà khắc lên một tác nhân không hoàn hảo đã làm họ mất mặt
      Ngay cả khi các biện pháp như vậy nằm trong phạm vi chính đáng, việc chuyển chi phí đó sang người đã cho họ biết nhu cầu phải làm vậy cũng là không phù hợp. Nếu họ vận hành một dịch vụ công khai với lỗ hổng nghiêm trọng, thì bất kể người này có hành xử không đúng hay không, họ vẫn cần đánh giá khả năng ai đó khác đã khai thác nó
      Nguyên nhân của chi phí đó là hành vi tự vận hành một dịch vụ dễ bị tấn công, và ngay cả nếu họ tự phát hiện ra lỗ hổng thì đó vẫn là chi phí lẽ ra phải gánh sau khi đã vận hành dịch vụ
      Thiệt hại quy cho bị cáo nên được giới hạn ở thiệt hại thực tế do họ gây ra, chẳng hạn dùng quyền truy cập để lấy thông tin tài chính của khách hàng rồi thực hiện gian lận thẻ tín dụng
    • Tôi cho rằng “cành cây” mà luật sư EFF đứng lên rốt cuộc là vấn đề sẽ được tranh luận trước tòa
      Nếu cấu hình ứng dụng tệ đến mức chỉ cần làm theo giao thức Firebase là đã có quyền ghi vào cơ sở dữ liệu, thì có thể dễ dàng lập luận rằng thực tế họ không vượt qua biện pháp bảo mật nào. Vì vốn dĩ chẳng có biện pháp bảo mật nào để vượt qua
      Tôi nhớ đến vụ AT&T chỉ đơn giản đưa thông tin thuê bao dữ liệu iPad lên một trang web không được liệt kê. Tôi không nhớ kết quả, nhưng theo tôi biết khi đó bên liên quan đã cố thu thập tối đa dữ liệu có thể lấy được, nên khác với trường hợp này
    • Phân tích hay. Tôi thật sự không hiểu trong thập niên 2020 ai lại nghĩ kiểm thử xâm nhập không được yêu cầu là hành vi tỉnh táo và sẽ được hoan nghênh
      Bài gốc có vẻ không có phần “mea culpa”; dù giọng bài viết có kiểu meme như “tin nổi những người này định làm gì không?”, tôi vẫn hy vọng họ đã rút ra bài học
      Ý định có vẻ tốt, nhưng họ dường như đã vi phạm luật khá rõ ràng
    • Một chi tiết quan trọng là, dù về mặt kỹ thuật có thể là vi phạm CFAA, khả năng DOJ thực sự truy tố là rất thấp
      Năm ngoái DOJ đã cập nhật chính sách truy tố CFAA để không truy tố những người thực hiện “nghiên cứu bảo mật thiện chí” [1]
      CFAA vốn nổi tiếng có phạm vi quá rộng, nên chính sách của DOJ vẫn còn kém xa so với việc sửa luật để làm rõ hơn tính hợp pháp của nghiên cứu bảo mật
      Chính sách có thể thay đổi dưới một chính quyền mới nên vẫn còn rủi ro, nhưng đã ít rủi ro hơn so với trước khi được chính thức hóa
      [1] https://www.justice.gov/opa/pr/department-justice-announces-...
  • Thật khó hiểu vì sao trong hợp đồng, hoặc đặc biệt là trong các trao đổi pháp lý mang tính đe dọa, bên soạn thảo hầu như không phải chịu hậu quả gì nếu không viết nội dung một cách chính xác
    Tôi từng thấy trong hợp đồng lao động có câu kiểu “nếu một phần của hợp đồng này vô hiệu thì các phần còn lại không bị vô hiệu”. Người sử dụng lao động muốn thực thi các quy tắc của mình, bản thân điều đó là hợp lý, nhưng họ không bị bất lợi gì khi viết vào những nội dung không được phép. Cùng lắm thì tòa án chỉ xem điều khoản đó là vô hiệu
    Gánh nặng lại đặt lên người đọc, mà thường người đọc là bên yếu hơn rất nhiều
    Ở đây cũng vậy, vì sao công ty có thể gửi một lá thư đe dọa kiểu “cậu có thể phải vào nhà tù liên bang 20 năm vì chuyện này!”? Dù rõ ràng là sai sự thật
    Chẳng phải bên soạn thảo nên có trách nhiệm bảo đảm nội dung là hợp lý sao. Nếu nó vô lý và có thể chứng minh là sai, chẳng phải nên có hệ quả tiêu cực lớn hơn câu “à, coi như chưa có gì” sao

    • Khái niệm “một phần hợp đồng vô hiệu nhưng phần còn lại vẫn có hiệu lực” là tính có thể tách rời, tồn tại trong hầu hết mọi hợp đồng và thường chỉ giới hạn ở các điều khoản không mang tính nền tảng đối với bản chất của hợp đồng
      Như bạn nói, điều gì là nền tảng sẽ do tòa án diễn giải
      Trong ví dụ về hợp đồng lao động, tính có thể tách rời thực ra cũng bảo vệ chính bạn với tư cách cá nhân. Vì ngay cả khi một số điều khoản bị vô hiệu, các thỏa thuận còn lại, bao gồm cả những điều khoản bảo vệ bạn, vẫn tiếp tục có hiệu lực
      Nếu toàn bộ hợp đồng bị vô hiệu, bạn phải bắt đầu lại từ con số không, và có lẽ còn có thể mất việc. Có một chút bảo vệ vẫn hơn là không có gì
    • Tính có thể tách rời là khái niệm cho phép cắt bỏ một phần hợp đồng mà vẫn giữ phần còn lại, miễn là việc đó không làm thay đổi căn bản các điều kiện của hợp đồng; nó xuất phát từ luật hiến pháp, nhằm ngăn án lệ bị lật ngược toàn bộ ở mỗi vụ việc mới
      Nó giúp ngăn cả hai bên thoát khỏi toàn bộ nghĩa vụ pháp lý chỉ vì một lý do kỹ thuật nhỏ, hoặc cố tình đưa vào các điều khoản độc hại không thể vượt qua thẩm tra pháp lý
      Nếu một phần hợp đồng vô hiệu, phần đó không thể được sử dụng. Nếu việc phần đó vô hiệu làm thay đổi căn bản hợp đồng, toàn bộ hợp đồng sẽ vô hiệu. Tôi không rõ còn muốn thêm điều gì nữa
      Nghe có vẻ như bạn muốn có phản ứng mang tính trừng phạt đối với việc soạn một hợp đồng tệ, nhưng đó có vẻ là một ý tưởng khá tệ vì có thể tạo hiệu ứng làm chùn bước đối với mọi việc hình thành quan hệ pháp lý và kinh doanh
      Bên yếu hơn, vốn khó tiếp cận người soạn thảo pháp lý giỏi, cũng có thể bị ảnh hưởng nặng hơn. Nếu ngay cả việc thương lượng thay đổi câu chữ hợp đồng cũng trở thành bãi mìn trách nhiệm đối với người đàm phán, chẳng phải gánh nặng trách nhiệm sẽ càng mất cân đối hơn đối với tác nhân nhỏ phải đối mặt với cả một đội ngũ pháp lý sao
      Tôi không thấy rõ thế giới mà bạn hình dung có thể không tạo ra rủi ro lớn hơn cho bên yếu thế so với hiện tại bằng cách nào
    • Chắc chắn có những trường hợp quá đáng, nhưng rất khó vạch ranh giới rõ ràng
      Trong bối cảnh thiện chí, luật và án lệ thay đổi nhanh chóng, đôi khi còn tùy theo sự thất thường của thẩm phán, và cũng có nhiều lĩnh vực pháp luật không có án lệ rõ ràng hoặc hướng dẫn còn mơ hồ
      Trong những trường hợp đó, tính có thể tách rời rất quan trọng để không phải đàm phán lại toàn bộ hợp đồng chỉ vì một điều khoản nhỏ không đứng vững trước tòa
      Chẳng hạn, hãy nghĩ đến một hợp đồng lao động có điều khoản không cạnh tranh: công ty có thể dùng cùng một mẫu hợp đồng ở mọi khu vực, và tại những bang nơi điều khoản không cạnh tranh là bất hợp pháp, nhờ điều khoản về tính có thể tách rời mà không cần soạn hợp đồng riêng cho từng khu vực tài phán
      Nếu một bang trước đây cho phép điều khoản không cạnh tranh rồi sau đó thông qua luật cấm, liệu mọi hợp đồng lao động có điều khoản không cạnh tranh có nên đột ngột trở nên vô hiệu không? Dĩ nhiên là không. Đó chính là vai trò của tính có thể tách rời
      Với lời đe dọa trong bài gốc thì khó biết bối cảnh, nhưng có thể đó là câu kiểu “truy cập trái phép vào mạng máy tính của chúng tôi là tội phạm liên bang theo đạo luật XYZ và có thể bị phạt tối đa 20 năm tù”
      Với người bình thường thì cực kỳ đáng sợ, nhưng nói nghiêm ngặt thì không hẳn là sai; đa số luật sư sẽ đảo mắt cho rằng đó là chuyện nhảm nhí, nhưng nếu thêm đủ các cụm từ giới hạn thì rất khó biết nên vạch ranh giới ở đâu
      Rốt cuộc, những văn bản như thế thường do luật sư viết bằng thứ ngôn ngữ pháp lý không được thiết kế cho người bình thường. Việc đưa ra kiểu đe dọa này với sinh viên đại học là rất tệ, và luật sư viết rồi gửi lá thư này thay mặt công ty thực chất đã đưa ra lời khuyên cực kỳ tồi cho công ty
      Có thể nêu vấn đề với đoàn luật sư, nhưng trong tình huống như thế này có lẽ rất khó biến nó thành một vụ việc thuyết phục
      Đây là một trong những lý do thương lượng tập thể quan trọng. Công đoàn có thể chi trả cho đại diện pháp lý để đối đầu với luật sư của công ty, còn nhân viên cá nhân thì khó làm vậy
    • Một mặt là vấn đề cân bằng giữa việc khuyến khích mọi người khẳng định quyền của mình, mặt khác là kiềm chế việc khởi kiện vô ích
      Hệ thống kiểu Mỹ theo hướng “mỗi bên tự chịu chi phí pháp lý của mình”, nên giúp nạn nhân dễ khởi kiện hơn
      Ngược lại, ở Anh về cơ bản là “bên thua chịu chi phí pháp lý của cả hai bên”, nên nhiều nguyên đơn sẽ ngần ngại khởi kiện dù đã chịu thiệt hại lớn
    • Có thể có hệ quả, nhưng phải chứng minh được rằng mình đã chịu thiệt hại
      Bạn đã chịu thiệt hại gì từ lời đe dọa đó, và mức bồi thường chính đáng là bao nhiêu? Chi phí thuê luật sư để kiện nhằm được bồi thường là bao nhiêu, và khả năng thắng kiện đến mức nào?
      Bên gửi thư đe dọa hẳn cũng đã tự đặt ra cùng loại câu hỏi như vậy
      Nếu bạn cảm thấy bất công vì phía bên kia có nhiều nguồn lực hơn, thì đó là một vấn đề xã hội rộng hơn. Có nhiều tiền thì sẽ tiếp cận tốt hơn với mọi hình thức công lý
  • Bài viết này dường như cho thấy cách xử lý công bố lỗ hổng ngày nay nhìn chung đã thay đổi theo hướng tích cực
    Vào thập niên 90, công ty nào cũng như thế này. Các công ty đe dọa kiện tụng, và bản thân việc công bố trông có vẻ đáng ngờ về mặt pháp lý. Trên các diễn đàn hay BBS, người ta bàn ngay từ đầu rằng liệu công bố có an toàn không, và đưa ra các gợi ý như dùng tài khoản email ẩn danh
    Tất nhiên hiện nay vẫn còn một phần như vậy. Đặc biệt là các công ty kiểu cũ, hoặc như trường hợp này là những sinh viên đại học ngây thơ, nhưng nhìn chung tình hình đã thay đổi mạnh mẽ theo hướng có lợi cho việc công bố
    Giờ có các bên trung gian chuyên trách bảo vệ danh tính nhà nghiên cứu bảo mật, các tập đoàn lớn khuyến khích và khen ngợi việc công bố, bug bounty 6 chữ số, và cả luật pháp đã trở nên thân thiện hơn với nhà nghiên cứu bảo mật
    Với tác giả, đây hẳn là một chuyện khá khó chịu, nhưng cũng là một lời nhắc tốt rằng trước đây những tình huống như thế này từng là chuẩn mực, hoặc còn tệ hơn, còn hiện nay thì đã hiếm hơn ở một mức độ nào đó

    • Vấn đề là việc thực hiện kiểu hack này khi không được phép vẫn hoàn toàn là bất hợp pháp
      Vì nhiều công ty chấp nhận bug bounty và khuyến khích những hoạt động như vậy nhắm vào chính họ, đáng tiếc là điều đó khiến “bọn trẻ” học rằng việc này hoàn toàn hợp pháp, đúng đắn về đạo đức và có đạo lý
      Nhưng như câu chuyện này cho thấy, thực tế là bạn đang gieo xúc xắc, và lần này chỉ là mọi chuyện diễn ra suôn sẻ
      Nếu không có sự hợp tác của mục tiêu thông qua một chương trình bug bounty được nêu rõ, những cách như email ẩn danh có lẽ vẫn là ý hay hơn. Chỉ là nó không giúp nhà nghiên cứu bảo mật “tạo dựng tên tuổi”
      Về thực chất, nó cũng giống như thừa nhận xâm nhập trái phép. Ví von thì dù chỉ bước qua một cánh cửa không khóa để xem có nhìn được bên trong tủ lạnh không cũng vậy
      Trước tòa án dư luận, bạn có thể được nhìn nhận là đã giúp phơi bày lời nói dối của doanh nghiệp, nhưng trong tòa án thực sự, điều đó không thay đổi việc bạn phạm tội
    • Cũng có vẻ như các sinh viên đang cố bảo vệ sự nghiệp tương lai của mình. Kiểu “nếu không để chuyện này trôi qua trong im lặng thì…”, đặc biệt nếu vấn đề đã được sửa nhanh chóng
      Theo nghĩa đó, nó khác với kiểu trả đũa điển hình của thập niên 90. Từ góc nhìn của các sinh viên, hẳn chuyện này khá đáng sợ
      Tôi cũng không loại trừ khả năng có sự can thiệp của các bậc cha mẹ giàu có, dù tất nhiên tôi không biết gì về tình huống hay những người liên quan
    • Những cách như dùng tài khoản email ẩn danh vẫn là con đường nên đi ở nhiều nước phương Tây
  • Một câu chuyện đáng kinh ngạc. Bài của Stanford Daily có bản sao các lá thư qua lại giữa các luật sư, và chúng khá dữ dội. Nếu EFF không vào cuộc, chúng ta đã không được đọc chúng
    https://stanforddaily.com/2022/11/01/opinion-fizz-previously...

  • Theo bài của Stanford Daily, “khi đó Fizz dùng sản phẩm cơ sở dữ liệu Firestore của Google để lưu thông tin người dùng, bài đăng, v.v… Fizz không thiết lập các quy tắc bảo mật cần thiết, nên bất kỳ ai cũng có thể truy vấn trực tiếp cơ sở dữ liệu… có thể truy cập hoàn toàn số điện thoại và/hoặc địa chỉ email của mọi người dùng, và các bài đăng cùng upvote có thể được liên kết trực tiếp với những thông tin định danh này… Hơn nữa, toàn bộ cơ sở dữ liệu đều có thể chỉnh sửa. Bất kỳ ai cũng có thể chỉnh sửa bài đăng, điểm karma, trạng thái moderator, v.v.”
    Chuyện này thật sự quá vô lý

    • Đáng tiếc là đây là vấn đề rất phổ biến trong ứng dụng Firebase
      Vì client ghi trực tiếp vào cơ sở dữ liệu, người ta thường quên kiểm tra quyền, và tin rằng client sẽ chỉ ghi vào đối tượng của chính nó
      Từ lâu tôi từng đổi giá trị người dùng Firebase thành isAdmin=true và lấy được quyền admin của một công ty xe scooter điện, rồi sau đó vô tình xóa chiếc scooter mình đang thuê khỏi Firebase. Sau đó chiếc scooter ấy ra sao thì tôi không biết
    • Vài năm trước, tôi phát hiện một ứng dụng kết bạn qua thư để học ngôn ngữ tên HelloTalk lưu tọa độ GPS thực của người dùng trong SQLite có thể tìm thấy từ bản sao lưu iOS
      Bản đồ trong ứng dụng chỉ hiển thị vị trí tương đối, và ở một mức zoom nhất định thì ghim biến mất
      Nếu viết lại request bằng mitmproxy, cũng có thể vượt qua các bộ lọc ngăn người vị thành niên tìm kiếm người từ 18 tuổi trở lên hoặc ngăn người lớn tìm kiếm người vị thành niên, và cũng có thể vượt qua các bộ lọc chỉ dành cho trả phí như vị trí, giới tính. Trạng thái trả phí không được kiểm tra ở phía server
    • Liên quan đến việc này, có công cụ nào để audit hoặc khám phá cơ sở dữ liệu Firebase/Firestore không? Ví dụ kiểm tra xem có thể đọc các collection hay document hay không
      Tôi hình dung một công cụ web cho phép nhập app ID và các giá trị API nằm trong frontend công khai, tùy chọn hỗ trợ cả session ID để xử lý các ứng dụng Firestore dùng quy tắc bảo mật nhẹ chỉ hiển thị cho người dùng đã đăng nhập, đồng thời nhận tên collection tìm thấy trong mã JavaScript để khám phá
  • Thú vị là Ashton Cofer và Teddy Solomon của Fizz đã cố xử lý khủng hoảng PR khi sai sót của họ bị phơi bày https://stanforddaily.com/2022/11/01/opinion-fizz-previously...
    Câu trả lời của họ yếu ớt, và có vẻ từ đó họ đã từ chối bình luận về vụ việc này

    • Theo bài Stanford Daily [0] được liên kết trong bài gốc, Fizz cũng đã gỡ tuyên bố về sự cố này và các cái gọi là cải tiến khỏi website của họ
      Bài viết nói rằng “Fizz đã đưa ra một tuyên bố ngày 7/12/2021 có tên ‘Security Improvements Regarding Fizz’, nhưng tính đến thời điểm bài này được xuất bản, trang đó không còn có thể truy cập từ website Fizz hay Google Search nữa”
      Ngoài ra, có vẻ rất có khả năng ứng dụng vẫn lưu thông tin định danh cá nhân về hoạt động của người dùng “ẩn danh”
      “Hơn nữa, chúng ta vẫn chưa biết liệu dữ liệu của mình có được ẩn danh hóa nội bộ hay không. Năm ngoái, các nhà sáng lập nói với The Daily rằng người dùng có thể bị nhận diện bởi các nhà phát triển, và chính sách quyền riêng tư của Fizz vẫn gợi ý rằng điều đó là đúng”
      Ở đây “nhà phát triển” có thể bao gồm chính những nhà sáng lập đã từ chối bình luận về vấn đề này, xóa các trao đổi liên quan của công ty, và ban đầu marketing một cái xô thủng lỗ chỗ là “ứng dụng mạng xã hội an toàn 100%”, rồi khi bị bắt quả tang thì sử dụng các lời đe dọa pháp lý
      Tôi chẳng hề muốn đưa thông tin của mình vào Fizz
  • Vì sao có thể đe dọa bằng pháp lý rồi tránh được hậu quả, nhưng nếu đe dọa bạo lực thể xác thì có thể phải vào tù?

    • Cảm giác đó hơi kỳ. Nói chung, dù có những điểm mấu chốt quan trọng không cần nói hết ở đây, việc đe dọa sẽ khởi kiện — một hành vi hợp pháp — tất nhiên là có thể nói; còn đe dọa sẽ hành hung thân thể — một hành vi bất hợp pháp — thì không thể nói
    • Tôi không phải luật sư, nhưng theo tôi biết, ở một số thẩm quyền và tình huống, chỉ riêng việc đe dọa truy tố hình sự cũng có thể cấu thành tống tiền hoặc tội lạm dụng thủ tục
    • Tôi không phải luật sư, nhưng: 1) đe dọa bạo lực là hành vi phạm tội được quy định rõ ràng 2) nhìn ở cấp độ cao hơn, lý do đe dọa bạo lực là tội phạm là vì hành vi nền tảng của nó — sử dụng bạo lực — cũng là tội phạm
      Đe dọa sẽ làm một việc hợp pháp nhìn chung là hợp pháp. Chẳng hạn, đe dọa sẽ báo cho nhà chức trách không phải là bất hợp pháp
    • Đe dọa sẽ làm một việc hoàn toàn hợp pháp thì hoàn toàn hợp pháp
    • https://en.wikipedia.org/wiki/Monopoly_on_violence
  • “Ở cuối lời đe dọa là một yêu cầu: tuyệt đối không được công khai nói về những gì đã phát hiện. Về bản chất, nếu đồng ý im lặng thì họ sẽ không theo đuổi hành động pháp lý”
    Về mặt pháp lý, yêu cầu như vậy có thể ngăn cả việc nói chuyện với công tố viên tiểu bang hoặc cảnh sát không?
    Nếu họ tuyên bố là “an toàn 100%” trong khi thực tế không an toàn, và biết rằng người dùng không được bảo vệ chút nào khỏi việc công ty hoặc ít nhất là một hacker có năng lực tối thiểu rình mò, thì tối thiểu đó là lừa đảo, và gần với nghe lén phạm tội hơn. Vì họ cố ý lừa người dùng tin rằng dịch vụ “an toàn 100%” để tiết lộ bí mật cho dịch vụ
    Việc chuyện này kết thúc “êm đẹp” thật lòng là một thất bại của công lý. Đội ngũ Fizz đáng lẽ phải bị cáo buộc lừa đảo

    • Có thể Fizz thật sự không biết về lỗ hổng bảo mật của chính mình. Nếu vậy thì có lẽ gần với sơ suất hơn là lừa đảo
    • Tôi không thấy yêu cầu của Fizz có sức thuyết phục pháp lý mấy
      Ở Mỹ, doanh nghiệp được coi trọng hơn công dân. Quảng cáo ở Mỹ đầy rẫy những tuyên bố sai sự thật
      Chúng ta phớt lờ điều đó bằng cách giả vờ rằng từ ngữ không có ý nghĩa
  • Thú vị đấy. Trường tôi cũng có một nền tảng rất giống gọi là SideChat, chắc cũng không khác nhiều
    Năm ngoái tôi bị chặn vĩnh viễn vì đặt câu hỏi về tính chính đáng của “điều trị khẳng định giới”, nên tôi bắt đầu tò mò không biết họ biết về tôi đến mức nào

  • Nhìn từ góc độ báo chí, việc công khai chỉ ra Fizz là rất tốt. “Fizz đã không bảo vệ dữ liệu người dùng. Rồi chuyện gì xảy ra tiếp theo?”
    Đây không phải là “ai đó đã hack”, mà là Fizz đã không làm được điều họ hứa
    Tôi vẫn tò mò liệu lỗ hổng đã được kiểm thử xem đã khắc phục chưa hay chưa

    • Tôi nhớ trong bài viết tiếp theo của Stanford Daily có nói rằng các nhà phát triển ứng dụng đã nhận được khoản đầu tư hàng triệu đô la và nhận được nhiều hỗ trợ chuyên nghiệp, bao gồm cả việc sửa các vấn đề bảo mật
      Tuy nhiên, dữ liệu người dùng dường như vẫn chưa được ẩn danh hóa hoàn toàn trong nội bộ như họ từng tuyên bố