Điều tra về một tệp PDF bị chỉnh sửa

 (mjg59.dreamwidth.org)
2 điểm bởi GN⁺ 2025-09-28 | 1 bình luận | Chia sẻ qua WhatsApp
  • Tại California, đã phát sinh tranh chấp do nghĩa vụ hoàn trả tiền đặt cọc trong vòng 21 ngày và thông báo kiểm tra trước không được thực hiện, đồng thời hợp đồng thuê không có thông tin chủ nhà nên tình huống diễn ra theo hướng phải liên lạc trước với đơn vị đại diện (International Executive Rentals)
  • Đơn vị đại diện khẳng định họ không giữ tiền đặt cọc và gửi bản sao hợp đồng, nhưng trong tài liệu đó phần nội dung ghi “tiền đặt cọc được giữ trong tài khoản ủy thác của IER” lại mâu thuẫn với điều khoản bổ sung (Addendum), làm dấy lên nghi vấn
  • Trang chứng thực do nền tảng chữ ký RightSignature gắn vào có cùng checksum, nhưng phân tích metadata PDF cho thấy sự khác biệt ở thời điểm chỉnh sửa, thẻ ID (ID0/ID1)sự không khớp múi giờ, hé lộ dấu hiệu tài liệu đã bị sửa sau đó
  • Kết quả tháo rời và so sánh cấu trúc bên trong PDF cho thấy thẻ ‘touchUp_TextEdit’ ở trang 3 và thay đổi quy tắc đặt tên phông chữ, cùng với việc đổi tên phông Courier được dùng khi chèn chữ ký, qua đó có thêm bằng chứng cho thấy tài liệu đã bị chỉnh sửa sau khi ký
  • Khi dùng công cụ dành cho nhà phát triển để xác nhận bản gốc base.pdf khớp với ‘Original checksum’, điều khoản bổ sung không hề tồn tại; ngay cả trong lúc chia sẻ màn hình cũng lộ ra ngày tải lên và hai mục Draft/Completed, cho thấy mạnh mẽ khả năng đã có thao tác chỉnh sửa

Bối cảnh vụ việc và khía cạnh pháp lý

  • Dù là thuê ngắn hạn, vẫn áp dụng quy định bảo vệ người thuê nhà của California nên có nghĩa vụ hoàn trả tiền đặt cọc trong vòng 21 ngàythông báo kiểm tra trước khi chuyển đi
    • Bên cho thuê là chủ thể chịu trách nhiệm giữ và hoàn trả tiền đặt cọc, còn đơn vị đại diện không phải chủ thể chịu trách nhiệm pháp lý
    • Do hợp đồng thiếu tên và địa chỉ của chủ nhà, nên đã phát sinh tình huống chỉ có thể tống đạt thông qua đơn vị đại diện
  • Đại diện công ty môi giới gửi email nói rằng “chúng tôi không giữ tiền đặt cọc”, nhưng hợp đồng đính kèm lại đồng thời có câu IER giữ tiềnAddendum ghi ‘chủ nhà giữ’, tạo ra mâu thuẫn

Tài liệu có vấn đề và các điều khoản mâu thuẫn

  • Điều khoản trong phần thân: có câu thể hiện đơn vị giữ tiền là “tiền bảo đảm (tiền đặt cọc)… được giữ trong IER Trust Account
  • Khu vực ô chọn ở cuối trang: Addendum 1 được đánh dấu với nội dung tiền đặt cọc do chủ nhà giữ
    • Trong bản sao mà tác giả giữ, Addendum 1 để trống, còn trong bản phía đơn vị đại diện cung cấp thì đã được đánh dấu và điền nội dung

Pháp y số 1: So sánh metadata PDF

  • Công cụ: dùng pdftk dump_data để trích xuất CreationDate/ModDateID0/ID1
    • Bản sao của tác giả: thời điểm tạo và sửa giống nhau, theo UTC, ID0=ID1
    • Bản sao của đơn vị đại diện: thời điểm tạo giống nhau nhưng có thêm thời điểm sửa vào thứ Hai gần nhất, hiển thị PDT, ID0 giống nhưng ID1 khác
  • Diễn giải: ID0 thường được gán khi tạo lần đầu và không đổi, còn ID1 thường thay đổi khi chỉnh sửa, qua đó củng cố nhận định cùng một bản gốc nhưng đã bị sửa về sau

Pháp y số 2: So sánh cấu trúc theo từng trang

  • Công cụ: dùng pdfalyzer để tách object và thực hiện diff
    • Khác biệt chỉ tập trung ở trang 3, các trang còn lại có cấu trúc giống nhau
    • Sự hiện diện của thẻ “touchUp_TextEdit” ở trang 3 cho thấy dấu vết chỉnh sửa bằng Acrobat
  • Khả năng phản biện: cũng có thể đây là chỉnh sửa trước khi ký, chẳng hạn để chèn tên chủ nhà, nên cần thêm bằng chứng quyết định

Pháp y số 3: Theo dấu thời điểm ký qua quy tắc đặt tên phông chữ

  • Phông chữ ở hầu hết các trang tuân theo một quy tắc đặt tên nhất quán, nhưng riêng trang 3 có cách đặt tên được đổi theo kiểu của Acrobat
  • Phông Courier do RightSignature chèn vào khi hoàn tất ký có cùng tên trên toàn bộ tài liệu, nhưng riêng ở trang 3 lại được ghi theo quy tắc đã thay đổi
    • Courier chỉ xuất hiện sau khi ký, việc đổi tên phông ở trang 3 cho thấy đã có chỉnh sửa sau thời điểm ký

Pháp y số 4: Thu thập tệp gốc trước khi ký

  • Trong tab Network của trình xem RightSignature (F12), tác giả đã xác nhận và tải xuống base.pdf
    • sha256sum khớp chính xác với Original checksum trên trang chứng thực, và đó là bản gốc không có Addendum
  • Bằng chứng mang tính kết luận: dù trang chứng thực được thiết kế theo cách khó tự kiểm chứng, việc đối chiếu checksum với bản gốc nội bộ của nền tảng đã chứng minh rằng điều khoản bổ sung không hề có trong bản gốc

Lập luận từ phía đơn vị đại diện và các tình tiết bổ sung

  • Đơn vị đại diện cho rằng “RightSignature đóng niêm phong lại mỗi lần tải xuống, nên trông như bị sửa”
    • Tuy nhiên, múi giờ trong metadata, thay đổi ID1, khác biệt cấu trúc chỉ ở trang 3sự thay đổi cách đặt tên phông sau khi ký đều không phù hợp với lập luận này
  • Những gì lộ ra trong lúc chia sẻ màn hình: “Uploaded: 09/22/25”, nút Send for signature, và hai mục Draft/Completed
    • Có dấu hiệu cho thấy tài liệu Completed không có Addendum, còn tài liệu Draft thì có Addendum

Động cơ suy đoán và rủi ro

  • Suy đoán: sau khi nhận ra câu “IER giữ tiền” có thể khiến mình phải chịu trách nhiệm hoàn trả tiền đặt cọc, đơn vị đại diện có thể đã tìm cách chèn Addendum về sau
    • Kết quả là trong nỗ lực né tránh nguy cơ trách nhiệm dân sự nhỏ, họ lại tự đặt mình vào rủi ro tạo ra dấu hiệu giả mạo tài liệu
    • Dù về mặt pháp lý trách nhiệm cuối cùng vẫn thuộc về chủ nhà, hành vi chỉnh sửa tài liệu vẫn có thể kéo theo rủi ro pháp lý riêng

Hàm ý thực tiễn và mẹo ứng phó

  • Khi dùng nền tảng chữ ký điện tử, nhu cầu lưu ngoại tuyến bản gốc (base.pdf) và checksum ngay sau khi ký là rất lớn
  • Các điểm cần chú ý trong pháp y PDF
    • Kiểm tra múi giờ và mức độ đồng bộ của timestamp tạo/sửa
    • So sánh ID0/ID1 để suy đoán lịch sử chỉnh sửa
    • Phát hiện diff object theo từng trang, thẻ chỉnh sửa (touchUp_TextEdit)thay đổi quy tắc đặt tên phông chữ
  • Với lập luận “nền tảng tự niêm phong lại”, có thể đối phó bằng cách đối chiếu chéo giữa bản gốc trên nền tảng và checksum chứng thực
    • Tab Network trong công cụ dành cho nhà phát triển có thể là đòn quyết định để thu thập bản gốc trước khi ký

Bài viết liên quan

1 bình luận

 
GN⁺ 2025-09-28
Ý kiến Hacker News

  • Khuyến nghị liên hệ với High Technology Theft Apprehension and Prosecution Program của California, Internet Crime Complaint Center của FBI, Financial Crimes Unit ở San Francisco; vì RightSignature đã được Citrix mua lại nên cũng đáng cân nhắc báo cho phía Citrix; do sự thật rõ ràng là có lợi nên khả năng thành công cao ngay cả khi không tốn phí luật sư, và cũng có thể yêu cầu bồi thường thiệt hại (High Technology Theft Apprehension and Prosecution Program, Internet Crime Complaint Center, Financial Crimes Unit, bài viết về thương vụ Citrix mua lại, thông tin GC của Citrix)

    • Khả năng cao đây là vụ án hình sự, nhà nước sẽ trực tiếp tiến hành thủ tục trừng phạt; ngoài ra còn có thể khởi kiện dân sự, nếu thuê luật sư thì sẽ mất chút thời gian nhưng vẫn có thể nhận được khoản bồi thường hợp lý mà không phải chịu chi phí riêng, và điều đó cũng có ý nghĩa về mặt xử phạt

    • Nếu chuyện này đã xảy ra với một người thì có lẽ cũng đã xảy ra với nhiều người khác, nếu điều tra kỹ thì tôi nghĩ thậm chí có thể kiện tập thể

  • Vì vậy các giấy tờ quan trọng nên được lập thành ba bản — mỗi bên giữ một bản và công chứng viên giữ bản sao thứ ba; dịch vụ ký tài liệu đóng vai trò đó, và rất hiếm khi sẽ có lúc cần ai đó làm chứng xem ai đang giữ bản gốc thật; khi tôi làm ở một công ty tương tự, tôi chỉ nghe về 1 vụ tranh chấp chữ ký và không có tranh chấp về nội dung; dù với tôi cách hàm băm hoạt động là rất rõ ràng thì thẩm phán có thể không hiểu nội dung kỹ thuật, nên cuối cùng công ty vẫn phải đưa ra lập trường chính thức

    • Tập quán ba bản này đã tồn tại ít nhất từ các hợp đồng indenture của thế kỷ 14, từ “indenture” bắt nguồn từ kiểu cắt răng cưa lởm chởm; người ta chép tay tài liệu thành ba bản, ký toàn bộ rồi mới cắt ra, khiến việc sao chép khó hơn và còn chèn chữ Latin viết hoa ở giữa để việc giả mạo khó hơn; nếu hai bản không khớp thì có ai đó đang nói dối; bản thứ ba này được lưu tại văn phòng công chứng để xác định ai nói thật; hợp đồng lao động khế ước cũng theo cách này

    • Đó chính là lý do RightSignature không phải dịch vụ tự host giá rẻ mà là dịch vụ SaaS đắt tiền; bản chất là cung cấp một bên thứ ba có thể làm chứng ai đã ký vào phiên bản nào

    • Giờ mới được nghe giải thích về ba bản sao nên thắc mắc của tôi mới được giải đáp, trước giờ bận quá nên chưa tìm hiểu

  • Tôi nhớ có bài trước đây của Gwern tự hỏi vì sao người ta không thử làm việc này thường xuyên hơn (blog Gwern: suy ngẫm về giả mạo PDF)

    • Tôi nghĩ trường hợp của OP lần này chính là ví dụ chứng minh cho câu hỏi đó; việc giả mạo lại diễn ra thông qua dịch vụ xác thực là điều gây sốc, và để điều tra bài bản rồi chứng minh được tình huống này thì phải có người cực kỳ giỏi về phần mềm và pháp y số, trải qua vô số bước xác minh mới may ra làm được; mà đến giờ vẫn chưa hề có dàn xếp hay phán quyết có tội nào cả; như vụ Craig Wright, ngay cả chỉnh sửa đơn giản hay backdate cũng cần pháp y chuyên gia rất lớn, trong khi sửa PDF gốc thì người mới cũng có thể làm trong 5 phút

    • Có vẻ điều Gwern tập trung là giả mạo các tài liệu công khai như PDF bài báo; trong trường hợp đó tốt hơn là tạo hẳn PDF mới để không thể đối chiếu với bản gốc, nhưng với tài liệu chính thức dùng làm chứng cứ pháp lý thì phải giả mạo giống hệt bản gốc nhất có thể mới khó bị phát hiện; chỉ là các tài liệu như vậy thường không được công khai trên Internet

    • Với câu hỏi “vì sao không có Photoshop cho PDF” thì có Xournal++

  • Tôi cũng недавно gặp chuyện tương tự, tôi ở Bồ Đào Nha 1 năm và môi giới bất động sản đã chỉnh sửa hóa đơn điện, nước rồi đưa cho tôi PDF giả; tôi phát hiện giả mạo nhờ metadata của PDF nhưng không làm gì thêm ngoài việc lấy lại tiền; đồng thời tôi cũng biết metadata có thể bị ghi đè rất dễ; tôi thắc mắc làm sao có thể tự bảo vệ mình an toàn trong những vấn đề như thế này

    • Hóa đơn điện tử có áp dụng chữ ký số là một giải pháp; ví dụ Factur-X của Pháp (tên tại Đức là ZUGFeRD) nhúng dữ liệu XML có chữ ký vào trong PDF, nên có thể dễ dàng xác minh đúng là do bên phát hành hóa đơn tạo ra; nhiều nước châu Âu đang áp dụng hệ thống này để xử lý VAT, và dữ liệu chữ ký máy đọc được đáng tin cậy hơn tài liệu giấy rất nhiều; một biện pháp khác là báo cáo những trường hợp như vậy để những người liên quan bị xử phạt vì tội lừa đảo

    • Các luật sư đã có câu trả lời từ hàng trăm năm trước: mọi tài liệu phải có nhiều bản, được từng bên lưu giữ ngay tại thời điểm ký; tôi cũng nhận hợp đồng thành hai bản, cả hai bên cùng ký rồi mỗi bên giữ một bản; khi có sửa đổi cũng vậy; mỗi bên có trách nhiệm lưu giữ bản sao của mình cẩn thận; và quy trình này cũng cần được áp dụng trong môi trường số

  • Với trường hợp như thế này, tôi có cảm giác nên kiện vì đã dùng tài liệu giả mạo để lừa đảo; có thể nó không hiệu quả với bạn, nhưng theo cùng một cách đó có thể đã xuất hiện rất nhiều nạn nhân

    • Nếu bạn không muốn đấu tranh vì những người thuê khác thì chỉ cần “đe dọa” kiện thôi cũng được, như vậy có thể buộc môi giới bất động sản tiết lộ thông tin chủ nhà hoặc hoàn trả tiền đặt cọc

    • Mục tiêu cuối cùng là khoản tiền đặt cọc phải được hoàn lại, hoặc bồi thường dân sự do wire-fraud (gian lận hình sự)

  • Có vẻ trên trang RightSignature vẫn còn bằng chứng rõ ràng, nhưng kể cả khi trang web biến mất thì vẫn cần một cách xác minh tính xác thực của tài liệu; trang xác thực hiện tại sẽ trở nên vô dụng nếu site không còn

    • Lý do thấy khó là vì trang xác thực được nhúng trong chính PDF nhưng không thể đưa hàm băm hay chữ ký của chính nó vào; cũng không thể chỉ dùng hàm băm, vì có thể sửa file rồi đổi luôn hàm băm; cần có cách trích xuất payload được ký một cách rõ ràng, nhưng RightSignature không được thiết kế trên nền tảng mật mã nên phải thiết kế lại hoàn toàn

    • Bản thân PDF có hỗ trợ tính năng xác minh chữ ký, và Adobe Reader cũng nhận diện được điều đó; DocuSign dùng cách này, và có thể xem ngay phiên bản đã ký trong Reader (hướng dẫn tài liệu ký của Adobe, ví dụ xem trước chữ ký: ví dụ Adobe Reader)

  • Tôi rất tò mò không biết vụ việc liên quan công ty môi giới cho thuê đã có kết luận chưa

    • Vẫn chưa có gì xảy ra, tôi đang nộp đơn khiếu nại chính thức lên cơ quan phụ trách bất động sản, và chưa nhận thêm phản hồi nào từ công ty môi giới

  • Tôi nghĩ việc cố ý tạo va chạm sha256 là bất khả thi trong thực tế, ngay cả SHAttered với SHA-1 cũng đã cần năng lực GPU tương đương 110 năm; có lẽ phía RightSignature chỉ vô tình tải nhầm tài liệu, như chọn sai file hoặc vô ý up nhầm phiên bản rồi hiểu lầm thì sao

    • OP đã nói rất rõ trong bài rằng bản nháp đó được tải lên muộn hơn rất nhiều nên không thể chỉ là nhầm lẫn đơn giản; nếu thực sự là cố ý tải bản mới lên thì tôi cũng không hiểu có mục đích hợp lý nào trong việc tải lại bản đã sửa sau khi hợp đồng thuê có chữ ký xong xuôi hết rồi

    • Trên thực tế, hàm băm được dùng cho chữ ký khớp với tài liệu gốc (phiên bản không có chữ ký của người thuê và không có điều khoản gian lận được thêm vào), và không khớp với bất kỳ phiên bản nào khác

  • Đến giai đoạn này thì công ty môi giới có hai lựa chọn: (A) tự hoàn lại ngay tiền đặt cọc rồi nếu người môi giới chỉ là bên chuyển tiếp thì sau đó đòi lại từ chủ nhà, hoặc (B) cung cấp đầy đủ thông tin chủ nhà và yêu cầu chủ nhà hoàn trả theo đúng pháp lý; câu chuyện PDF giả mạo và màn giằng co với công ty thì thú vị thật, nhưng mục tiêu là lấy lại tiền đặt cọc

  • Tôi thử truy cập thì gặp lỗi 403 (liên kết Web Archive)

    • Tôi thì không bị