Vẫn chưa rõ vì sao Zing (hay VNG nói chung) không mã hóa mật khẩu trước khi lưu xuống cơ sở dữ liệu mà để nguyên mật khẩu gốc, vốn là điều rất cơ bản mà mọi nhà phát triển đều được học ngay từ những ngày đầu tiên.
VNG có mã hóa, nhưng xài MD5 dễ quá nên dịch ngược lại được (dịch ngược bằng cách tra cứu trong các database trên mạng để tìm chuỗi khớp)
Cũng chưa rõ vì sao VNG không có động thái thông báo nào liên quan đến các tài khoản bị rò rỉ từ năm 2015. Theo lời của công ty thì "Năm 2015, VNG đã ghi nhận việc 160 triệu Zing ID có nguy cơ bị rò rỉ và có thể ảnh hưởng tới một bộ phận tệp khách hàng chơi game của công ty. Ngay tại thời điểm đó, chúng tôi đã kịp thời có các biện pháp xử lý, ngăn chặn xâm nhập, giới hạn số lượng người dùng bị ảnh hưởng bởi sự cố thông qua các biện pháp kỹ thuật."
Lời khuyên dành cho các bạn dùng Zing: đổi ngay mật khẩu của bạn, không chỉ cho tài khoản Zing mà cho tất cả những tài khoản khác sử dụng chung mật khẩu với Zing để tránh bị đoán password.
Bên dưới là bài viết của VNHacker.
Trong số 160 triệu tài khoản VNG bị lộ có gần 34 triệu tài khoản là của những người có thể xác định được chính xác ngoài đời. Gắn với 34 triệu tài khoản này là hơn 12 triệu mật khẩu (vì ý tưởng lớn gặp nhau, người ta hay chọn mật khẩu giống nhau -- các bạn có biết là có website hẹn hò chuyên ghép đôi những người chọn cùng mật khẩu?)
Các mật khẩu này được mã hóa với một thuật toán rất dễ bị bẻ gãy (dành cho dân trong nghề: thuật toán MD5, một round duy nhất, không salt gì cả). Tôi tin đây là vụ lộ mật khẩu của người Việt Nam lớn nhất từ xưa đến nay và việc bẻ khóa các mật khẩu này sẽ cung cấp một nguồn thông tin hiếm hoi về cách mà người Việt Nam chọn những bí mật riêng tư nhất của mình. Việc phân tích các mật khẩu sẽ giúp chúng ta biết được mật khẩu nào yếu và từ đó chọn cho mình mật khẩu tốt nhất. Và đương nhiên ai mà không muốn biết thằng Tèo nhà hàng xóm chọn mật khẩu như thế nào?
Tôi sử dụng phần mềm hashcat, với một vài tinh chỉnh nhỏ, không đáng kể. Tôi sử dụng chiếc laptop cùi bắp Macbook Pro đời 2015. Nói chung là tôi không có làm gì đặc biệt, những gì tôi làm ai cũng có thể làm được. Tôi bắt đầu bẻ khóa vào trưa thứ bảy và đến chiều chủ nhật thì dừng lại vì laptop nóng quá tôi sợ nó chết
. Tôi tìm được hơn 99% mật khẩu của 34 triệu tài khoản kể trên.Tôi thấy người Việt chọn mật khẩu rất tếu. Có bác nào nhà nuôi lợn nên chọn mật khẩu là lonlonlonlonlonlonlonlonlonlon. Cũng có bác nuôi cú đặt mật khẩu là cucucucucucucucucucu.
Một vài thống kê vui khác:
* anhyeuem là mật khẩu phổ biến thứ 5, có đến hơn 900.000 người chọn mật khẩu này, trong khi chỉ có hơn 90.000 người chọn emyeuanh. Chứng tỏ đàn ông yêu nhiều hơn đàn bà.
* Rất nhiều đàn ông nghĩ họ đẹp trai: có đến 95.749 tài khoản sử dụng từ "deptrai". Chỉ có vài phụ nữ nghĩ họ đẹp gái: chỉ có 1517 tài khoản sử dụng từ "depgai".
* Nhưng rất nhiều người nghĩ họ xinh (xinh mà không đẹp nghĩa là sao??): có 106014 tài khoản có từ "xinh" trong mật khẩu (và tôi đã loại trừ các từ như xinhayquenanh).
* Dữ liệu cho thấy có nhiều người dùng ở Sài Gòn hơn các Hà Nội, nhưng chỉ có 10.000 người chọn Sài Gòn làm bí mật, so với 20.000 chọn Hà Nội.
* Có đến 108 "boyhanoi", nhưng lại không có em "gaiphoco" nào cả. Chỉ có 396 "chandai" nhưng lại có đến 32726 "daigia".
* Đang đói bụng nên tôi thử tìm xem... Chỉ có 29 người thích ăn nem nướng, nhưng có đến 327 người thích bún chả.
* Có 23 người thích phở tái, nhưng chỉ có 1 người thích phở chín! Số người thích phở bò là 380, gấp đôi số người thích phở gà!
* Số người thích "bunrieu" là 184, chỉ là con số nhỏ so với 1934 người thích "hutieu".
Ai nghĩ ra cái gì cần tìm thì báo lại cho tôi biết nhé ;-).
https://tinhte.vn/threads/cach-nguoi-viet-chon-mat-khau-thong-qua-vu-lo-160-trieu-tai-khoan-zing.2790238/
Không có nhận xét nào:
Đăng nhận xét