Vietjetair.com không mã hóa mật khẩu người dùng?

5kytu · 29/09/2017

Như các bạn đã biết Vietjet Air là một trong những hãng hàng không hàng đầu Việt Nam với ưu điểm giá vé phải chăng. Mấy nay thời tiết Đà Nẵng nóng bức quá nên mình định book 1 vé ra Hà Nội ăn phở cho ấm rồi về thì phát hiện bất ngờ... {13}

Như thường lệ mình đăng nhập https://book.vietjetair.com/userprofilelogin.aspx?lang=vi để book vé. {113}

Vốn là người cẩn thận, mình thường sử dụng mật khẩu mạnh cho các tài khoản trực tuyến (độ dài trên 20 ký tự bao gồm ký tự đặc biệt) và với thói quen này mình đã quên mất mật khẩu. {49}

Nhưng không sao, mình dùng tính năng Quên mật khẩu thôi. {108}

Chỉ sau 3s đã có mail về, nhanh hơn cả Usain Bolt về đích: {8}

Và...

VietJet Air gửi thông tin đăng nhập về email bao gồm e-mail + password mà mình đã đăng ký trước đó và quên chớ không phải là một đường link để đặt lại mật khẩu. Điều đáng nói password gửi về lại có dạng plaint text đồng nghĩa với password người dùng đã không được mã hóa, với cách làm này ứng dụng web vẫn hoạt động tốt. Về phía người dùng phải nói là rất tiện dụng. Tuy nhiên đứng ở mặt bảo mật thì không ổn tí nào.

VietJet Air là một hãng hàng không lớn, và với trang đặt vé này thì lượng tài khoản có thể lên đến hàng triệu, và với những tài khoản dùng để đặt vé thì thông tin gần như thật 100%. Khi trang web hoạt động ổn và bảo mật tốt thì có thể không sao, nhưng trong trường hợp xảy ra sự cố rò rỉ dữ liệu thì những thông tin bị lộ sẽ ảnh hưởng rất lớn đến người dùng, đặc biệt là lộ mật khẩu không mã hóa người dùng có thể bị tấn công những tài khoản liên quan nếu đặt mật khẩu giống nhau cho các tài khoản.

Đây là một vấn đề quan trọng cần được quan tâm hơn vì có thể ảnh hưởng đến uy tín VietJet Air lẫn vấn đề riêng tư và bảo mật người dùng, hy vọng VietJet Air sẽ sớm xử lý trong thời gian tới.

Các bạn nghĩ sao về vấn đề này?

tmnt53

Anh report cho Vietjet đi

newbies8x

điều này chưa hẳn nếu bạn biết chính xác mật khẩu cũ là vậy? hệ thống tự động tạo mk mới rồi update db và gửi bạn plantext cũng dc mà.

nktung

newbies8x đã viết:
điều này chưa hẳn nếu bạn biết chính xác mật khẩu cũ là vậy? hệ thống tự động tạo mk mới rồi update db và gửi bạn plantext cũng dc mà.

Gửi mật khẩu dạng Plain text thông qua email là cách thức không được khuyến nghị sử dụng bạn nhé, vì nhiều lý do mất an toàn.

poseidon

tmnt53 đã viết:
Anh report cho Vietjet đi

Có phải là lỗi không mà report?

krone

nktung đã viết:
Gửi mật khẩu dạng Plain text thông qua email là cách thức không được khuyến nghị sử dụng bạn nhé, vì nhiều lý do mất an toàn.

Thực ra e cho rằng vì là password random từ phía vietjet nên chắc chắn là sẽ yêu cầu người dùng thay đổi password.
Nếu không phải là máy tính bị nhiễm malware thì cũng đâu có cách nào sniff được từ ssl của mail đâu. Cái này có thể xem là tính năng nhưng chưa gây ra lỗi.

Formular 1

Liệu có một vụ Vietnam Airline thứ 2 ko ta?

Putin

newbies8x đã viết:
điều này chưa hẳn nếu bạn biết chính xác mật khẩu cũ là vậy? hệ thống tự động tạo mk mới rồi update db và gửi bạn plantext cũng dc mà.

Chủ thớt nói rõ xem mật khẩu kia có đúng là mật khẩu cũ mà mình từng đặt không ?

nQg

Confirm VietJet Air gởi password plaintext nhé.

screen-shot-2017-09-30-at-1-41-43-pm-png.2370

screen-shot-2017-09-30-at-1-41-43-pm-png.2371

Putin

nQg đã viết:
Confirm VietJet Air gởi password plaintext nhé.

Như vậy bạn ấy lưu mật khẩu KH dạng clear, và khi quên thì gửi lại chính mật khẩu này à
Vậy nhân viên VJ tự vào xem mật khẩu của KH được sao ?

5kytu

tmnt53 đã viết:
Anh report cho Vietjet đi

Mình đã liên hệ góp ý bên VietJet nhưng chưa có phản hồi.

newbies8x đã viết:
điều này chưa hẳn nếu bạn biết chính xác mật khẩu cũ là vậy? hệ thống tự động tạo mk mới rồi update db và gửi bạn plantext cũng dc mà.

krone đã viết:
Thực ra e cho rằng vì là password random từ phía vietjet nên chắc chắn là sẽ yêu cầu người dùng thay đổi password.
Nếu không phải là máy tính bị nhiễm malware thì cũng đâu có cách nào sniff được từ ssl của mail đâu. Cái này có thể xem là tính năng nhưng chưa gây ra lỗi.

Putin đã viết:
Chủ thớt nói rõ xem mật khẩu kia có đúng là mật khẩu cũ mà mình từng đặt không ?

VietJet gửi về mail mật khẩu mình đã tạo chớ không phải hệ thống tự sinh password rồi gửi về mail nhé. Lấy mật khẩu trong mail đăng nhập dùng tiếp không cần phải đổi password mới. Có thể mục đích của VietJet là đem lại sự tiện lợi, giảm phiền phức tối đa cho khách hàng. Tuy nhiên, đứng ở khía cạnh bảo mật thì nên xem xét lại vì bảo mật riêng tư của người dùng và vì uy tín công ty.

poseidon

5kytu đã viết:
Mình đã liên hệ góp ý bên VietJet nhưng chưa có phản hồi.

VietJet gửi về mail mật khẩu mình đã tạo chớ không phải hệ thống tự sinh password rồi gửi về mail nhé. Lấy mật khẩu trong mail đăng nhập dùng tiếp không cần phải đổi password mới. Có thể mục đích của VietJet là đem lại sự tiện lợi, giảm phiền phức tối đa cho khách hàng. Tuy nhiên, đứng ở khía cạnh bảo mật thì nên xem xét lại vì bảo mật riêng tư của người dùng và vì uy tín công ty.

Mật khẩu các tài khoản mình hay dùng chung lắm, giờ lộ mất cái mail là toi ngay, đi kèm là mất facebook, gmail etc

narutotoma

Mình cũng gioogns bạn Poseidon vì tiện nên hay dùng chung mật khẩu. Thôi kiểu này phải đổi thôi. Cảm ơn bạn vì bài viết hữu ích nhé.

CỘNG ĐỒNG AN NINH MẠNG VIỆT NAM

Vietjetair.com không mã hóa mật khẩu người dùng?

5kytu

W-------

Vietjetair.com không mã hóa mật khẩu người dùng?

5kytu

W-------

Số người đang xem

Thống kê diễn đàn