Tham dự Tech Lounge

Tham dự Tech Lounge


Cách người Việt chọn mật khẩu thông qua vụ lộ 160 triệu tài khoản Zing

Duy Luân
1/5/2018 13:50Phản hồi: 181
Cách người Việt chọn mật khẩu thông qua vụ lộ 160 triệu tài khoản Zing
Vô tình đọc được một bài khá hay của tác giả Thái trên blog VNHacker, mình post lại ở đây để mọi người có thể dễ dàng tham khảo hơn. Bài viết sử dụng phần mềm chuyên dụng để phân tích 160 triệu tài khoản Zing mới bị lộ và bị phát tán trong thời gian gần đây, cho thấy những thói quen đặt password khá nguy hiểm của người dùng Việt Nam trên hệ thống Zing. Nguy hiểm hơn, thông tin bị lộ chứa các dữ liệu có thể được sử dụng để định danh của 34 triệu người tài khoản, tức cỡ 37,7% dân số Việt Nam (giả sử con số 34 triệu này là của những người dùng độc lập). Những dữ liệu loại này bao gồm tên, số điện thoại, email, ngày tháng năm sau, mã thành phố...

Vẫn chưa rõ vì sao Zing (hay VNG nói chung) không mã hóa mật khẩu trước khi lưu xuống cơ sở dữ liệu mà để nguyên mật khẩu gốc, vốn là điều rất cơ bản mà mọi nhà phát triển đều được học ngay từ những ngày đầu tiên.


VNG có mã hóa, nhưng xài MD5 dễ quá nên dịch ngược lại được (dịch ngược bằng cách tra cứu trong các database trên mạng để tìm chuỗi khớp)

Cũng chưa rõ vì sao VNG không có động thái thông báo nào liên quan đến các tài khoản bị rò rỉ từ năm 2015. Theo lời của công ty thì "Năm 2015, VNG đã ghi nhận việc 160 triệu Zing ID có nguy cơ bị rò rỉ và có thể ảnh hưởng tới một bộ phận tệp khách hàng chơi game của công ty. Ngay tại thời điểm đó, chúng tôi đã kịp thời có các biện pháp xử lý, ngăn chặn xâm nhập, giới hạn số lượng người dùng bị ảnh hưởng bởi sự cố thông qua các biện pháp kỹ thuật."

Lời khuyên dành cho các bạn dùng Zing: đổi ngay mật khẩu của bạn, không chỉ cho tài khoản Zing mà cho tất cả những tài khoản khác sử dụng chung mật khẩu với Zing để tránh bị đoán password.


mat_khau_zing_bi_lo.jpg

Bên dưới là bài viết của VNHacker.

Trong số 160 triệu tài khoản VNG bị lộ có gần 34 triệu tài khoản là của những người có thể xác định được chính xác ngoài đời. Gắn với 34 triệu tài khoản này là hơn 12 triệu mật khẩu (vì ý tưởng lớn gặp nhau, người ta hay chọn mật khẩu giống nhau -- các bạn có biết là có website hẹn hò chuyên ghép đôi những người chọn cùng mật khẩu?)

Các mật khẩu này được mã hóa với một thuật toán rất dễ bị bẻ gãy (dành cho dân trong nghề: thuật toán MD5, một round duy nhất, không salt gì cả). Tôi tin đây là vụ lộ mật khẩu của người Việt Nam lớn nhất từ xưa đến nay và việc bẻ khóa các mật khẩu này sẽ cung cấp một nguồn thông tin hiếm hoi về cách mà người Việt Nam chọn những bí mật riêng tư nhất của mình. Việc phân tích các mật khẩu sẽ giúp chúng ta biết được mật khẩu nào yếu và từ đó chọn cho mình mật khẩu tốt nhất. Và đương nhiên ai mà không muốn biết thằng Tèo nhà hàng xóm chọn mật khẩu như thế nào?

Tôi sử dụng phần mềm hashcat, với một vài tinh chỉnh nhỏ, không đáng kể. Tôi sử dụng chiếc laptop cùi bắp Macbook Pro đời 2015. Nói chung là tôi không có làm gì đặc biệt, những gì tôi làm ai cũng có thể làm được. Tôi bắt đầu bẻ khóa vào trưa thứ bảy và đến chiều chủ nhật thì dừng lại vì laptop nóng quá tôi sợ nó chết 😃. Tôi tìm được hơn 99% mật khẩu của 34 triệu tài khoản kể trên.

Tôi thấy người Việt chọn mật khẩu rất tếu. Có bác nào nhà nuôi lợn nên chọn mật khẩu là lonlonlonlonlonlonlonlonlonlon. Cũng có bác nuôi cú đặt mật khẩu là cucucucucucucucucucu.

Một vài thống kê vui khác:

* anhyeuem là mật khẩu phổ biến thứ 5, có đến hơn 900.000 người chọn mật khẩu này, trong khi chỉ có hơn 90.000 người chọn emyeuanh. Chứng tỏ đàn ông yêu nhiều hơn đàn bà.

Quảng cáo


* Rất nhiều đàn ông nghĩ họ đẹp trai: có đến 95.749 tài khoản sử dụng từ "deptrai". Chỉ có vài phụ nữ nghĩ họ đẹp gái: chỉ có 1517 tài khoản sử dụng từ "depgai".

* Nhưng rất nhiều người nghĩ họ xinh (xinh mà không đẹp nghĩa là sao??): có 106014 tài khoản có từ "xinh" trong mật khẩu (và tôi đã loại trừ các từ như xinhayquenanh).

* Dữ liệu cho thấy có nhiều người dùng ở Sài Gòn hơn các Hà Nội, nhưng chỉ có 10.000 người chọn Sài Gòn làm bí mật, so với 20.000 chọn Hà Nội.

* Có đến 108 "boyhanoi", nhưng lại không có em "gaiphoco" nào cả. Chỉ có 396 "chandai" nhưng lại có đến 32726 "daigia".

* Đang đói bụng nên tôi thử tìm xem... Chỉ có 29 người thích ăn nem nướng, nhưng có đến 327 người thích bún chả.

* Có 23 người thích phở tái, nhưng chỉ có 1 người thích phở chín! Số người thích phở bò là 380, gấp đôi số người thích phở gà!

Quảng cáo


* Số người thích "bunrieu" là 184, chỉ là con số nhỏ so với 1934 người thích "hutieu".

Ai nghĩ ra cái gì cần tìm thì báo lại cho tôi biết nhé ;-).
181 bình luận
Chia sẻ

Xu hướng

Hủ Lô
TÍCH CỰC
6 năm
Mình muốn biết bao nhiêu tai khoảng có chữ "dam"
z3r0
ĐẠI BÀNG
6 năm
@#JK = 3 😆
@z3r0 gõ vào đâu mấy bác?
@z3r0 if(dam.isArray()){ count = dam.length; }
@#JK nhưng gõ vào cái gì ạ? phần mềm nào ạ?
So sánh nam với nữ thì không chính xác lắm. Là do nam bao giờ cũng tham gia online nhiều hơn nữ.
@bud's Thống kê chỉ mang tính vui vẻ thôi chứ có khẳng định đc gì đâu? Nó chỉ nói lên 1 điều là Công nhiều hơn Thụ thôi 😁 :D
@bud's thời đại game mobile bây giờ là nữ giới nhiều nhé, ngày trước nam chơi game online trên pc nhiều hơn nữ giới, các tựa game như vltk 1, phong thần, silkroad, ptv,... làm mưa làm gió trong khoảng thời gian khá dài, với lại lúc đó các game thủ nam tiếp xúc internet sớm nên ảnh hưởng con đường bỏ học làm tỷ phú của Bill Gates, nên giờ đi làm culi có thời gian đâu mà chơi game như nữ giới.
Tony_Tony
ĐẠI BÀNG
6 năm
@bud's Mình cũng thấy sai sai, vì mình thấy đa số mk anhyeuem thường là con gái hay đặt cho con trai. Nếu đổi nó kêu a ko yêu e nữa à thì 😆)))
oldman20
TÍCH CỰC
5 năm
@Tony_Tony hợp lý 😃)
Thomas6688
TÍCH CỰC
6 năm
Từ lâu các anh làm bên bảo mật luôn nói thằng này rất mất an toàn, core QQ.....
@Thomas6688 chứ còn j nữa, cái thời zalo trên symbian, nó bê nguyên cái giao diện luôn chứ đùa.
Cổ phần của tung của ở zing chắc lớn lắm
@dark knight 918 cái thời mới có app Zalo trên android, nó còn bê nguyên package name của tencent vào ấy
superboyvc
TÍCH CỰC
6 năm
"Có bác nào nhà nuôi lợn nên chọn mật khẩu là lonlonlonlonlonlonlonlonlonlon. " Tổng có 10 con lợn cho bác nào lười đếm nhé 😃
@superboyvc 😁
bomy
CAO CẤP
6 năm
@superboyvc bác nào đặt mk này chắc đam mê lợn dữ lắm, lúc nào gõ pw cũng đếm 1 lon 2 lon 3 lon.... 😃
Guadiola
TÍCH CỰC
6 năm
@superboyvc Có ô và dấu huyền nữa thì bá
liltjkay
ĐẠI BÀNG
6 năm
Quá đỉnh
😁 :D
Vl thím tếu vkl, thể nào cái 123456 vẫn đứng top cho xem 😁
@kieuminhtien994 Zing thì giờ bắt để mk cả hoa chữ cá số rồi
kennyN73
TÍCH CỰC
6 năm
@kieuminhtien994 Thời cách đây cỡ trên chục năm về trước đa phần code check user password đều làm rất sơ sài như vậy. Để cho người dùng muốn đặt pass kiểu gì cũng được. Không yêu cầu độ phức tạp của password, không loại bỏ các password quá đơn giản của người dùng. Đã vậy trường password thường chỉ mã hóa MD5 một lần cho chuỗi ký tự do user đặt, cũng không bỏ thêm ít muối ( salt) vào. Có thể zing đã dùng module tạo tài khoản và kiểm tra đăng nhập từ thời gian đầu. Và do password từ đầu đã mã hóa như vậy rồi nên các dev về sau cứ theo như vậy để phát triển hệ thống. Có thể họ lười thay đổi lại vì sợ động chạm tới password của người dùng. Thật ra dùng md5 vẫn an toàn khi lộ database nếu tìm cách encrypt password phức tạp hơn chút. Đừng có chỉ encrypt mỗi chuỗi password không kiểu $pass = md5($password); Chỉ cần bỏ thêm vài ký tự gì đó cùng với password trước khi md5 thì có dùng tool mà decrypt hay rò kiểu từ điển cũng vỡ mặt rồi. Ví dụ $salt= md5($username); $pass = md5($password.$salt);
Đó, thử dùng siêu máy tính mà rò đi xem có ra được password gốc không.

Từ php 5.5 trở lên đã cung cấp sẵn một hàm password_hash() để mã hóa password trước khi lưu vào database. Đến nay chưa rõ password được mã hóa qua hàm này đã có cách nào rò ngược lại được chưa?.
@kennyN73 trùm php đây rồi, $ 😃
kaka
Lợn vs cú cái gì 😁 Có mà l*n vs ku thì có :D
lecuong6009
ĐẠI BÀNG
6 năm
Vãi cả nhà nuôi lợn và nuôi cú, diễn tả tếu không kém 😁
gdyoon
TÍCH CỰC
6 năm
Đọc cũng thấy tếu vl, mật khẩu mình ko ai đoán ra cơ mà vẫn phải đổi cái mới
kiwibeotron
ĐẠI BÀNG
6 năm
bài viết hay.
Không phản ánh được gì hết, mình thường đặt mật khẩu 123456 cho những trang không quan trọng, ví dụ như Zing Mp3, nhaccuatui, chiasenhac...
@dasklney bác này giống mình 😃
hahahaha
kindolce
ĐẠI BÀNG
6 năm
@dasklney Em thấy cái 1password có vẻ hay mà hem hiểu hết về nó . B cho em hỏi mk để vào app đó mình vẫn phải nhớ 1 mk đúng ko ạ
caoquoctuan
ĐẠI BÀNG
6 năm
@dualshoсk Funny vlin. Hahaha
@kindolce Đúng rồi bạn, mình vẫn phải nhớ 1 cái master password, và cái này cũng chính là key để giải mã các password mình lưu trên 1Password luôn, phần mềm chính mình dùng vẫn là KeePassX và chỉ dùng offline, trước năm 2013 có rất nhiều password lưu mà quên mất master pass =(( Làm phải reset lại qua email hết 😔
hncmvncm
ĐẠI BÀNG
6 năm
Từ hồi võ lâm truyền kỳ. Biết bao thế hệ trẻ mất hết tươnh lai vì cái công ty này. Nay bán cổ phần cho khựa rồi thì càng hiểm ác hơn. Ai còn chưa sáng mắt thì tiếp tục dùng sản phẩm của thằng này nhé và nhân tiện ủng hộ thằng Cao Toàn Mỹ để cho nó có tiền chơi gái luôn. Vì thằng Mỹ cũng nằm trong founder cty này
@nguyendangminhn Em hỏi ngu vậy nó thu thập làm gì bác, mình ở VN chứ có ở Tàu đâu
@mobileman Xin lỗi ông chưa thấy chứ đầy ra thời hưng thịnh vltk biết bao người chơi . Mấy thằng đại gia trong game ông nghĩ toàn thằng trẻ trâu ngửa tay xin tiền ba mẹ hết à. Và công thành buổi tối nhé 8h ko phải sáng sớm mà kêu bận rộn gì và công chức rảnh chơi game hơi bị nhiều . Ma tuý tốt xấu cũng do bạn dùng hà y học cũng xài ma tuy đấy thôi . Cũng nói luôn tôi thấy thằng bán ko có gì xấu , ông cần nó bán là điều đương nhiên. Thằng nào hút ma tuý theo tôi dựa cột hết cho nó trong.
tung.dq
CAO CẤP
6 năm
@traisaigon tôi méo cần biết ông công thành vào tối hay nửa đêm. nhưng cán bộ, lại là quản lý, đang làm nhiệm vụ mà bỏ bê để về công thành thì thảo nào xh đéo tiến bộ lên được. ông còn bảo thằng bán ma túy k có j xấu thì tôi hoàn toàn thua ông. có lẽ ông nên chuyển sang bán đi mà kiếm tiền về đầu tư vào game
@mobileman Tôi có ác cảm với bọn hút ma túy chơi thuốc lắc hút cần các kiểu nên ko chơi chung được vậy thôi.
power1
TÍCH CỰC
6 năm
Đang thắc mắc cái 25251325 là cái quèo gì mà lắm người đặt pass thế, hóa ra tiếng Tàu là yêu em yêu em trọn đời yêu em, sến vl =))
@power1 cơ bản là nó thuận mồm nữa, dễ nhớ nên ngta máy móc lấy pw đó chứ cũng hiếm mà nhớ ý nghĩa
Du___
ĐẠI BÀNG
6 năm
@power1 20201320 thì mới là "yêu em yêu em 1 đời yêu em" chứ nhỉ, 25 "yêu tôi" rồi.
@Du___ 25 bác ơi
lephuoc.
ĐẠI BÀNG
6 năm
@power1 m cũng lấy password là chuỗi số này (kèm thêm 4 kí tự đặc biệt và chữ cái) cho hầu hết các tài khoản... nhớ ko nhầm là ngày xưa xem 1 bộ phim, nam chính tặng cho nữ 1 tờ tiền có seri:25251325 và nói dịch ra là yêu em yêu em trọn đời yêu em :d
gaucon3503
TÍCH CỰC
6 năm
đa phần tk VNG này đều là tk game, trẻ con chơi nhiều và acc phụ càng nhiều hơn, mk đơn giản làm bình thường mà.
sao pass không mã hóa mà lại để nguyên thế kia?
mrkey94
ĐẠI BÀNG
6 năm
@J_Android chuyên ngành tí: thực ra md5 vẫn được ưa chuộng, nhưng người ta thường làm 1 thuật toán khác đi 1 chút để tăng bảo mật. vd thực hiện md5 1 lần, sau đó ghép với 1 chuỗi ký tự khác, gọi là salt, sau đó thực hiện md5 lần nữa.
như vng chỉ thực hiện md5 1 lần mà k thèm chơi salt thì cực kỳ dễ phá vì đã có khá nhiêu cơ sở dữ liệu lưu lại những cụm passphrase như này, chỉ cần đặt pass hơi phổ biến chút là lộ ngay
izal
ĐẠI BÀNG
6 năm
@Duy Luân Tào lao !

Người ta nghiên cứu ra hàm băm mới vì hàm cũ bị đụng độ chứ không phải là dễ hay khó. Đã băm là không thể bị giải mã. MD5 add thêm Salt vào thì cụ tổ từ điển cũng không tìm ra được.
dream510
ĐẠI BÀNG
6 năm
@izal thật ra nó vẫn tìm được bác nhé.
vì băm nên "miếng thịt vai" băm ra cũng có thể giống "miếng thịt mông"

từ điển không cần tìm ra chuỗi ban đầu của bác, mà chỉ cần tìm 1 chuỗi khớp với chuỗi kết quả băm thôi
izal
ĐẠI BÀNG
6 năm
@dream510 Cái bác nói nó là đụng độ, không phải là dịch ngược, 1 đống thịt băm không thể dựng lại được 1 miếng thịt.
ngocdong187
ĐẠI BÀNG
6 năm
cạch mặt VNG 3-4 năm nay vì kiểu làm ăn bố đời,coi khách hàng chả ra cái quái gì,lỗi của nó sai lè lè ra đi vin vào chính sách sử dụng và điều khoản khi đăng ký sử dụng(mà phần lớn chả mấy ai đọc hết) để đổ lỗi cho khách hàng,dữ liệu lỗi không khắc phục được thì đền bù tí ty hoặc tìm mọi cách chầy bửa cho qua chuyện,lắm lúc 1 lời xin lỗi cũng không có,...Bảo mật kém,thái độ không ưa được nhất là mấy bạn Gm game,zalo vs zing thì ăn cắp dữ liệu đủ kiểu,...
@ngocdong187 tu ngày bán cho khựa là mình bye bye rồi.
Lâu ko dùng tài khoản Zingme nó khoá tk rồi
Thôi kệ chả quan tâm. MK ngaỳ xưa hay dùng giờ đổi r
congngheaz
ĐẠI BÀNG
6 năm
@vietnew2128 don't care too

Xu hướng

Bài mới









  • Chịu trách nhiệm nội dung: Trần Mạnh Hiệp
  • © 2024 Công ty Cổ phần MXH Tinh Tế
  • Địa chỉ: Số 70 Bà Huyện Thanh Quan, P. Võ Thị Sáu, Quận 3, TPHCM
  • Số điện thoại: 02822460095
  • MST: 0313255119
  • Giấy phép thiết lập MXH số 11/GP-BTTTT, Ký ngày: 08/01/2019