1. Đầu tháng 8, BKAV bị hack. Nhiều dữ liệu bị tung lên mạng, và hàng loạt tin nhắn giữa ban bệ lãnh đạo BKAV bị lộ. Tác giả vụ hack này là Chunxong, người đang làm mưa làm gió trên diễn đàn Raidforums, và dĩ nhiên, VOZ.
2. Đáng nói, Chunxong cho biết đã lấy được dữ liệu Bluezone. “Rất nhiều người hỏi tôi có dữ liệu Bluezone không, thì câu trả lời đây: ‘Tôi đã hack vô mạng nội bộ của BKAV, tôi có dữ liệu Bluezone, nhưng tôi không hề có ý định bán hay công khai những dữ liệu này.’ Tôi hack BKAV để cho mọi người thấy được những thứ mà BKAV thực sự đang làm. Họ thao túng truyền thông, báo chí,… họ lừa đảo người dân Việt Nam rất dữ.” Xin xem thêm bài phỏng vấn của Chunxong ở link bên dưới.
3. Bluezone là sản phẩm do Bộ 4T, Bộ Y tế, và BKAV hợp tác. Cách đây chưa lâu, Bộ Y tế còn đòi phạt những ai không cài đặt và sử dụng ứng dụng của Bluezone. Tôi có viết một bài phân tích khía cạnh pháp lý của việc này: xử phạt vừa không ổn về mặt luật pháp, vừa vi phạm quyền của dân.
4. Cũng trên bài đăng tại diễn đàn Raidforums, Chunxong bình luận (trang 49): “BKAV có quá nhiều quan hệ với giới chức cao cấp trong chính quyền và tham gia vào quá nhiều dự án chính phủ, ĐÂY, là vấn đề. Họ được nhúng tay vô nhiều dự án như vậy là nhờ ‘quan hệ với quan chức cấp cao’, chứ không phải do năng lực của họ. Vậy nên, chất lượng của các dự án chính phủ đi xuống tệ hại và không an toàn. Ví dụ như dự án Bluezone, tính tới giờ nó gần như không giúp gì mấy cho việc chống dịch ở Việt Nam, nhưng nó lại đòi người dùng phải cung cấp rất nhiều ‘quyền truy cập an ninh’, và rồi thu thập được lượng dữ liệu rất lớn.”
5. Vào đầu tháng 7, báo đưa tin Bluezone vượt 39 triệu lượt tải. May mắn là, Chunxong tuy công khai và đăng bán nhiều dữ liệu của BKAV, nhưng không động tới Bluezone (một tràng pháo tay cho Chunxong). Hiện tại, trang web và ứng dụng của Bluezone vẫn đang hoạt động. Thiết nghĩ, cũng với những lỗ hổng bảo mật này, nếu bên tấn công vào Bluezone không phải là Chunxong mà là cơ quan an ninh nào đó của Trung Quốc, thì sao? Xin đọc thêm về những lỗ hổng bảo mật của Bluezone trên blog vnhacker của anh Thái (có nguyên một loạt bài về vấn đề này).
6. Các quan chức Bộ 4T và Bộ Y Tế sẽ chịu trách nhiệm gì, khi mà họ đã kêu gọi người dân cài ứng dụng Bluezone, và thậm chí còn dọa phạt những ai không chịu cài? Họ sẽ chịu trách nhiệm ra sao với những dữ liệu cá nhân đến từ hơn 39 triệu lượt cài kia? Dù sự việc nghiêm trọng là vậy, cho tới nay, Bộ 4T lẫn Bộ Y Tế vẫn chưa có phát ngôn nào liên quan đến vấn đề này.
7. Vào thời điểm dịch bùng lên, khi nhiều người tỏ ra nghi ngại về quyền riêng tư mà từ chối cài Bluezone, họ đã bị công kích là “không hợp tác chống dịch”, “không yêu nước”, hay thậm chí, “phản động”. Tôi chỉ nhắc lại vậy thôi chứ không định bàn gì.
*
Raidforums, nơi Chunxong đăng tin https://raidforums.com/Thread-SELLING-Vietnamese-cybersec-firm-BKAV-s-products-source-code-for-sale?page=4
Blog anh Thái, nơi phân tích các vấn đề bảo mật của Bluezone https://vnhacker.blogspot.com/2021/08/bluezone-loi-bat-cap-hai.html
Bài phân tích về vụ phạt người dân không cài Bluezone: https://viyen.me/buoc-nguoi-dan-cai-bluezone-la-vi-pham-quyen-cong-dan/
Thành tích “vượt mốc 39 triệu lượt tải” của Bluezone: https://cand.com.vn/Khoa-hoc-Quan-su/Ung-dung-Bluezone-da-vuot-moc-39-trieu-luot-tai-i618993/
Bài phỏng vấn Chunxong: https://bin.disroot.org/?885ebc4a05044ed5#HEho95H9iRaVnuuiwb98HpEQb2s2toJkDwXP8tCUzBW6 (tính không đăng link này, mà thấy chủ trang dọa ghê quá, nên đăng)
Coi thêm trên group VOZ: https://www.facebook.com/groups/voz.congnghe/posts/986169882183277/