Cái trên github của ông Thái là ông ấy phát hiện ra việc Bluezone có API upload Firebase ID của các tiếp xúc lên server, đại khái là mỗi máy sau khi đăng ký sẽ được cấp về một ID được mã hoá, (dùng firebase của google chắc nhiều ông biết), mỗi lần tiếp xúc thì ID đấy được lưu lại vào danh sách.
Sau đó ông Thái thử clone và gửi được push sang cho ID kia, cái đó về mặt kỹ thuật thì hoàn toàn bình thường khi sử dụng firebase.
Tại sao lại gọi là dữ liệu người dùng, vì dữ liệu này được sinh ra khi người dùng sử dụng app và thực hiện các hành vi cá nhân như di chuyển, tiếp xúc, gặp gỡ người khác. Theo lý thuyết, nếu có dữ liệu đủ lớn và khả năng xử lý dữ liệu đủ lớn thì có thể track được ai thường tiếp xúc với ai, làm việc gì, ở đâu ... dĩ nhiên, ở Việt Nam, cần thì gọi mẹ hàng xóm lên hỏi cho nhanh, big data làm đếch gì cho mệt.
Ông Thái viết lên github chi tiết nhưng lại chỉ nói về kỹ thuật, viết lên blog thì ngắn và mập mờ. Người không đọc kỹ hoặc không có hiểu biết công nghệ thấy ghi chữ "dữ liệu người dùng" là nhảy chồm chồm lên nghĩ đó là dữ liệu tên tuổi, địa chỉ, wifi nhà nghỉ từng qua ...
Về mặt kỹ thuật, ông Thái đã tạo ticket vào github của Bluezone, bên phát triển cũng cầu thị và update nhiều lần vào sourcecode, cái này ông Thái cũng note lại vào ticket về sự cầu thị này, chả có mẹ gì gọi là: " Hiện tại 1 hacker đang tranh cãi với BKAV và team bưng bô" như thằng thớt nhét chữ cả. Nếu nói đúng, phải nói là: "Hiện tại 2 team bưng bô đang tranh cãi về việc một [hacker|security researcher] [hoài nghi|quan ngại|chỉ ra] vấn đề bảo mật trên Bluezone, ứng dụng phát triển bởi BKAV".
Cũng về mặt kỹ thuật, có vẻ đây là lỗi thiết kế nhiều hơn là tính năng, ở VN phát triển phần mềm thường hay bỏ qua vấn đề security hay bảo vệ dữ liệu người dùng. Người ta chỉ nghĩ tên, tuổi, số điện thoại mới gọi là dữ liệu cá nhân, không nghĩ đến việc contact history cũng là dữ liệu cá nhân, có nghĩ đến thì cũng cho rằng mã hoá rồi là an toàn. Việc ông Thái, một Security Researcher đang làm việc ở Google để ý được đến đoạn này hoàn toàn là chuyện bình thường. Dĩ nhiên đối với một công ty phát triển phần mềm bảo mật như BKAV thì đây gọi là lỗi to, không thể phủ nhận.
Nhiều ông bảo dữ liệu cá nhân thì fb, gg, tiktok lấy hết rồi nên không quan tâm lắm, cái này tôi không đồng ý, dữ liệu cá nhân là dữ liệu cá nhân, cần được bảo vệ, không nói nhiều.
Tuy nhiên xét về tình hình hiện tại, thêm nữa là thái độ của team dev Bluezone, tôi thấy có thể bỏ qua vấn đề security kia để sử dụng Bluezone và ủng hộ việc mọi người cài nó.
Chuyện này tôi cũng phục ông Thái, ông ấy trên blog tỏ rõ có tư tưởng chống + hơi cực đoan nhưng về mặt công việc và đạo đức nghề nghiệp thì ông ấy vẫn rạch ròi. Cái này rất rất nhiều thằng, như thằng thớt, không làm được, cố tình dùng định kiến cá nhân để nói về một vấn đề kỹ thuật nhưng vẫn cố tỏ ra là mình trung dung. Nên nhớ, đây là box lập trình, không phải F17, F33.