Đã lâu rồi mình không gặp nhau

Tôi là một người rất lười và sống khép kín, do đó tôi hay mua đồ online. Trước đây tôi biết mỗi Lazada và Tiki, nhưng tôi không thích Lazada nên chỉ mua trên Tiki, ôi cái màu xanh mới thật là bình yên…

Trong quá trình mua hàng, tôi phát hiện Tiki bị lỗi XSS. Bình thường tôi không thiết tha gì XSS, nhưng với Tiki, khá đen là lỗi XSS này dẫn đến mất tài khoản người dùng. Hiểu một cách đơn giản là trong lúc bạn đang đọc blog này của tôi thì tài khoản của bạn đã bị tôi lấy mất rồi shame. Dù thế, thật lòng mà nói mấy trang thương mại điện tử cũng chả có gì để làm, chủ yếu là có tài khoản rồi thì tôi lấy được thông tin cá nhân và các đơn hàng của bạn. Riêng tôi, tôi không chấp nhận bị lộ những thông tin này, có thể tôi mua 10 hộp Durex giảm giá về để bán lẻ kiếm thêm hộp sữa ăn sáng nhưng thiên hạ đồn đại linh tinh thì sao, ai mà biết được. Tôi không thích, nên tôi report cho Tiki.

97.23% các công ty VN không có sẵn cơ chế để giải quyết những báo cáo kiểu này. Luồng thực thi phổ biến là tôi email đến bộ phận Hỗ trợ – những người chẳng biết gì về kỹ thuật, họ sẽ yêu cầu tôi gửi thông tin cụ thể để họ forward sang các cá nhân liên quan. Từ đó sẽ không có một email nào được gửi giữa 2 bên nữa.

Tuy nhiên không như Mắt Bão, Tiki không reply và họ cũng chẳng thèm sửa. 1 tháng sau tôi gửi email, bảo là tôi chuẩn bị viết blog đây, thế là họ mới fix, nhưng cũng vẫn không nói gì. Web họ vẫn còn lỗi, tôi không report nữa. Thay vào đó, tôi đăng xuất tài khoản và chuyển dần sang mua ở nơi khác. Nếu muốn văn minh, đừng bao giờ đăng nhập trên Tiki.

***

Vì có sẵn cảm tình với VinMart, lựa chọn tiếp theo của tôi là Adayroi. Nhìn giao diện đã thấy mạnh mẽ và yên tâm. Chiều hè se lạnh, tôi ngó nghiêng linh tinh, thấy một lỗi. Lỗi này mức độ ảnh hưởng tương tự như Tiki, tức làm lộ thông tin đơn hàng, và vì tôi vẫn còn kinh doanh Durex, tôi lại report.

adayroi_JWkKgGHc07eC

Tôi lên Facebook của Adayroi, hỏi rằng cần gửi thông tin lỗi đến đâu. Họ bảo là gửi luôn trên FB đi. Tôi trình bày là muốn gửi mail trực tiếp để tiện trao đổi về mặt kỹ thuật, họ từ chối, bảo là nếu tôi không muốn nói ở đây thì gọi đến 1900xxxx gì đó cho nhanh. Hoang đường, 1900 là đầu số mất phí, chẳng có lý gì tôi phải gọi cả. Tôi nói lại quan điểm của mình, và rằng nếu họ không cần thì thôi tôi cũng không report nữa.

Sáng hôm sau họ reply, bảo tôi gửi thông tin để bộ phận chịu trách nhiệm bên họ liên lạc lại. Tôi Ok. Lỗi được sửa nhanh chóng và phản hồi từ phía Adayroi là rất tích cực. Họ muốn tặng tôi một món quà lưu niệm nhưng tôi từ chối vì thấy rằng đây là quyết định của cá nhân chứ không phải của Adayroi. Tôi không report bug để lấy tiền của họ, những lập trình viên với mức lương vốn đã chẳng đủ mua nhà (hoặc đủ, có thể tôi quá đa cảm). Tôi cũng nói thêm rằng hình như tôi vừa phát hiện một lỗi nghiêm trọng khác, sẽ báo họ ngay.

Đây là một lỗi vô cùng khó hiểu, nó cực kỳ nghiêm trọng, cho phép tôi đăng nhập vào mọi tài khoản mà không cần mật khẩu. Cái đó thì chưa khó hiểu, khó hiểu là ở chỗ lỗi này dường như đã làm sập luôn cả hệ thống mail của VinCommerce. Kể từ khi report, tôi không nhận được phản hồi nào từ Adayroi nữa. Lỗi thì đã được sửa (bằng một giải pháp tạm thời), còn mail server của họ thì đến tận bây giờ có vẻ vẫn đang sập. Phải chăng tôi đã tình cờ tìm được một 0day trong giao thức gửi / nhận email mà không biết?

surrender

Timeline

  • 25/05/2016: Báo lỗi cho Tiki
  • 25/05/2016: Bộ phận hỗ trợ phản hồi sẽ chuyển cho bên liên quan
  • 24/06/2016: Báo lỗi cho Tiki lần 2
  • 24/06/2016: Bộ phận hỗ trợ phản hồi sẽ kiểm tra lại với bên liên quan
  • 2…/06/2016: Lỗi được fix
  • 19/08/2016: Báo lỗi #1 cho Adayroi
  • 19/08/2016: Adayroi phản hồi sẽ báo cho bên dev
  • 22/08/2016: Adayroi thông báo lỗi đã được fix
  • 22/08/2016: Báo lỗi #2 cho Adayroi
  • 2…/08/2016: Lỗi được fix

Cập nhật (10:27 05/09/2016): Adayroi vừa liên lạc với tôi, giải thích lý do chậm trễ trong việc reply là do họ vẫn chưa hoàn thành việc fix lỗi (chắc vì thế nên tôi mới cảm thấy đó là một giải pháp tạm thời). Vậy tôi bổ sung thêm thông tin này để bài viết được khách quan và chính xác smile

Cập nhật (19/09/2016): Adayroi gửi mail thông báo và tôi xác nhận lỗi #2 đã được sửa adore

1 Response

  1. Tori says:

    I feel some connection with you at this time 12:33 AM. 5\2\2017

Comments are better than likes...

%d bloggers like this: