Website tìm việc lớn nhất nhì Việt Nam đã để lọt hơn 4 triệu người dùng vào tay tôi như thế nào?

(Y)

Anh có thể cho em thắc mắc một chút.

• Anh tải file APK của ứng dụng trên google store bằng cách nào ạ? Em đã thử một vài cách và không thành công.
• Em muốn sử dụng API trong ứng dụng đó để chuyển qua dùng cho app IOS nhưng API đó không public liệu em dùng có được không?
  Em cảm ơn!

Em có thể dùng những nguồn leak apk, về chi tiết là nguồn nào em có thể search google với từ khoá apk file, còn chi tiết thì a không tiện nói ra.

API e muốn sử dụng thì nên liên hệ với nhà cung cấp chính chủ để xin phép trước khi sử dụng.

Ý là dù có dùng HTTPS hay SSSS gì đi nữa mà dùng GET Request để gửi thông tin lên như một dạng url param là chẳng hề sờ-cu chút nào và là hoàn toàn sai lầm.

Mà thấy cũng buồn cười nhỉ, một hệ thống có hơn 4 triệu users vậy mà chất lượng sản phẩm vậy thì hơi lạ.

Dữ liệu giao tiếp qua HTTPS sẽ được mã hoá, và chỉ có thể đọc được nếu có certificate tương ứng.

Bạn có thể tìm hiểu thêm ở https://toidicodedao.com/2016/10/04/bao-mat-cua-giao-thuc-http/

Lozi 2 triệu người dùng cũng “sơ suất” lộ info.
CGV 3 triệu người dùng cũng “sơ suất” lộ info.
Lotte Cinema không biết được bao nhiêu nhưng chắc cũng ko thua CGV mấy, lưu password dạng plain text.
…
Nói chung chắc ko muốn bỏ tiền ra thuê security audit thôi

Giải thích một chút về mặt HTTPS, SSL connection sẽ nằm giữa TCP layer và HTTP layer, client và server sẽ tạo một secure TCP connection, thông qua SSL/TLS protocol, và sau đó nó sẽ gửi HTTP request đã được encrypt, bao gồm cả URL thông qua TCP connection vừa tạo. Tuy nhiên, URL data sẽ được lưu lại browser history, và cái này thì insecure, lại còn là một loại longterm data, trừ khi user tự xoá, ngoài ra một số loại log như nginx log, apache log, etc… có lưu lại url, và nếu những cái log này bị leak ra thì hậu quả khôn lường, nên mình mới nói nó nguy hiểm.

Anw, bạn nói rất đúng, có thể do cách diễn đạt của mình chưa rõ, cảm ơn bạn đã góp ý.