⚠ Cập nhật về Youtube Downloader
-
Bùi Lê Tuấn Anh - 30 Tháng 05 2022
(Kết thúc) Đây là bản tin cập nhật mới nhất liên quan đến vụ rò rỉ thông tin tại Heroku, Travis CI và Github cùng những diễn biến hậu sự kiện. Vụ việc xảy ra vào ngày 12/04/2022, và có ảnh hưởng đến dịch vụ chạy trên website chính thức của tôi.
Tip
Sau sự cố liên quan đến OAuth Token, dịch vụ Youtube Downloader chính thức quay trở lại từ ngày 01/07/2022. Với dịch vụ Youtube Downloader, quý vị có thể tải xuống các video từ Youtube mà không gặp vấn đề về mất dữ liệu.
Trân trọng kính mời quý độc giả trải nghiệm dịch vụ này thông qua dường dẫn dưới đây:
Truy cập- Điểm tin
- Sự kiện
- Hậu sự kiện
-
Github xác nhận có kẻ tấn công đã lợi dụng mã xác thực OAuth 2.0 để tải xuống trái phép dữ liệu bí mật của một số tổ chức.
-
Các dịch vụ chịu ảnh hưởng bao gồm Heroku, Travis-CI và cả NPM.
-
Github cho biết token không bị lấy qua lỗ hổng ở Github.
-
Heroku quyết định thu hồi toàn bộ Access Token đã cấp, đồng thời tạm dừng kết nối với Github để phòng ngừa rủi ro.
-
Một trong các dịch vụ của tôi, Youtube Downloader đang chạy trên nền Heroku và cũng đã được đóng lại (để đảm bảo an toàn).
-
Từ ngày 01/06/2022, mọi kết nối giữa Heroku và Github được khôi phục lại hoàn toàn. Từ ngày 01/07/2022, Youtube Downloader chính thức trở lại trên Heroku.
-
Từ ngày 01/09/2022, chính thức chuyển đổi tên miền mới cho dịch vụ.
-
Các bài viết chính thức được đăng tải tại đây:
- Tiếng Việt: Tín nhiệm mạng - NCSC
- Tiếng Anh:
- Github: Github Blog
- Heroku: Heroku Status, Heroku Blog, Heroku’s Next Chapter, Removal of Heroku Free Product Plans FAQ
- Netlify: Netlify Functions, Functions overview
07:00 - 31/05/2022
-
Heroku đã chính thức khôi phục lại toàn bộ việc kết nối với Github sau sự cố liên quan đến OAuth 2.0. Toàn bộ các tài khoản đã được bật xác thực hai bước để đảm bảo an toàn.
-
Travis CI cũng đã thực hiện các biện pháp mạnh để thực hiện khôi phục lại tính an toàn cho hệ thống.
-
Cho đến thời điểm hiện tại, dịch vụ Youtube Downloader đã có thể cho phép truy cập trở lại thông qua hệ thống của Heroku. Do đó trong thời gian sớm nhất, tôi sẽ tiến hành khôi phục lại việc kết nối và trang web chính thức chạy trên Heroku cho dịch vụ này. Bài đăng này sẽ được đóng cập nhật vào hôm nay.
-
Trân trọng cảm ơn sự đồng hành của quý độc giả. Thông tin chi tiết về sự trở lại của Youtube Downloader trên website của Heroku sẽ được đăng tải dự kiến vào ngày 01/07/2022. Xin chào.
18:40 - 07/05/2022
-
Heroku đã thông báo về việc thiết lập lại mật khẩu cho tài khoản của tôi. Xác thực 2 bước đã được thực hiện. Tuy nhiên, cho đến khi tình hình được kiểm soát hoàn toàn, việc kết nối đến Heroku sẽ bị tạm dừng.
-
Tôi sẽ theo dõi sát sao tình hình tiếp theo và sẽ tiếp tục cập nhật thông tin trên bài viết này trong thời gian sớm nhất.
15:40 - 28/04/2022
-
Hiện tại, tôi đã nhận được email liên quan đến vụ rò rỉ OAuth của Heroku và Github.
-
Cho đến thời điểm hiện tại, tôi có thể xác nhận ít nhất MỘT trong số các kho lưu trữ (Repository) của tôi có liên quan đến Heroku và thông tin có thể đã bị rò rỉ ở mức độ nghiêm trọng. Trang web chính thức của tôi đã được đóng lại để đảm bảo an toàn. Do đó, chức năng Youtube Downloader trên website cũng đã được TẠM DỪNG cho đến khi có thông báo mới nhất.
-
Tôi đang theo dõi sát sao tình hình của sự việc này và sẽ liên tục cập nhật thông tin trên bài viết này trong thời gian sớm nhất.
19:00 - 18/04/2022
- Github xác nhận vào ngày 12/04/2022 rằng các tin tặc đang lợi dụng OAuth 2.0 để tải xuống trái phép dữ liệu bí mật của một số tổ chức. Một trong số các dịch vụ chịu ảnh hưởng là Heroku, nơi trang web của tôi đang đặt máy chủ. Thông tin chi tiết sẽ liên tục cập nhật trong thời gian sớm nhất trên bài viết này.
Heroku và sự lựa chọn không thể quay đầu…
Ngày 18/04/2022, một vụ tấn công quy mô lớn đã diễn ra, liên quan đến token OAuth2 và ảnh hưởng đến các dịch vụ được rất nhiều công ty công nghệ sử dụng như Github, Travis CI & Heroku. Sau vụ việc nghiêm trọng này, Salesforce tuyên bố sẽ tiếp tục trung thành với cam kết dịch vụ cung cấp cho các khách hàng…
Thế nhưng, sau hơn 10 năm, Heroku bất ngờ đưa ra một tuyên bố gây choáng: Dừng toàn bộ các dịch vụ miễn phí, bắt đầu từ ngày 28/11/2022. Toàn bộ các khách hàng, bao gồm cả tôi, đều được yêu cầu sẽ phải chuyển sang dịch vụ trả tiền. Đây là một sự đi ngược lại với cam kết trước đó, mà theo như Giám đốc điều hành Heroku - Bob Wise chia sẻ, để nhằm ngăn chặn việc lợi dụng các gói dịch vụ miễn phí được sử dụng sai mục đích ban đầu.
Với tôn chỉ cung cấp dịch vụ miễn phí, tôi đã ngay lập tức tiến hành các biện pháp kỹ thuật, đóng toàn bộ dịch vụ trên Heroku nhằm có thể tìm ra một giải pháp miễn phí khác bền vững hơn. Và sau một thời gian tìm kiếm, Render bất ngờ “lọt vào tầm mắt” của tôi.
Khám phá Render, Docker bị trôi vào quên lãng…
Ngay sau khi chuyển sang Render, tôi thật sự bất ngờ với độ phủ dịch vụ mà hệ thống này cung cấp. Gần như tất cả dịch vụ mà trước đó Heroku từng cung cấp, Render đều có đủ, và thậm chí còn tốt hơn cả Heroku.
Tôi lập tức bắt tay vào việc chuyển đổi. Quá trình chuyển đổi tốn nhiều thời gian hơn dự kiến, do những vấn đề liên quan đến kiểm soát các đường dẫn API để trang web chính thức có thể sử dụng và truy vấn được. Cuối cùng, mọi thứ hoàn thiện và tiếp tục được duy trì cho đến ngày 15/09, khi tôi phát hiện ra một tính năng hoàn toàn mới của Netlify, chính là Netlify Functions.
Netlify Functions là một tính năng mới của Netlify, cho phép viết các hàm chạy chương trình chuyên biệt. Thay vì phải xây dựng một máy chủ chỉ dành riêng cho việc xử lý dữ liệu, giờ đây mọi thứ chỉ còn lại là một hàm duy nhất.
Theo định hướng, Youtube Downloader đáp ứng hoàn toàn đầy đủ các tính chất cho một dịch vụ con (microservice) và có thể triển khai dịch vụ này. Do đó từ ngày 20/09/2022, gói Docker trên Github Container Registry của Youtube Downloader đã không còn tồn tại nữa, chuẩn bị cho quá trình chuyển đổi sang Netlify Functions.
OPSWAT Vietnam và câu chuyện của AWS
Ngày 24/08/2022 sẽ được ghi dấu ấn đặc biệt, bởi sau rất nhiều nỗ lực rải CV, tôi cũng được nhận vào thực tập tại vị trí Kỹ sư tin cậy hệ thống - SRE (viết tắt của Site Reliability Engineer) tại OPSWAT Vietnam. Đây là một công ty chuyên về an ninh mạng có trụ sở chính tại Mỹ và văn phòng làm việc ngay tại Tòa nhà Báo Sài Gòn Giải phóng trên đường Nguyễn Thị Minh Khai, Thành phố Hồ Chí Minh. Và kể từ giờ phút ấy, AWS trở thành một người bạn đồng hành quen thuộc của tôi trong quá trình học tập và làm việc.
Khi tôi tìm hiểu thêm về AWS thông qua các khóa học online và đồ án cá nhân, tôi phát hiện ra sự tồn tại của AWS Lambda, một dịch vụ hỗ trợ chạy các hàm chuyên dùng cho xử lý dữ liệu mà không cần phải tạo máy chủ.
Chính vì lí do đó, bắt đầu từ ngày 01/10/2022, ngày cho ra mắt bài viết này, tôi đã chính thức thực hiện chuyển đổi hoàn toàn sang chạy dịch vụ Youtube Downloader với Lambda Functions.
-
Github xác nhận có kẻ tấn công đã lợi dụng mã xác thực OAuth 2.0 để tải xuống trái phép dữ liệu bí mật của một số tổ chức.
-
Các dịch vụ chịu ảnh hưởng bao gồm Heroku, Travis-CI và cả NPM.
-
Github cho biết token không bị lấy qua lỗ hổng ở Github.
-
Heroku quyết định thu hồi toàn bộ Access Token đã cấp, đồng thời tạm dừng kết nối với Github để phòng ngừa rủi ro.
-
Một trong các dịch vụ của tôi, Youtube Downloader đang chạy trên nền Heroku và cũng đã được đóng lại (để đảm bảo an toàn).
-
Từ ngày 01/06/2022, mọi kết nối giữa Heroku và Github được khôi phục lại hoàn toàn. Từ ngày 01/07/2022, Youtube Downloader chính thức trở lại trên Heroku.
-
Từ ngày 01/09/2022, chính thức chuyển đổi tên miền mới cho dịch vụ.
-
Các bài viết chính thức được đăng tải tại đây:
- Tiếng Việt: Tín nhiệm mạng - NCSC
- Tiếng Anh:
- Github: Github Blog
- Heroku: Heroku Status, Heroku Blog, Heroku’s Next Chapter, Removal of Heroku Free Product Plans FAQ
- Netlify: Netlify Functions, Functions overview
07:00 - 31/05/2022
-
Heroku đã chính thức khôi phục lại toàn bộ việc kết nối với Github sau sự cố liên quan đến OAuth 2.0. Toàn bộ các tài khoản đã được bật xác thực hai bước để đảm bảo an toàn.
-
Travis CI cũng đã thực hiện các biện pháp mạnh để thực hiện khôi phục lại tính an toàn cho hệ thống.
-
Cho đến thời điểm hiện tại, dịch vụ Youtube Downloader đã có thể cho phép truy cập trở lại thông qua hệ thống của Heroku. Do đó trong thời gian sớm nhất, tôi sẽ tiến hành khôi phục lại việc kết nối và trang web chính thức chạy trên Heroku cho dịch vụ này. Bài đăng này sẽ được đóng cập nhật vào hôm nay.
-
Trân trọng cảm ơn sự đồng hành của quý độc giả. Thông tin chi tiết về sự trở lại của Youtube Downloader trên website của Heroku sẽ được đăng tải dự kiến vào ngày 01/07/2022. Xin chào.
18:40 - 07/05/2022
-
Heroku đã thông báo về việc thiết lập lại mật khẩu cho tài khoản của tôi. Xác thực 2 bước đã được thực hiện. Tuy nhiên, cho đến khi tình hình được kiểm soát hoàn toàn, việc kết nối đến Heroku sẽ bị tạm dừng.
-
Tôi sẽ theo dõi sát sao tình hình tiếp theo và sẽ tiếp tục cập nhật thông tin trên bài viết này trong thời gian sớm nhất.
15:40 - 28/04/2022
-
Hiện tại, tôi đã nhận được email liên quan đến vụ rò rỉ OAuth của Heroku và Github.
-
Cho đến thời điểm hiện tại, tôi có thể xác nhận ít nhất MỘT trong số các kho lưu trữ (Repository) của tôi có liên quan đến Heroku và thông tin có thể đã bị rò rỉ ở mức độ nghiêm trọng. Trang web chính thức của tôi đã được đóng lại để đảm bảo an toàn. Do đó, chức năng Youtube Downloader trên website cũng đã được TẠM DỪNG cho đến khi có thông báo mới nhất.
-
Tôi đang theo dõi sát sao tình hình của sự việc này và sẽ liên tục cập nhật thông tin trên bài viết này trong thời gian sớm nhất.
19:00 - 18/04/2022
- Github xác nhận vào ngày 12/04/2022 rằng các tin tặc đang lợi dụng OAuth 2.0 để tải xuống trái phép dữ liệu bí mật của một số tổ chức. Một trong số các dịch vụ chịu ảnh hưởng là Heroku, nơi trang web của tôi đang đặt máy chủ. Thông tin chi tiết sẽ liên tục cập nhật trong thời gian sớm nhất trên bài viết này.
Heroku và sự lựa chọn không thể quay đầu…
Ngày 18/04/2022, một vụ tấn công quy mô lớn đã diễn ra, liên quan đến token OAuth2 và ảnh hưởng đến các dịch vụ được rất nhiều công ty công nghệ sử dụng như Github, Travis CI & Heroku. Sau vụ việc nghiêm trọng này, Salesforce tuyên bố sẽ tiếp tục trung thành với cam kết dịch vụ cung cấp cho các khách hàng…
Thế nhưng, sau hơn 10 năm, Heroku bất ngờ đưa ra một tuyên bố gây choáng: Dừng toàn bộ các dịch vụ miễn phí, bắt đầu từ ngày 28/11/2022. Toàn bộ các khách hàng, bao gồm cả tôi, đều được yêu cầu sẽ phải chuyển sang dịch vụ trả tiền. Đây là một sự đi ngược lại với cam kết trước đó, mà theo như Giám đốc điều hành Heroku - Bob Wise chia sẻ, để nhằm ngăn chặn việc lợi dụng các gói dịch vụ miễn phí được sử dụng sai mục đích ban đầu.
Với tôn chỉ cung cấp dịch vụ miễn phí, tôi đã ngay lập tức tiến hành các biện pháp kỹ thuật, đóng toàn bộ dịch vụ trên Heroku nhằm có thể tìm ra một giải pháp miễn phí khác bền vững hơn. Và sau một thời gian tìm kiếm, Render bất ngờ “lọt vào tầm mắt” của tôi.
Khám phá Render, Docker bị trôi vào quên lãng…
Ngay sau khi chuyển sang Render, tôi thật sự bất ngờ với độ phủ dịch vụ mà hệ thống này cung cấp. Gần như tất cả dịch vụ mà trước đó Heroku từng cung cấp, Render đều có đủ, và thậm chí còn tốt hơn cả Heroku.
Tôi lập tức bắt tay vào việc chuyển đổi. Quá trình chuyển đổi tốn nhiều thời gian hơn dự kiến, do những vấn đề liên quan đến kiểm soát các đường dẫn API để trang web chính thức có thể sử dụng và truy vấn được. Cuối cùng, mọi thứ hoàn thiện và tiếp tục được duy trì cho đến ngày 15/09, khi tôi phát hiện ra một tính năng hoàn toàn mới của Netlify, chính là Netlify Functions.
Netlify Functions là một tính năng mới của Netlify, cho phép viết các hàm chạy chương trình chuyên biệt. Thay vì phải xây dựng một máy chủ chỉ dành riêng cho việc xử lý dữ liệu, giờ đây mọi thứ chỉ còn lại là một hàm duy nhất.
Theo định hướng, Youtube Downloader đáp ứng hoàn toàn đầy đủ các tính chất cho một dịch vụ con (microservice) và có thể triển khai dịch vụ này. Do đó từ ngày 20/09/2022, gói Docker trên Github Container Registry của Youtube Downloader đã không còn tồn tại nữa, chuẩn bị cho quá trình chuyển đổi sang Netlify Functions.
OPSWAT Vietnam và câu chuyện của AWS
Ngày 24/08/2022 sẽ được ghi dấu ấn đặc biệt, bởi sau rất nhiều nỗ lực rải CV, tôi cũng được nhận vào thực tập tại vị trí Kỹ sư tin cậy hệ thống - SRE (viết tắt của Site Reliability Engineer) tại OPSWAT Vietnam. Đây là một công ty chuyên về an ninh mạng có trụ sở chính tại Mỹ và văn phòng làm việc ngay tại Tòa nhà Báo Sài Gòn Giải phóng trên đường Nguyễn Thị Minh Khai, Thành phố Hồ Chí Minh. Và kể từ giờ phút ấy, AWS trở thành một người bạn đồng hành quen thuộc của tôi trong quá trình học tập và làm việc.
Khi tôi tìm hiểu thêm về AWS thông qua các khóa học online và đồ án cá nhân, tôi phát hiện ra sự tồn tại của AWS Lambda, một dịch vụ hỗ trợ chạy các hàm chuyên dùng cho xử lý dữ liệu mà không cần phải tạo máy chủ.
Chính vì lí do đó, bắt đầu từ ngày 01/10/2022, ngày cho ra mắt bài viết này, tôi đã chính thức thực hiện chuyển đổi hoàn toàn sang chạy dịch vụ Youtube Downloader với Lambda Functions.
Tổng kết bài viết
Vừa rồi là toàn bộ bài đăng đầu tiên của series Tech Blog. Mời quý độc giả theo dõi các bài đăng tiếp theo và đóng góp ý kiến cũng trên website này. Trân trọng cảm ơn và kính chào 👋.