Lần đầu đầu tư Chứng chỉ quỹ: Hành trình từ kỳ vọng tới... xoá app

Hôm trước tình cờ xem được một video từ VTV nói về đầu tư Chứng chỉ quỹ, nghe cũng hấp dẫn phết. Có một anh bên Investing Pro được phỏng vấn, giới thiệu nào là "thị trường tiềm năng", nào là "số người dùng app tăng mạnh", bla bla... Nghe xong cũng nổi hứng, nghĩ bụng: "Gửi tiết kiệm mãi cũng chả ăn thua, thôi thì thử đầu tư tí xem sao!"

Và thế là tôi bắt đầu bước vào con đường tìm hiểu. Search một loạt về Chứng chỉ quỹ là gì, quỹ nào uy tín, lợi nhuận ra sao… Nhưng trời ơi, có nhiều chữ quá, thôi thì tóm gọn lại những điều cần nhớ là như này:

1. Chọn quỹ uy tín: Đừng thấy lợi nhuận cao mà lao vào.
2. Hiểu rõ mục tiêu đầu tư của bản thân: Ngắn hạn, dài hạn, rủi ro thế nào.
3. Không bỏ tất cả trứng vào một giỏ: Đa dạng hoá vẫn là chân ái.

Ổn áp, giờ thì bắt tay vào "thực chiến" thôi! Mở App Store, gõ Investing Pro, cài app!

• App có 24 đánh giá 5 sao, số lượng đánh giá hơi ít ha
• Đăng ký tài khoản thì gặp lỗi: "Không có kết nối internet". Trong khi Wi-Fi căng đét.
• Xoá app, cài lại, lần này tiến xa hơn chút: tới bước nhập mã OTP từ email. Nhưng copy paste mã từ mail mà không được, gõ tay cũng báo "mã không đúng".

Nếu bạn cũng bị như tôi thì hãy chọn Gửi lại OTP, thử lại vài lần thì cuối cùng sẽ thành công =)))) Omg....

• Bất ngờ nhất là khi nhận được 1 email xác nhận tài khoản. Mà sốc khi thấy… Investing PRO gửi lại cả mật khẩu trong email 😳. Vâng, mật khẩu của tôi, gửi lại nguyên xi và không được hashcode. ⇒ Một lời nhắn gửi nhẹ: "Bạn ơi, bảo mật đi đâu rồi?"

Giải thích một chút thì việc gửi lại mật khẩu nguyên bản (plain text) nghĩa là hệ thống đã lưu mật khẩu dưới dạng có thể đọc được – thay vì mã hoá bằng các thuật toán như hash + salt (ví dụ: bcrypt, SHA-256…). Điều này cực kỳ nguy hiểm vì:

• Nếu hệ thống bị hack, toàn bộ tài khoản người dùng có thể bị lộ ngay lập tức.
• Nhân viên nội bộ (hoặc bất kỳ ai có quyền truy cập database) cũng có thể xem được mật khẩu người dùng.
• Vi phạm nghiêm trọng các chuẩn bảo mật căn bản của ngành công nghệ.

=> Việc làm đúng phải là: không bao giờ lưu mật khẩu gốc – chỉ lưu phiên bản đã được hash và không thể đảo ngược.

Thử đăng nhập cái xem sao nào => Không đăng nhập được 🙂. Không còn gì để nói, xoá app luôn cho lành.