By: lew 
on 27 April 2018 - 10:35
Tags:
Topics:
นิตยสารฟรี Hamburger ออกแถลงการณ์กรณีมีภาพปกนิตยสารเล่มล่าสุดที่ยังจัดหน้าไม่เสร็จถูกเผยแพร่ออกไป โดยระบุว่าเป็นการ "แฮก" เว็บไซต์ ทำให้ภาพจำนวนหนึ่งหลุดออกมา
แถลงการณ์ระบุว่าภาพเหล่านั้นเป็นการอัพโหลดรอการเผยแพร่ และมีเฉพาะทีมงานที่เห็นข้อมูลเท่านั้น โดยไม่มีรายละเอียดอื่นอีก เท่าที่ผมลองเข้าไปดูเว็บ Hamburger เองก็ใช้ระบบ slug ทั้งหมด การเดาชื่อ URL เพื่อเข้าหน้าเว็บล่วงหน้าได้จึงน่าจะยากพอสมควร แต่หากมีการเผลอเปิด directory listing ไว้ในบางส่วนก็คงทำให้ภาพ/วิดีโอหลุดออกไปได้
ตัวแถลงเรียกร้องให้ทุกคนช่วยกันหยุดเผยแพร่รูป และทีมงานกำลังพิจารณาว่าจะยุติการเผยแพร่เนื้อหาทั้งหมดที่เหลือหรือไม่
ที่มา - Facebook: Hamburger Magazine
Get latest news from Blognone
Follow @twitterapi
Hiring! บริษัทที่น่าสนใจ
Blognone Jobs Premium
Cloudnone
- Kubernetes คืออะไร [Part 1] เกิดขึ้นมาอย่างไร? ทำไมต้องใช้มัน? | Cloudnone EP.14
- CI/CD ยังไงดี ตั้งเซิร์ฟเวอร์เอง vs เช่าคลาวด์ | Cloudnone EP.13
- รู้จักโน้ตบุ๊กบนคลาวด์ เช่าใช้งาน Jupyter Notebook ที่ไหนดี | Cloudnone Ep.12
- สรุปข่าวใหญ่ปี 23 และคาดการณ์เทรนด์ปี 24 ในวงการ Cloud | Cloudnone EP.11
- สรุปของใหม่และสาระสำคัญจาก AWS re:Invent 2023 | Cloudnone Special EP
Comments
แฮก รอบนี้ แฮกจริง หรือ แฮก(True) ครับ
มีคนบอกว่าอย่างหลังครับ
ขโมยภาพปก BNK48
ตัวแถลง ?
น่าจะฟ้องให้หนักครับมันอาชญกรรมไซเบอร์ชัดๆ
กองบ.ก.ไม่ผิด
เผลเปิด directory listing -> "เผลอ"
Educational Technician
อ้าว ถ้ายุติการเผยแพร่ทั้งหมด
เท่ากับว่าที่แฮกได้ไปเป็นของพรีเมียมเลยดิ ได้รูปที่คนอื่นไม่มี
เพิ่มมูลค่าให้เขาอีก 555
เดา ว่า น่าจะเป็นการเอาไฟล์ขึ้นไปวางเตรียมไว้ล่วงหน้าแบบ วางไว้ใน directory ปลายทางที่จะใช้เลย ทำให้ผู้ใช้สามารถเดาได้ว่าไฟล์อื่น ๆ จะอยู่ที่ไหนแล้วสามารถเข้าไปดึงออกมาเองได้
จริง ๆ ตัวไฟล์ควรจะไปอยู่ใน directory อื่นที่เข้าถึงจาก web server ไม่ได้ ก่อนจะถึงเวลาที่ publish หรือเปล่า ?
ว่าแต่จะเอาไฟล์หน้าปกที่ไม่มีหัวหนังสือขึ้นไปไว้ใน web server ทำไมเหรอครับ ?
share folder ผ่าน http แล้วหลุดมั้ง
ไปตอบในเม้นท์ของเฟสบุ๊คให้คนด่าเล่นแล้ว 555
Slug ของ Hamburger เดาไม่ยากนะครับ โดยเฉพาะเมื่อมีหนังสือฉบับจริงออกมาแล้ว (หรือกำลังเหน็บแนมอยู่ 55) ไม่เกิน 10 ครั้งน่าจะเดาเจอ เพราะฟอร์แมทเป็น ชื่อคอลัมน์ภาษาอังกฤษเสมอ เช่น BNK ที่หลุดมาตอนแรกก็คือ The Phenomenon Part 1.html อะไรสักอย่างนี่ล่ะ ซึ่งเข้าไปก็เจอรูป (และงานที่ยังไม่เสร็จ) เลย
(ซึ่งมีลิงค์ที่เข้าได้โดย public แล้วไง แต่ยังไม่ได้แปะลิ้งหน้าแรก ก็เลยเรียกว่าเป็น Private content แล้วก็เลยเรียกคนที่หา public link เจอว่า hacker โอยโอย)
ผมเดาว่า Hamburger online ขาด Approval Chain ของ บก.
คือพออัพเสร็จ Content ควรอยู่ใน private (ต้อง Login + มีคีย์) ไปก่อน
แล้วควรมีหน้า summary ว่าสิ่งที่กำลังจะ publish เข้าสูง public มีอะไรบ้าง
(เนื้อหา/รูป/ลิงค์ไปที่ไหนบ้าง)
แล้วเมื่อ บก. approve แล้วถึงจะเอาของที่ Private ขึ้น public
ปกติก็เดา slug กันมาได้หลายวารสารแหล่ะ วงการวารสารทำเว็บใกล้เคียงกัน
ผมว่าคนไทยขาดความเข้าใจเรื่อง Website/Web/Public/Private ของโลกออนไลน์ไปมากเลย
อ้าว นี่มันโดนแฮคแบบtrueชัดๆ
โดนแฮกแบบทุยๆ สินะ
case นี้ ถ้าเทียบกับชีวิตจริง น่าจะเหมือนกับว่า ทำของหล่นไว้ แล้วมีคนเห็นตั้งแต่ตอนทำของหล่นรู้ด้วยว่าเป็นของใคร แล้วเดินไปหยิบเอามาเป็นของตัวเอง
case true นี่เหมือนกับว่า ทำของหล่นไว้ แล้วคนที่เห็นไปเตือนว่าของหล่นนะ ให้เก็บซะ แต่ดันโดนหาว่าเป็นขโมย
เทียบเป็นสิ่งของปรกติน่าจะไม่ได้ เพราะการหยิบของนั้นๆ ในชีวิตจริง มันหายไปจริง ไม่ได้อยู่ที่เดิม มีการเปลี่ยนมือเกิดขึ้น
แต่ในเคสข้อมูลข้างต้น ตัวข้อมูลไม่ได้หายไปไหน มันยังอยู่ที่เดิม ไม่ได้ถูกทำลาย เป็นเพียงโดนสำเนาออกไป
การกระทำผิดต้องมาดูต่อว่าผิดในกฎหมายข้อไหน ถ้าเผยแพร่โดยไม่ได้รับอนุญาตก็น่าจะเป็นกฎหมายลิขสิทธิ์
ส่วนถ้าเอาผิดเรื่อง hack ต้องดูว่าการกระทำข้างต้นมันเข้า พรบ. คอม ไหม ซึ่งดูจากที่พูดถึงตัวไฟล์ข้อมูลดังกล่าวมีการสำรวจกันมาว่าไม่มีการทำมาตรการป้องกันการเข้าถึงโดยเฉพาะก็น่าจะไม่เข้า พรบ. คอมได้นะ (ตัวไฟล์เปิด public ไว้ ใครรู้ path ก็เข้าถึงได้ ทำไมเคสมันคุ้นๆ ><")
ตามที่คุณ Ford AntiTrust บอกครับ ผมเทียบให้แบบนี้แล้วกัน
ทำป้ายโฆษณาไปติดไว้ในสถานที่จริงแล้วแต่ยังไม่ประกาศว่าป้ายที่ว่าเนี่ยมันติดไว้ที่ไหนโดยหวังว่าจะมีแต่ทีมงานที่รู้ตำแหน่งแล้วเดินไปตรวจกันจึงไม่ได้มีการเอาอะไรมาปิดบังก่อน พอดีมีคนที่คุ้นเคยกับ pattern ตำแหน่งที่ติดตั้งป้ายก็เลยเดาและเดินไปดูตามสถานที่ที่คาดว่าจะติดแล้วก็เจอจริงๆ
น่าจะเหมือนเราเดินผ่าน ร้านค้าที่เปิดเป็นที่สาธารณะ แล้วมองเห็นห้องนึงที่เขาลืมปิดหน้าต่าง(แต่เดินจากส่วนที่เป็นทางเดินสาธารณะของร้าน) แล้วมองเห็นภาพสิ่งของในห้องมากกว่าครับ
การ copy file จากเวบ มันไม่ใช่การเอาของไปทางกายภาพ แต่ไม่ต่างจากการบันทึกความทรงจำก็ว่าได้ แต่อาจมีประเด็นในแง่ลิขสิิทธิ์ภาพแทน ถ้านำไปเผยแพร่ต่อจนกระทบสิทธิ์ของเจ้าของ
ผมเดามั่วเอาว่า
สร้าง Web Page ใน web จริง ที่เปิด Public ทั้งหมดแต่ไม่ใส่ link จากหน้าหลัก
คิดว่า คนในเท่านั้นที่รู้ว่ามี page นี้อยู่บนโลก ถึงจะเข้าได้ แต่ดันตั้งชื่อแบบนี้
MAR2018_Cover
เข้าได้ ถือว่า Hack ?
ถ้างั้น เอาเอกสาร ไปแขวนไว้ที่ป้ายรถเมล์ อนุสาวรีย์ชัยสมรภูมิ
ก็ได้ ไม่ต้องเก็บใน safe ลับอะไรหลอก เพราะ ใครดูเอกสาร
ถือว่า Hack หยิบไป ถือว่าขโมย ก็ตามจับกันไป
เข้าหน้าเว็บครับ
เข้าไปที่ editor's talk ในเรื่องนี้
คลิ๊กดูรูป เห็น URL .. แล้วเชิญจินตนาการต่อว่าควรทำยังไง
คือพูดยากมากจริงๆ ว่าเป็นการ Hack ผมเห็นแล้วก็สะเทือนใจ
ถึงจะบอกให้หยุดเผยแพร่ผ่านทางจดหมาย แต่ต้นตอของรูปยังเป็น url ที่คนนอกที่รู้เข้าถึงได้อยู่เลย
คือ.. +1 เข้าไปเองเนี่ยนะ
ลองเข้าไปแล้วครับ
Html ครับ
Hyperlink ครับ
folder เก็บรูป yyyy/ MM / running 4 หลัก .jpg ครับ
เอา notepad เขียนแน่นอน
เผาทิ้ง แล้วจ้างใครซักคนเขียนใหม่เถอะ mvc รูปเป็น streaming response เอาไม่แพงหลอก
01-0999 ครับ
อาจจะสร้างกรแะแสเองก็ได้ เพราะจริงๆ ก็ไม่ได้เสียหายอะไร แถมยังได้เป็นข่าวในวงกว้างอีก คุ้ม
ผมคิดว่าไม่ใช่ เพราะ BNK48 มันใช้ระบบแบบญี่ปุ่น ถ้าเป็นญี่ปุ่นปล่อยรูป AKB48 หลุดแบบนี้ ฟ้องกันหัวฟูแน่นอน
ผมว่าสาเหตุหนึ่งที่ต้องรีบออกมา บอกว่าถูก hack ก็เหมือนโบ้ยไว้ก่อนจะโดนฟ้อง
ถ้า web นี้เกิดขึ้น 10-20 ปีที่แล้ว คงจะมีคนใช้ teleport pro ดูด content ออกมาได้หมดเลย(มั๊ง)
เขียนโปรแกรมเป็นนิดหน่อยก็ทำได้แล้ว
loopชื่อรูปให้ครบ4หลัก แล้วก็ให้มันโหลดมาทั้งหมดเลย ค่อยมาเลือกเองอีกที
ผมใช้ Google sheet 5555555
ไม่ได้ยินชื่อมานานมากโปรแกรมนี้ สมัยโน้นใช้บ่อยเลย
ใช้กับเว็บอะไรครับท่าน
เว็บเดียวหรือผมหรือเปล่า อิอิ
ผมว่ากรณีมันต่างจากทรูนะ นับว่าเป็นการแฮกรึเปล่าอันนี้ละไว้ก่อน แต่ที่ต่างกันคือกรณีทรูฝ่ายที่เห็นไม่ได้เผยแพร่แต่แจ้งไปยังทรู แต่กรณีนี้คือเอาภาพไปเผยแพร่โดยไม่ได้รับอนุญาต ถ้าจะดำเนินการทางกฏหมายผมว่าก็น่าจะทำได้นะ
อันนี้ก็ใช่ครับ ผิดลิขสิทธิ์แน่ๆ
ประเด็นในข่าวนี้ไม่ได้พูดถึงเรื่องกฎหมาย คือถ้าพูดถึงประเด็นกฎหมายคือผิดลิขสิทธิ์นี่ใช่แน่นอน
แต่ข้อกล่าวหาเรื่องแฮกอันนี้ไม่ใช่แน่ๆ ถ้าแค่ access file ผ่าน public ได้โดยตรง หากรู้ URL
ส่วนพรบ. คอมไม่น่าผิด เพราะไฟล์ดังกล่าไม่มีมาตราการป้องกันการเข้าถึงเฉพาะ เพื่อป้องกันก่อนเข้าถึงไฟล์อีกขั้นตอนหนึ่ง
ใช่ครับ ถ้านิยาม Hack ตามศัพท์คอมพิวเตอร์มันไม่ใช่การ Hack แน่นอน แต่นิยาม Hack ในทางกฏหมายผมไม่รู้เหมือนกัน อาจจะต่างออกไปก็ได้ ก็เลยขอละไว้
ในแง่นั้นก็ใช่ครับ
ผมมองว่ามันไม่ใช่การ Hack เลยนะ ดังนั้นแถลงการณ์ จึงไม่ควรอย่างยิ่งที่จะใช้คำว่า "Hack" (เพราะพอใช้คำนั้นหลังจากนั้นก็มี black hat เข้าไปแฮคจริงๆ เปลี่ยนพาสกันจริงๆ ซะงั้น เหมือนท้าทาย) แล้วมันทำให้คนเข้าใจผิดด้วยว่าแฮคกันง่ายๆ โบ้ยความหละหลวมของตัวเอง (ซึ่งมันทำให้คนไอทีดูแย่ไปด้วยไง
แต่ละเมิดสิทธิ์ภาพนั้นใช่ เพราะภาพถ่ายเป็นงานที่ได้รับการปกป้อง อยู่ๆเอาภาพถ่ายไปใช้โดยไม่ขอ ก็ผิดละเมิดลิขสิทธิ์อยู่แล้ว
ดังนั้นได้ไฟล์มาจึงไม่ผิด พรบ.คอม (เพราะไม่ได้มีกระบวนการในการปกป้องเนื้อหาใดๆ)
แต่การนำไฟล์อัพขึ้นไปเผยแพร่เชิงการค้าโดยไม่ได้ขอต่างหากที่ ผิด พรบ.ลิขสิทธิ์
(อย่างไรก็ตามแต่ การแจกเฉยๆแล้ว Credit กลับมาที่แฮมเบอเกอร์ ในขั้นตอนแรก ไม่ผิดนะ ถ้าไม่ได้พ่วงกับการหากำไรทางใดทางหนึ่ง ตาม::https://www.thairath.co.th/content/514514 หรือตามพรบ.ก็มีข้อกำกับไว้ว่าเพื่อหารายได้ แต่หลังจากนั้นถ้าแฮมเบอเกอร์ขอให้ลบก็ต้องลบออก)