มีผู้พบว่า Starbucks ประเทศไทยเก็บ password โดยไม่เข้ารหัสและวาง password ปัจจุบันไว้ใน HTML

By: heart
ContributoriPhone
on 27 April 2018 - 14:06

เป็นประเด็นเรื่องความปลอดภัยอีกราย เมื่อมีผู้ใช้งาน Facebook ที่ชื่อ Anucha Petchagun ค้นพบว่า Starbucks ประเทศไทย เก็บ password ของผู้ใช้งานโดยไม่มีการเข้ารหัส และจุดที่สำคัญอีกจุดคือแสดง password ปัจจุบันที่ไม่ได้เข้ารหัสไว้บนโค้ด HTML ในหน้า Change my password อีกด้วย

ผมได้ลองล็อกอินเข้าไปยังเว็บไซต์ https://www.starbuckscard.in.th และเข้าไปที่หน้า Change my password ยืนยันว่า ณ เวลาที่ผมเขียนข่าวนี้ มี password แบบไม่เข้ารหัสอยู่บน HTML อยู่จริงๆ

โดยก่อนหน้านี้ก็มีผู้พบเว็บ Starbucks Thailand ไม่เข้ารหัสข้อมูลรหัสผ่านของลูกค้า เมื่อปี 2014 แสดงให้เห็นว่าในเวลาที่ผ่านมา Starbucks ประเทศไทย ยังไม่ได้ดำเนินการใดๆเลย

ที่มา : โพสของคุณ Anucha Petchagun

Get latest news from Blognone

Comments

By: hisoft
ContributorWindows PhoneWindows
on 27 April 2018 - 14:10 #1046842
hisoft's picture

เจ้านี้นี่เคยโดนไปรอบนึงแล้วว่าเวลารีเซ็ตรหัสผ่านจะส่งรหัสผ่านเก่ามาด้วยนะ แสดงว่าไม่ได้ปรับปรุงอะไรเลยแค่ไม่ส่งมากับอีเมลเฉยๆ

By: benwrk
Windows PhoneWindows
on 28 April 2018 - 01:35 #1046921 Reply to:1046842
benwrk's picture

จริงครับ แปลว่ารอบที่แล้วที่โดนไปนี่ไม่ได้คิดจะไปแก้หลังบ้านเลย เก็บเป็น plaintext เหมือนเดิม

By: lancaster
Contributor
on 27 April 2018 - 14:20 #1046846

ลองแล้วเจอจริงด้วย

อยากรู้จักคนเขียนจังว่ามีแนวคิดยังไงถึงต้องส่งรหัสผ่านเก่ามาใน html หน้าเปลี่ยนรหัสด้วย?

By: hisoft
ContributorWindows PhoneWindows
on 27 April 2018 - 14:47 #1046851 Reply to:1046846
hisoft's picture

จะได้แจ้งแบบ realtime ได้ง่ายๆ ว่าป้อนรหัสผ่านเก่าถูกรึเปล่า ไม่หนัก server มั้งครับ :p

By: panurat2000
ContributorSymbianUbuntuIn Love
on 27 April 2018 - 15:42 #1046869
panurat2000's picture

ยืนยันว่า ณ.เวลาที่ผมเขียนข่าวนี้

ณ.เวลา => ณ เวลา

By: i3i4i5
ContributoriPhoneWindows
on 27 April 2018 - 21:18 #1046902
i3i4i5's picture

http://plaintextoffenders.com/

By: benwrk
Windows PhoneWindows
on 28 April 2018 - 01:30 #1046922 Reply to:1046902
benwrk's picture

แปะ

By: ตะโร่งโต้ง
WriterAndroidWindows
on 28 April 2018 - 03:43 #1046931
ตะโร่งโต้ง's picture

เพิ่มแท็กเหล่านี้ด้วยครับ
- Starbucks, Security, Password

ช่างไฟสมัครเล่น (- -")

By: lew
FounderJusci's WriterMEconomicsAndroid
on 28 April 2018 - 10:55 #1046950 Reply to:1046931
lew's picture
  • password ใช้ภาษาไทยได้ "รหัสผ่าน" หรือ พาสเวิร์ด
  • หัวข่าวตัดให้กระชับได้ "Starbucks ประเทศไทยเก็บรหัสผ่านโดยไม่เข้ารหัส และส่งกลับมาในฟอร์ม HTML"

เคสแบบนี้น่าจะเพิ่มความเสี่ยงบางกรณี เช่น ล็อกอินหน้าเว็บทิ้งไว้ ที่ปกติคนอื่นมาเห็นก็ยึดบัญชีไม่ได้ (เพราะไม่รู้รหัสเดิม) กรณีแบบนี้ก็ยึดได้เลย คนทำน่าจะเข้าใจผิดถึงการออกแบบหน้าเปลี่ยนรหัสว่าทำไมต้องขอรหัสเดิมในหน้าเปลี่ยนรหัสผ่าน

lewcpe.com, @wasonliw

By: corelmax
iPhoneAndroidRed HatUbuntu
on 28 April 2018 - 15:05 #1046983 Reply to:1046950
corelmax's picture

เสี่ยงอยู่แล้วจากการใช้แค่ session id ที่เก็บอยู่ใน cookie ของคนที่ login อยู่เอามาเข้าระบบได้ ยังดีที่ session ยังมีอายุ

แต่รอบนี้มาเป็น plaintext password เลย ทีนี้คนที่เคย login เว็บนี้ทั้งๆที่ บราวเซอร์แดงล่ะก็ ร้อนๆหนาวๆได้เลย

By: lew
FounderJusci's WriterMEconomicsAndroid
on 29 April 2018 - 13:59 #1047081 Reply to:1046983
lew's picture

ปล่อยให้คนเข้าถึง cookie ได้มันเสี่ยงแน่นอนครับ (เหมือนล็อกอินไว้บนเครื่องส่วนรวมก็แบบเดียวกัน) ตรงนั้นมันไมใช่ความรับผิดชอบของคนทำเว็บล่ะ

lewcpe.com, @wasonliw

By: corelmax
iPhoneAndroidRed HatUbuntu
on 29 April 2018 - 22:08 #1047135 Reply to:1047081
corelmax's picture

เป็นความรับผิดชอบคนทำเว็บส่วนหนึ่งครับ session ไม่ควร reuse ได้ครับ

By: corelmax
iPhoneAndroidRed HatUbuntu
on 28 April 2018 - 14:58 #1046982
corelmax's picture

กลัวจะกลายเป็น “ผู้มีความเชี่ยวชาญ” และ “ใช้ tools ถึง 3 ตัว (mac, safari และโปรแกรมแต่งภาพซักโปรแกรมที่ใช้ลบพาสเวิร์ด)”

By: blue111
AndroidUbuntuWindows
on 28 April 2018 - 22:27 #1047022

คือการเก็บ password แบบเข้ารหัสนี่มันก็ไม่ยุ่งยากมากเลยนะทำไมถึงไม่ทำกัน ผมนึกถึงระบบสมัครสอบของหน่วยงานในมหาวิทยาลัยหนึ่งเลยเก็บ password เป็น plaintext เหมือนกันเลยแต่อันนี้ยังดีหน่อยที่มีความคิดรักษาข้อมูลอยู่บ้างอย่างการ login ไปแล้วแสดงเลขประจำตัวประชาชนเฉพาะ 4 ตัวท้าย แต่ก็ยังไม่เข้าใจว่าทำไมไม่ขยายความคิดแบบนี้ไปที่การเก็บ password บ้าง?

By: EThaiZone
ContributorAndroidUbuntuWindows
on 29 April 2018 - 11:47 #1047060
EThaiZone's picture

กาแฟตั้งแพง แต่เว็บทำมาได้แบบนี้ เอวัง

สมัยนี้ hash กลายเป็นเรื่องพื้นฐาน เอาแค่การเข้ารหัส มันคือความบริสุทธิ์ใจว่า Admin จะไม่เอารหัสผ่านเราไปเล่นหรือทำอะไร

เจอแบบนี้ใครจะกล้าไปสมัคร ป่านนี้โดนเอารหัสไปไล่ยิงเว็บอื่นไปทั่วล่ะ

มันไม่ง่ายเลยที่จะทำ GIF ให้มีขนาดน้อยกว่า 20kB