Tags:
Node Thumbnail

Zheng Dutao นักวิจัยความปลอดภัยไซเบอร์จากบริษัท Tencent ไปร่วมงาน Hack in the Box ในสิงคโปร์ แต่กลับลองแฮกเครือข่าย หลังพบว่าอินเทอร์เน็ตเกตเวย์ใช้รหัสผ่านจากโรงงานโดยไม่ได้เปลี่ยน ทำให้เข้าถึงหน้าจอแอดมิน

เขาไม่ได้แจ้งทางโรงแรมถึงช่องโหว่แต่กลับโพสบล็อกเมื่อวันที่ 30 สิงหาคมที่ผ่านมา โดยโพสข้อมูลทั้งหมดรวมถึงรหัสผ่านของเซิร์ฟเวอร์ องค์กรความปลอดภัยไซเบอร์สิงคโปร์ (Cyber Security Agency of Singapore - CSA) ไปพบบล็อกนี้จึงแจ้งทางโรงแรมและจับกุม Zheng

ศาลสิงคโปร์พิพากษาเมื่อวันที่ 24 กันยายนที่ผ่านมา โดยเป็นโทษสถานเบาปรับ 5,000 ดอลลาร์สิงคโปร์ เพราะศาลมองว่าทำไปเพราะความอยากรู้อยากเห็นและไม่ได้ตั้งใจทำความเสียหาย แต่การโพสข้อมูลโดยไม่แจ้งทางโรงแรมก็ทำให้ผู้อื่นตกเป็นเหยื่อได้

โทษสูงสุดของการเปิดเผยข้อมูลเช่นนี้คือจำคุก 3 ปีและปรับ 10,000 ดอลลาร์สิงคโปร์

ที่มา - ZDNet, HKCD

No Description

ภาพโดย cegoh

Get latest news from Blognone

Comments

By: xenatt
ContributorWindows PhoneRed HatSymbian
on 26 September 2018 - 09:03 #1072839
xenatt's picture

แบบนี้เขาเรียกว่า hack เหรอ


Opensource - Hackintosh - Graphic Design - Scriptkiddie - Xenlism Project

By: whitebigbird
Contributor
on 26 September 2018 - 11:56 #1072891 Reply to:1072839
whitebigbird's picture

จากที่คุณเข้าใจ แฮกต้องเป็นยังไงครับ ผมถามไม่ได้จะบี้คุณนะครับ แต่อยากถามว่าเข้าใจแบบไหน

By: xenatt
ContributorWindows PhoneRed HatSymbian
on 26 September 2018 - 17:12 #1072943 Reply to:1072891
xenatt's picture

การเดารหัสผ่าน นี่ก็การhack นี่นะ
คิดว่ามันควรจะมากกว่านี้เช่นการโจมตีโดดยใช้ ช่องโหว่ของระบบ


Opensource - Hackintosh - Graphic Design - Scriptkiddie - Xenlism Project

By: whitebigbird
Contributor
on 26 September 2018 - 21:39 #1073009 Reply to:1072943
whitebigbird's picture

brute force/dictionary/เดารหัสผ่านก็เรียกแฮ็กนะครับ ต่างกันที่ manual/program เท่านั้นเอง

By: TeamKiller
ContributoriPhone
on 26 September 2018 - 22:24 #1073018 Reply to:1072943
TeamKiller's picture

ผมว่าใช้รหัสผ่านง่ายๆ หรือค่าเริ่มต้นจากโรงงาน ก็เป็นช่องโหว่แบบหนึ่งนะครับ

By: mr_tawan
ContributoriPhoneAndroidWindows
on 26 September 2018 - 18:37 #1072967 Reply to:1072839
mr_tawan's picture

ได้นะครับ (แต่ผมจำชื่อเทคนิคนี้ไม่ได้ละ)

ไอ้ที่กล้องวงจรปิดโดนยึดกันก็ใช้วิธีนี้เหมือนกัน

Edit ผมว่าพอจะเรียกว่า Social Engineering ได้นะ คือเรารู้ว่าเครื่องเป้าหมายคือรุ่นไหน แล้วเราก็ไปหา default password ของเครื่องนั้นมาลองโจมตีดู แล้วปรากฎว่าเข้าได้


  • 9tawan.net บล็อกส่วนตัวฮับ
By: McKay
ContributorAndroidWindowsIn Love
on 26 September 2018 - 20:22 #1072998 Reply to:1072967
McKay's picture

default credential vulnerability attack ครับ ฮา


In Soviet Warcraft, Argus comes to you.

By: mk-
Symbian
on 26 September 2018 - 22:41 #1073022 Reply to:1072839
mk-'s picture

ผมไม่เรียกการแฮก แต่อาจจะถือว่าเป็นการบุกรุกได้ การแฮกคือประมาณว่างัดบ้านเข้าไป บังเอิญบ้านไม่มีรั้วไม่มีประตูปิดถ้าเดินเข้าไปอาจจะเป็นการบุกรุกแต่ไม่ใช่การงัดบ้าน

By: bodinmon
AndroidWindows
on 26 September 2018 - 23:00 #1073025 Reply to:1073022
bodinmon's picture

ถ้าเคสนี้ ใกล้เคียงสุดคือประมาณว่า ประตูบ้านปิดอยู่ แต่ไม่ได้ล๊อค
ไปลองๆหมุนกลอนดู พอรู้ว่าไม่ได้ล๊อต ก็เปิดเข้าไปดูเล่นๆ เจ้าของบ้านหลับ ไม่มีใครรู้ใครเห็น
แต่เป็นเรื่องขึ้นมา เพราะดันเอาป้ายไปแปะไว้หน้าบ้านว่า "บ้านนี้ไม่ได้ล๊อคจ้า"

By: nrml
ContributorIn Love
on 27 September 2018 - 09:08 #1073086 Reply to:1073022
nrml's picture

บ้านล็อคอยู่ครับ แต่บังเอิญกุญแจที่หามา, เก็บได้หรือมีอยู่ในมือมันไขได้พอดี

By: waroonh
Windows
on 26 September 2018 - 09:18 #1072845

มองโลกสวยระดับทุ่งลาเวนเดอร์มีม้าโพนี่สีรุ๊งวิ่งร่าเริงอยู่เต็มท้องทุ่งมีรุ้งอยู่บนท้องฟ้า ก็ถือว่าเป็นใบ Certificate ของ Hacker ว่าระดับโดนตำรวจจับ ดำเนินคดี ฟ้องศาลมาแล้วนะจะ ไม่ใช่ธรรมดา ก็พอได้มั๊งครับ

By: Jirawat
Android
on 26 September 2018 - 09:42 #1072850
Jirawat's picture

ก็เจ๋งพอตัว

By: nrml
ContributorIn Love
on 26 September 2018 - 09:46 #1072852 Reply to:1072850
nrml's picture

มองหาความเจ๋งไม่ค่อยเจอ เพราะ ใช้ช่องโหว่พื้นฐานมาก, ไม่แจ้งไปในช่องทางที่ควรจะเป็น, เผยแพร่รูรั่วสู่สาธารณะ, ไม่มีการอำพรางตัว

By: LazarusSP1
ContributoriPhone
on 26 September 2018 - 10:13 #1072862 Reply to:1072850
LazarusSP1's picture

ใน Certified Ethical Hacker ก็มีขั้นตอนบอกครับ ว่าหลังจากที่คุณได้ช่องโหว่แล้ว ทำรายงาน ส่ง ไม่ใช่เขียนบล๊อกสู่สาธารณะ คนสายนี้จะเขียนบล็อกก็ต่อเมื่อช่องโหว่ถูกปิดแล้วเท่านั้นครับ (ถ้าทำก่อนอาจจะทำให้ส่งผลกระทบในวงกว้าง)

By: lew
FounderJusci's WriterMEconomicsAndroid
on 26 September 2018 - 11:13 #1072876 Reply to:1072862
lew's picture

จริงๆ ต่อให้ไม่ถูกปิด แล้วคนดูแลไม่ยอมแก้ไข เขาก็เปิดเผยเท่าที่จะยืนยันได้ว่ามีปัญหาจริงนะครับ


lewcpe.com, @public_lewcpe

By: LazarusSP1
ContributoriPhone
on 26 September 2018 - 15:38 #1072927 Reply to:1072876
LazarusSP1's picture

เปิดแค่ POC สินะครับ

By: IDCET
Contributor
on 26 September 2018 - 10:14 #1072863

hacker ไร้จิตสำนึกมาก ที่ทำแบบนี้เนี่ย

By: kigaman on 26 September 2018 - 13:15 #1072896

สงสัยครับ กรณีพวกนี้ถ้าแจ้งไปทางผู้ดูแลเราก็ยังมีโอกาศโดนฟ้องอยู่ดีใช่ไม๊ครับ แล้วจะมีอะไรจะการันตรีได้ไม๊ว่าเค้าจะไม่ฟ้อง เพราะถ้าเอากันจริงๆ ก็ยังถือว่าความผิด(HACK)นั้นเกิดไปแล้ว

By: l2aelba
iPhoneAndroid
on 26 September 2018 - 14:43 #1072917 Reply to:1072896
l2aelba's picture

(เดามั่วๆแบบไม่มีข้อมูล) ประเทศที่พัฒนาแล้วถ้าแจ้งบั๊คเขาไม่ฟ้องกันเรื่องนี้

By: LazarusSP1
ContributoriPhone
on 26 September 2018 - 16:38 #1072936 Reply to:1072896
LazarusSP1's picture

กระบวนการมันจะต้องเริ่มจากการทำข้อตกลง ก่อนครับ (เว้นแต่โครงการ Bug Bounty ที่เขาจะกำหนดขอบเขต มาให้อยู่แล้ว) ดังนั้นการทดสอบเจาะระบบ โดยที่ยังไม่ได้รับการอนุญาต ก็จะเข้าข่ายโดนฟ้องร้องได้ครับ แต่อันนี้ก็แล้วแต่นโยบายของ chief information security officer (CISO) ของหน่วยงานนั้นๆ อีกทีครับ บางที่ก็มองว่าเป็นประสงค์ดี ก็อาจจะให้ E-mail ผลทดสอบมา เราจะทำหน้าขอบคุณให้นะ แต่บางที่จะโทรไปถามหน่วยงานที่ดูแลเรื่องความปลอดภัย ยังไม่มีเลย แล้วก็โทษว่าโดนแฮก อันนี้ก็ขึ้นอยู่ว่าโครงสร้างหน่วยงานเขาให้ความสำคัญกับนโยบายเรื่องความปลอดภัยไซเบอร์แค่ไหน
แต่ในกรณีนี้ เป็นช่องโหว่ของ Default Password เราก็ว่าโรงแรมสะเพร่าเอง แต่คนรายงานก็ทำไม่ถูกขั้นตอนด้วย ต้องมาดูว่าศาลจะตัดสินว่าอย่างไรกับเคสนี้ครับ (เดาว่าแฮกเกอร์ผิด)

By: xenatt
ContributorWindows PhoneRed HatSymbian
on 26 September 2018 - 17:16 #1072946
xenatt's picture

บางครั้งเข้าถึงระบบได้ (ไม่เคยรายงาน)โดยความสะเพร่าของ admin ไม่อยากเรียกว่าง hack และผมก็ไม่ใช่ hacker ผมมัน script kiddie


Opensource - Hackintosh - Graphic Design - Scriptkiddie - Xenlism Project