Tags:
Node Thumbnail

พรรคอนุรักษ์นิยมของสหราชอาณาจักรมีแอพบนมือถือสำหรับอำนวยความสะดวกในการประชุมใหญ่ของพรรคชื่อว่า Conservative Party Conference แต่มีรายงานว่าแอพนี้มีช่องโหว่ที่อันตรายมาก คือกดปุ่ม Attendees และใช้เพียงอีเมลแอดเดรสเป็นข้อมูลทำการล็อกอิน ก็เห็นข้อมูลของสำคัญของผู้เข้าร่วมการประชุมคนอื่น ๆ ได้ทันที หรือจะแก้ข้อมูลยังได้ แม้ว่าจะเป็นข้อมูลของนักการเมืองคนสำคัญก็ตาม

ยกตัวอย่างเช่น Dawn Foster คอลัมนิสต์ของ The Guardian ทวีตบอกว่าเธอสามารถล็อกอินเป็น Boris Johnson ได้โดยใช้เพียงอีเมลแอดเดรส ไม่ต้องใช้การส่งลิงก์ยืนยันตัวตนผ่านทางอีเมลใด ๆ ทั้งสิ้น ดังนั้นช่องโหว่นี้ทำให้เห็นเบอร์โทรศัพท์ของนักข่าว, นักการเมือง และผู้เข้าร่วมงานทุกคนได้ทันที แถมยังโพสต์คอมเมนท์เป็นบุคคลผู้นั้นได้อีกด้วย

นอกจากนี้ การล็อกอินยังเปิดให้ใครแก้ไขข้อมูลคนอื่นก็ได้ตามใจชอบด้วย ซึ่งมีคนรายงานว่า Michael Gove ถูกเปลี่ยนภาพเป็น Rupert Murdoch มาแล้ว

หลังเกิดเรื่องนี้ขึ้น CrowdComms บริษัทออสเตรเลียที่อยู่เบื้องหลังแอพนี้ก็ได้อัพเดตแอพและนำปุ่มนี้ออก ตอนนี้ยังไม่มีข้อมูลว่าใครเป็นคนตัดสินใจใช้ระบบล็อกอินแบบไม่ต้องมีรหัสผ่าน แต่หลายคนก็ให้ความเห็นว่าเป็นความผิดของพรรคอนุรักษ์นิยมที่ละเลยจนทำให้เกิดเรื่องขึ้นมาได้ ซึ่ง The Guardian บอกว่าในนโยบายความเป็นส่วนตัวของแอพนั้น ระบุด้วยว่าเป็นไปตาม GDPR กฎหมายด้านความเป็นส่วนตัวของยุโรป

ส่วนพรรคอนุรักษ์นิยมได้ออกมาแถลงหลังจากอัพเดตแอพ โดยบอกว่าตอนนี้ปัญหาทางเทคนิคได้ถูกแก้ไขเรียบร้อยแล้ว ซึ่งทางพรรคจะทำการสอบสวนปัญหานี้ต่อไปและขออภัยในทุกความกังวลที่เกิดขึ้น

ที่มา - The Guardian, BBC, Engadget

No Description

No Description

Get latest news from Blognone

Comments

By: whitebigbird
Contributor
on 1 October 2018 - 06:43 #1073659
whitebigbird's picture

ดีครับ อย่างเฟสบุคล่าสุดยังทำให้คนอยากสวมรอยต้องเมื่อยแกะ access token ในขณะที่แอพนี้อำนวยความสะดวกเสร็จสรรพ

เดาว่าน่าจะมีคนพูดแนวๆ ว่า ใครมันจะมารู้อีเมล์ภายใน

By: langisser
In Love
on 1 October 2018 - 11:31 #1073703 Reply to:1073659

แนวๆประโยคสุดท้ายนี่ผมคุ้นหูอยู่เรื่อยๆครับ

By: sMaliHug on 1 October 2018 - 09:35 #1073673

ถึงแม้จะเป็นข้อผิดพลาดของระบบอย่างร้ายแรง สมมติถ้าตาม พ.ร.บ. คอมฯ กรณีคืนอื่น Login แบบนี้ถือว่าไม่ได้รับอนุญาตหรือเปล่าครับ ถ้าอย่างนั้นมีสิทธิติดคุกนะ ถึงแม้จะมีช่องโหว่ แต่กม.ก็เขียนไว้

By: panurat2000
ContributorSymbianUbuntuIn Love
on 1 October 2018 - 10:21 #1073691 Reply to:1073673
panurat2000's picture

ตอนนี้ยังไม่มีข้อมูลว่าใครเป็นคนตัดสินใจใช้ระบบล็อกอินแบบไม่ต้องมีรหัสผ่าน

By: whitebigbird
Contributor
on 1 October 2018 - 10:30 #1073692 Reply to:1073673
whitebigbird's picture

ถ้าตัวแอพถูกออกแบบมาให้ทำแบบนั้นได้ ไม่แน่ใจว่าจะตีความว่าอนุญาต หรือไม่อนุญาตดีครับ

By: Hoo
AndroidWindows
on 1 October 2018 - 13:28 #1073734 Reply to:1073673

คิดว่า ไม่ถือเป็นการบุกรุกระบบ
แต่อาจจะโดนเรื่อง นำข้อมูลเป็นเท็จเข้าระบบ
อะไรทำนองนี้

By: mr_tawan
ContributoriPhoneAndroidWindows
on 1 October 2018 - 16:01 #1073758 Reply to:1073673
mr_tawan's picture

เข้าใจถูกแล้วครับ กรณีนี้คือจงใจเข้าถึงข้อมูลส่วนบุคคลของคนอื่นครับ ถึงแม้ว่าระบบจะไม่ควรเปิดให้เข้าไปได้แต่ดันเปิดเองก็ตาม เราก็ไม่มีสิทธิเข้าไปดูครับ


  • 9tawan.net บล็อกส่วนตัวฮับ
By: sMaliHug on 1 October 2018 - 20:32 #1073795 Reply to:1073758

ผมก็ว่างน่าจะอย่างนั้น กรณีนี้ต่างกับเผลอเป็น Public เพราะอย่างน้อยเขาก็เจาะจงว่าใครเข้าได้ โดยอ้างอิงอีเมล์

By: bodinmon
AndroidWindows
on 2 October 2018 - 10:57 #1073882
bodinmon's picture

นี่เค้าจ้างเด็กจบใหม่ มาเขียนแอพให้หรือเปล่าเนี่ย...