นักวิจัยความปลอดภัยได้ค้นพบเซิร์ฟเวอร์เก็บข้อมูลสำคัญของ State Bank of India หรือ SBI ธนาคารที่ใหญ่ที่สุดในอินเดียเปิดไว้ใช้งานโดยไม่มีรหัสผ่านเข้าฐานข้อมูล

เซิร์ฟเวอร์ของ SBI นี้อยู่ที่ศูนย์ข้อมูลในเมืองมุมไบ เก็บข้อมูล 2 เดือนย้อนหลังจาก SBI Quick ระบบข้อความตัวอักษรและโทรศัพท์ที่ใช้สำหรับการขอข้อมูลพื้นฐานของบัญชีธนาคารโดยลูกค้า ซึ่งตัวเซิร์ฟเวอร์ของ SBI นี้ไม่ได้ถูกล็อกรหัสผ่านไว้ ดังนั้นใครรู้แค่เพียงช่องทางเข้าก็สามารถเข้าเซิร์ฟเวอร์ไปเรียกดูข้อมูลนับล้านของลูกค้าได้ทันที

ตัวระบบ SBI Quick นี้จะเปิดให้ลูกค้าธนาคาร SBI ส่งข้อความตัวอักษร หรือโทรศัพท์และวางสายด้วยการใช้คีย์เวิร์ด จากนั้นระบบก็จะส่งข้อมูลการเงินและบัญชีเป็นข้อความตัวอักษรกลับไป ยกตัวอย่างเช่น พิมพ์ BAL จะส่งยอดเงินคงเหลือกลับมา ซึ่งระบบ SBI Quick นี้จะใช้เบอร์โทรศัพท์ที่ลูกค้าลงทะเบียนไว้กับบัญชีธนาคาร และระบบสามารถทำรายการได้หลายอย่าง ตั้งแต่ส่งการทำธุรกรรม 5 รายการล่าสุด, อายัดบัตรเอทีเอ็ม หรือเรียกข้อมูลการกู้ซื้อบ้านหรือรถก็ได้ ดังนั้นเซิร์ฟเวอร์นี้จึงเก็บข้อความตัวอักษรซึ่งเป็นข้อมูลสำคัญนับล้านข้อความต่อวัน

ตอนนี้ SBI สั่งล็อกรหัสผ่านเซิร์ฟเวอร์แล้ว แต่ยังไม่มีข้อมูลว่าเซิร์ฟเวอร์นี้ปล่อยให้ไม่มีรหัสผ่านมานานเท่าไร แต่ก็นานพอที่จะทำให้นักวิจัยซึ่งไม่เปิดเผยตัวตนรายนี้ค้นพบช่องโหว่ความปลอดภัยนี้ได้

ที่มา - TechCrunch

ตัวอย่างข้อมูลที่ TechCrunch เก็บมาจากเซิร์ฟเวอร์ของ SBI