Tags:
Node Thumbnail

กลุ่มแฮ็กเกอร์ LulzSec เริ่มปฏิบัติการโจมตีเว็บไซต์ของโซนี่ตามที่ประกาศเอาไว้ และเว็บที่โดนโจมตีคือ SonyPictures.com

LulzSec ออกมาเปิดเผยว่า SonyPictures.com ถูกเจาะได้ง่ายๆ ด้วย SQL injection เพียงคำสั่งเดียว และ LulzSec ก็เข้าถึงข้อมูลได้ทุกอย่าง ได้แก่ บัญชีของผู้ใช้พร้อมข้อมูลส่วนตัวและรหัสผ่าน 1 ล้านบัญชี รวมถึงรหัสผ่านแอดมิน และคูปองส่วนลดซื้อเพลงผ่านเว็บของโซนี่กว่า 3.5 ล้านชิ้น

LulzSec บอกว่าไม่มีเวลาก็อปปี้ข้อมูลได้ทั้งหมด แต่นำข้อมูลออกมาบางส่วน ที่น่ากลัวคือ LulzSec บอกว่า Sony Pictures เก็บรหัสผ่านของผู้ใช้แบบไม่เข้ารหัส และข้อมูลเหล่านี้ถูกโพสต์บน The Pirate Bay เรียบร้อยแล้ว

LulzSec บอกว่าเป้าหมายของการแฮ็กไม่ใช่ต้องการชื่อเสียงในวงการแฮ็กเกอร์ แต่ต้องการแสดงให้เห็นว่าระบบรักษาความปลอดภัยของโซนี่อ่อนแอมาก และเตือนให้ผู้ใช้เลิกเชื่อมั่นในบริษัทที่หละหลวมขนาดนี้

นอกจาก Sony Pictures แล้ว LulzSec บอกว่ายังได้ฐานข้อมูลของ Sony BMG ในเบลเยียมและเนเธอร์แลนด์ ซึ่งมีทั้งบัญชีของพนักงานและลูกค้า

ที่มา - ประกาศของ LulzSec, Boing Boing

Get latest news from Blognone

Comments

By: PaPaSEK
ContributorAndroidWindowsIn Love
on 3 June 2011 - 08:55 #296299
PaPaSEK's picture

เฮ้อ มัวแต่ไปพัฒนาระบบป้องกันบน PS3 ปล่อยให้เว็บโดน SQL Injection แค่คำสั่งเดียวก็ง่อย

ไอ้พวกนี้ก็เล่นไม่เลิกซะด้วย

By: Aikae
iPhone
on 3 June 2011 - 09:03 #296301 Reply to:296299

บริษัทใหญ่แถมหลายประเทศมันก็ช้าแบบนี้แหละครับ แต่ไม่เข้ารหัสเลยมันก็ไม่ไหวนะ = -"

By: PaPaSEK
ContributorAndroidWindowsIn Love
on 3 June 2011 - 09:21 #296311 Reply to:296301
PaPaSEK's picture

กำลังคิดว่าใช้คนนอกหรือคนในทำ ถ้าเป็นบริษัทรับจ้างทำเว็บมีหวังโดนฟ้องหมดตรูดแน่ๆ

By: ch1wat on 3 June 2011 - 09:03 #296302

ไม่ว่าจะทำเพื่ออะไรก็ตาม แต่รู้ว่าทำให้คน 1 ล้านคนเดือดร้อน พร้อม ๆ กัน เป็นสิ่งที่ไม่น่าทำเลย

By: xxxooo
Windows PhoneWindowsIn Love
on 3 June 2011 - 09:10 #296306 Reply to:296302

ผมว่า เค้าทำนั่นแหล่ะดี

เพราะเราไม่มีทางรู้ข้อมูลของเรา โดนใคร เอาไปแล้วบ้างก่อนที่ คนพวกนี้ เอา

การที่คนพวกนี้ ประกาศตัว ทำให้เรารู้ว่า Sony แม่งไม่เคยเห็นข้อมูลลูกค้าสำคัญเลย

ต้องการแค่นำไปใช้ประโยชน์ แต่ไม่คิดจะปกป้อง รักษาความลับ

By: nalanda
iPhoneWindows PhoneAndroidSUSE
on 3 June 2011 - 09:20 #296309 Reply to:296306
nalanda's picture

+1

By: PaPaSEK
ContributorAndroidWindowsIn Love
on 3 June 2011 - 09:20 #296310 Reply to:296306
PaPaSEK's picture

เห็นด้วยครับ ในวิกฤติยังมีโอกาศ

ถ้ามัวแต่นั่งเฉา เอาแต่หมดอาลัยตายอยาก ทุกอย่างก็จบครับ

By: Pinery
ContributoriPhoneAndroidIn Love
on 3 June 2011 - 09:45 #296319 Reply to:296306

แต่เอามาปล่อยใน The Pirate Bay นี่ด้วยน่ะสิ T^T

By: aeke88
iPhoneAndroid
on 3 June 2011 - 10:10 #296336 Reply to:296306
aeke88's picture

การโชว์ว่าระบบอ่อนแอก็ถือว่าเป็นเรื่องดี

แต่การนำเอาข้อมูลออกไปสู่สาธารณะ ไม่ใช่เรื่องดีครับ

สรุปงานนนี้ แก็สโซฮอลผิดครับ

By: ch1wat on 3 June 2011 - 18:28 #296510 Reply to:296306

ผมพูดถึงกรณีปล่อยลงใน Piratebay ครับ

By: jirayu
ContributorWindows PhoneBlackberrySymbian
on 4 June 2011 - 00:46 #296580 Reply to:296306

แฮ็กค์ได้แล้วมาบอก ถือว่าควรครับ

แต่ที่เอาไปปล่อยในอ่าวสลัดนี่มันไม่น่า


By: tekkasit
ContributorAndroidWindowsIn Love
on 3 June 2011 - 09:58 #296326 Reply to:296302
tekkasit's picture

มองวิกฤติเป็นโอกาสครับ อย่างแรกก็ต้องยอมรับว่าคุณตั้งการ์ดต่ำไปจริงๆ เก็บรหัสผ่านตรงๆอย่างงี้ ทั้งๆที่น่าจะใช้ hash, ปล่อยให้เกิด SQL injection ได้ ฯลฯ ถือโอกาสตั้งนโยบายความปลอดภัยของแอพฯ ทำนองพวก security audit อ่ะครับ

เพราะมุมหนึ่ง ถ้าเค้าเก็บรหัสผ่านของเราตรงๆในระบบ ถ้ามีคนของโซนี่ (หรือแม้แต่บุคคลที่สามที่โซนี่ใช้บริการ เช่น บริการขนส่งสื่อแบ็คอัพ) เองทุจริต ก็สามารถสวมรอยเป็นคุณได้แล้ว

By: mehn
iPhone
on 3 June 2011 - 09:06 #296304
mehn's picture

โพสต์ข้อมูลลงบน The Pirate Bay ...ไม่ไหวๆ

By: McKay
ContributorAndroidWindowsIn Love
on 3 June 2011 - 09:08 #296305
McKay's picture

unencrypted password

OMG Sony!!


In Soviet Warcraft, Argus comes to you.

By: Sun_AV
Android
on 3 June 2011 - 09:15 #296308
Sun_AV's picture

ตามลิงค์ที่มา โพสลง mediafire ด้วย แต่โดน remove ไปแล้ว

By: orpheous
AndroidWindowsIn Love
on 3 June 2011 - 09:34 #296313
orpheous's picture

มันเป็นอีกสาเหตุรึเปล่าที่เค้าจะจ้องปิด piratebay กันเนี่ย

By: EThaiZone
ContributorAndroidUbuntuWindows
on 3 June 2011 - 09:37 #296315
EThaiZone's picture

ผมสงสัยน่ะครับ เลยไปตามโหลดข้อมูลที่ทางกลุ่มเผยแพร่มา พบว่าทางกลุ่มไม่ได้เผยแพร่แค่ข้อมูลที่แฮกได้เช่น username password หรือ coupon code อย่างเดียว

แต่ยังบอกช่องโหว่ที่ไม่ได้มีการทำ filter ไว้ เลยเป็นจุดที่สามารถ inject code ได้ (ถ้ารู้ sql) รวมถึงยังมีการบอก layout ของ table ด้วย ว่า table ไหนมี fields อะไรบ้าง

สรุปน่ะครับ ... ชิบหายจริงๆ นั้นแหละ แต่ถ้า Sony โหลดไฟล์นี้ไปอ่านดีๆ แก้แค่ไม่ถึง 2-3 นาที ก็อุดช่องโหว่นี้ได้แล้ว แค่...

if(!is_int($_GET['id'])) die('Bla bla...');

เพิ่มเท่านี้แหละ จุดที่กลุ่มนี้บอกก็จะแฮกไม่ได้ เท่านี้คนอื่นที่โหลดไฟล์ไปก็จะแฮกในจุดนี้ไม่ได้ ก็ช่วยให้ข้อมูลหลุดอีกน้อยลง


มันไม่ง่ายเลยที่จะทำ GIF ให้มีขนาดน้อยกว่า 20kB

By: massacre
AndroidUbuntu
on 3 June 2011 - 10:07 #296334 Reply to:296315

เว็บที่ไม่ได้ทำคนเดียวหรือใช้ framework เดียว มันแก้ไขลำบากครับ

By: EThaiZone
ContributorAndroidUbuntuWindows
on 3 June 2011 - 10:19 #296339 Reply to:296334
EThaiZone's picture

ผมสงสัยแต่ว่าเว็บนี้แม้แต่ Framework ก็ไม่ได้ใช้ ดูการออกแบบฐานข้อมูลแล้วเข้าขั้นมีปัญหาทีเดียว Duplicate กระจายต่างกันแค่ ID ทั้งที่ปกติเขาต้องแยก Table แล้วใช้ทำ Relation พวก Join อะไรก็ว่าไป

แนะนำให้โหลดไฟล์ของ Sownage มาดูครับ แล้วอาจจะเปลี่ยนความคิดทีว่า Sony ไม่ดูแล หรือคนเขียนเว็บกันแน่ที่มันกาก ผมพูดจริงๆ น่ะ

แล้วสุดท้าย ผมว่าเหตุการณ์ฉุกเฉิน การ Hard code ก็ทำเป็นต้องทำ ถ้าทำไม่ได้ อันนี้ก็ต้องพิจารณาตัวเองแล้ว

ปล. Sownage ปล่อยข้อมูลมาแค่ส่วนเดียว เพราะข้อมูลจริงมีเป็นล้าน ถ้า Sony ไม่รีบแก้ ข้อมูลทั้งเว็บได้โดน Dump ออกมาหมดแน่ๆ


มันไม่ง่ายเลยที่จะทำ GIF ให้มีขนาดน้อยกว่า 20kB

By: lifeinhand
Android
on 3 June 2011 - 09:38 #296316
lifeinhand's picture

ไม่ไหวจะเคลียร์ โซหนี้

By: cornario
iPhoneAndroidUbuntuWindows
on 3 June 2011 - 09:41 #296318
cornario's picture

คือเรื่อง sql injection (แบบพื้นฐานมากๆ) นี่ว่าแรงแล้วเจอรหัสผ่านไม่ได้เข้ารหัสนี่แบบ - -*
ขนาดเว็บโง่ๆที่ nobody อย่างผมทำยังเข้ารหัสไว้เลย

By: Ready2go
ContributoriPhoneWindowsIn Love
on 3 June 2011 - 09:50 #296322

ผมว่าได้อย่างเสียอย่าง

ได้อย่างตรงที่ว่า บริษัทต่างๆที่มีการเก็บข้อมูลบนเว็บหรือบนคลาวด์จะได้มีการระมัดระวังมากขึ้น ดูแลข้อมูลของลูกค้ามากขึ้น

เสียอย่าง(แรง)ตรงที่ว่า มูลค่าของข้อมูลที่หลุดไปนั้นมหาศาล ความน่าเชื่อถือของระบบออนไลน์ของโซนี่หายเรียบ ความคิดที่จะเปิดร้านขายแอปของตัวเองนี่เลิกไปเลย อาจจะพาลไปถึง PSN ที่มีการซื้อขายเกมออนไลน์ด้วย

ตอนแรกผมก็สงสารโซนี่นะ แต่พอทราบว่าโซนี่เก็บข้อมูลลูกค้าแบบไม่ Encrypt แล้วยังหละหลวมในการป้องกันแบบนี้ ผมสนับสนุนให้ฟ้องโซนี่เรื่องข้อมูลรั่วไหลให้เป็นเคสตัวอย่างครับ


Technology is so fast!

By: puuga
iPhoneAndroid
on 3 June 2011 - 09:52 #296323
puuga's picture

"รหัสผ่านของผู้ใช้แบบไม่เข้ารหัส"+"ถูกเจาะได้ง่ายๆ ด้วย SQL injection เพียงคำสั่งเดียว"
ใครเป็นคนทำเว็บหว่า

By: platalay
iPhoneWindows PhoneAndroidWindows
on 3 June 2011 - 09:55 #296324 Reply to:296323

เด็กฝึกงาน :P

By: Songfondue
iPhone
on 3 June 2011 - 10:35 #296347 Reply to:296324

ก๊ากก..เลย

By: Songfondue
iPhone
on 3 June 2011 - 10:36 #296348 Reply to:296324

เปลืองไฟจริงๆ..

By: S.T.E.Y.R.C.
Ubuntu
on 3 June 2011 - 13:52 #296424 Reply to:296324

มุขนี้มัน!

By: npanda
iPhoneWindows
on 3 June 2011 - 10:10 #296335

ถึงขนาดโดน SQL injection นี่ผมว่าแย่มากเลยนะ ขนาดเป็ด ๆ อย่างผมยังใส่ใจกับเรื่องนี้เป็นอย่างแรกเลย
Sony ครับให้ความสำคัญกับลูกค้ามากกว่านี้หน่อยเถอะ

By: EThaiZone
ContributorAndroidUbuntuWindows
on 3 June 2011 - 10:23 #296343
EThaiZone's picture

อัพเดตเพิ่ม ช่องโหว่ Sony จัดการแล้ว

ตอนนี้เข้าไม่ได้ ทำให้ไม่รู้จริงว่า Sony ใช้อะไรในกาารทำส่วนนั้น เพราะส่วนที่ผมสงสัยคือ Sony ใช้ user pass ของ database เดียวกันทั้งเว็บเลยไหม แล้วให้สิทธิ์เข้าถึงทั้งหมด เพราะถ้าเป็นอย่างนั้นก็ไม่ต่างอะไรกับ Root บน Database แล้วก็... จินตนาการต่อเอาเอง


มันไม่ง่ายเลยที่จะทำ GIF ให้มีขนาดน้อยกว่า 20kB

By: geumatee
ContributoriPhoneAndroidWindows
on 3 June 2011 - 10:24 #296344

แปลกใจว่ามีโจรโทรมาขู่แล้ว แต่ทำไมยังไม่สำรวจรั้วบ้านและเก็บกุญแจตัวเองให้ดี

By: genocide on 3 June 2011 - 10:54 #296356 Reply to:296344
genocide's picture

+1

By: moondrop
iPhoneWindowsIn Love
on 3 June 2011 - 14:34 #296432 Reply to:296344
moondrop's picture

จริง ผมว่างานนี้มียกเครื่องsecurityใหม่ทั้งระบบแน่

By: khajochi
WriteriPhoneIn Love
on 3 June 2011 - 10:44 #296353
khajochi's picture

ไม่น่าเชื่อว่าระบบความปลอดภัยจะง่อยขนาดนี้


แฟนพันธุ์แท้สตีฟจ็อบส์ | MacThai.com

By: winteen
Android
on 3 June 2011 - 12:48 #296408 Reply to:296353
winteen's picture

+1

By: sunback
Contributor
on 3 June 2011 - 21:57 #296547 Reply to:296408
sunback's picture

ลายเซ็นต์ต้องเป็นเว็บส่วนตัวนะครับ เห็นแล้วเสียวแทน XD

By: tekkasit
ContributorAndroidWindowsIn Love
on 3 June 2011 - 11:19 #296367
tekkasit's picture

มองอีกมุมนะ คือการทำ security audit มันยุ่งยากหน่อย เพราะต้องใช้พวกที่เชี่ยวชาญมารีวิวโค้ด, เว็บเฟรมเวิร์ก ว่ามันผิดกฎตรงไหนบ้าง ดังนั้น (อันนี้พยายามคิดเข้าข้าง) ถ้าระบบไหนไม่ได้เก็บข้อมูลสำคัญ เช่นข้อมูลบัตรเครดิต เค้าอาจจะหย่อนๆไปมั้ง

ปล. ดูหนังดูละครแล้วย้อนดูตัว แล้วเว็บระบบราชการไทยล่ะ ไม่อยากจะคิด

By: Fzo
ContributorAndroid
on 4 June 2011 - 00:07 #296575 Reply to:296367
Fzo's picture

+1 ตรง ปล. ครับ


WE ARE THE 99%

By: iPomz
ContributorAndroidWindows
on 3 June 2011 - 11:24 #296372
iPomz's picture

โชว์หนี้

By: sunback
Contributor
on 3 June 2011 - 21:56 #296381
sunback's picture

คงมีคนหลายๆ คนในโซนี่ที่นอนฝันร้ายไปตลอดปี T_T

By: komkit0710
Windows PhoneSUSEWindows
on 3 June 2011 - 12:35 #296403

ผ่าน UAT มาได้ไง

By: penaree
Android
on 3 June 2011 - 13:16 #296416

บอกได้คำเดียวเละเป็น*&$%@#

By: spicydog
ContributoriPhoneAndroidUbuntu
on 3 June 2011 - 14:40 #296436
spicydog's picture

ก็สงสารโซนี่ แต่เก็บรหัสผ่านผู้ใช้โดยไม่เข้ารหัสนี้ก็รับไม่ได้เหมือนกันนะครับ


SPICYDOG's Blog

By: Godhand
iPhoneAndroidWindows
on 3 June 2011 - 23:56 #296570 Reply to:296436
Godhand's picture

แย่เกินไปครับ ไม่เข้ารหัสเลย องค์กรใหญ่ด้วยนะ

By: pines
Blackberry
on 3 June 2011 - 15:37 #296457

สุดท้าย Sony คงต้องจ่ายค่ายกระดับมาตรฐานระบบความปลอดภัยให้ บ.ฝรั่งอีกอยู่ดี ถ้าไม่ยอมจ่ายเดี๋ยวก็ถูกเจาะอีก สู้เขาไม่ไหวก็จ่ายไป - -"

By: gudome
ContributoriPhoneWindows
on 3 June 2011 - 16:02 #296471

ตอนแรกๆก็สงสาร แต่พอเจอเคสนี้เข้าไป ตอนนี้เปลี่ยนเป็นสมน้ำหน้าละ

ทำอย่างกับข้อมูลลูกค้าไม่สำคัญ - -

By: LEVY
AndroidSymbianWindowsIn Love
on 3 June 2011 - 16:16 #296476
LEVY's picture

คดีพลิกอีกแล้ว - - ลูกขุน รุมสมน้ำหน้า โชหนี้ อีกแล้ว

By: Godhand
iPhoneAndroidWindows
on 3 June 2011 - 23:59 #296571
Godhand's picture

ค่อนข้างเชื่อว่าเรื่องนี้เกี่ยวข้องกับเรื่องคดีคุณ geohot ครับ

เพราะคิดว่าคนที่ลงมือทำ(LulzSec)นั้น น่าจะคิดว่า Sony กระทำกับคุณ geohot เกินกว่าเหตุไปครับ และคิดว่าคงมีอีกหลายๆคนที่คิดว่าเกินกว่าเหตุจริง

By: xxxooo
Windows PhoneWindowsIn Love
on 5 June 2011 - 17:44 #297030 Reply to:296571

มันกลายเป็นเรื่อง แก้เซ็ง ไปแล้วต่างหาก