ทวิตเตอร์ประกาศโดนแฮ็ค ผู้ใช้ 250,000 คนอาจโดนขโมยข้อมูลส่วนตัว

By: toandthen

on 2 February 2013 - 09:18 Tags:

Topics:

Java

Twitter

เมื่อคืนวันศุกร์ที่ผ่านมานี้ ทวิตเตอร์ออกมาประกาศว่าพวกเขาโดนแฮ็ค และผู้ใช้ทวิตเตอร์กว่า 250,000 คนอาจจะโดนขโมยข้อมูลส่วนตัว โดยข้อมูลที่โดนขโมยไปได้แก่ username, อีเมล, และรหัสผ่านที่โดนเข้ารหัสไว้แล้ว (encrypted passwords)

ทวิตเตอร์ยืนยันว่าการเข้าขโมยข้อมูลในครั้งนี้ถือว่าเป็นการแฮ็คที่ไม่ง่าย น่าจะเป็นฝีมือของกลุ่มที่เข้าใจการเจาะข้อมูลเป็นอย่างดี และเชื่อว่าการเข้าขโมยข้อมูลในครั้งนี้หลาย ๆ บริการ บริษัท และองค์กรอื่น ๆ น่าจะโดนโจมตีด้วยเช่นกัน

อย่างไรก็ตาม ทวิตเตอร์ไม่ได้เผยรายละเอียดว่ากลุ่มแฮ็คเกอร์ได้ใช้วิธีเจาะข้อมูลอย่างไร แต่ได้บอกเพียงแค่ว่าการโจมตีในครั้งนี้เป็นการใช้ช่องโหว่ที่ถูกเผยแพร่ต่อสาธารณะชนของ Java ซึ่งก่อนหน้านี้หลาย ๆ บริษัท และหน่วยงานความปลอดภัยได้ออกมาเตือนผู้ใช้อินเทอร์เน็ตทั่วไปแล้ว ให้ปิด Java บนคอมพิวเตอร์ของตัวเองเพื่อความปลอดภัย

เช่นกัน ก่อนหน้านี้แอปเปิลก็ได้สั่งปิด Java บนคอมพิวเตอร์ที่บริษัทขายไว้ก่อนล่วงหน้าแล้ว และล่าสุดเมื่อวันพฤหัสบิดีที่ผ่านมาก็ได้สั่งบล็อคการใช้งาน Java 7 Web Plug-in อีกครั้ง

ทวิตเตอร์ยืนยันว่ารหัสที่ถูกขโมยไปในครั้งนี้ได้ถูกเข้ารหัสไว้แล้ว (hashed) อีกทั้งยังมีการเพิ่มตัวเลขที่ถูกสุ่มเข้าไปหลังจากรหัสผ่านที่ถูกเข้ารหัสแล้ว (salted) เพื่อทำให้การแกะรหัสยากขึ้น แต่นี่ก็ไม่ได้หมายความว่ารหัสผ่านที่โดนขโมยไปจะไม่สามารถถูกแกะได้

ที่มา - The New York Times

Hiring! บริษัทที่น่าสนใจ

Trinity Roots Co., Ltd.

We provide comprehensive solutions by partnering with leading software and world-class technologies.

LSEG (London Stock Exchange Group)

LSEG is a leading global financial markets infrastructure and data provider

Siam Makro (Thailand)

The leading Cash & Carry operator in wholesale trade center for professional business.

Comments

By: nostalgias

on 2 February 2013 - 09:45 #536483

Java อีกแล้ว ... #จาวาพรุนส์

By: T3NNIIZ

on 2 February 2013 - 09:50 #536485

Java ตามเคย

By: komkit0710

on 2 February 2013 - 09:56 #536491

แสดงว่า twitter ไม่ปิด java?

By: itpcc

on 2 February 2013 - 10:02 #536493 Reply to:536491

อาจจะปิดไม่ได้มากกว่าครับ

p>// จาวาเฟล

บล็อกส่วนตัวที่อัพเดตตามอารมณ์และความขยัน :P

By: komkit0710

on 2 February 2013 - 10:34 #536501 Reply to:536493

รู้ว่ากระจกบ้านแตกแต่ไม่เปลี่ยน กลับจุดธูปภาวนาอย่าโดนขโมยของ ก็สมควรครับ

By: icez

on 2 February 2013 - 10:49 #536504 Reply to:536501

ฝั่ง server ใช้ java อยู่เพียบ จะปิดยังไงได้ครับ?

By: tuckclub on 2 February 2013 - 13:08 #536556 Reply to:536501

เห็นเมื่อเช้า ตอนแรกนึกว่าคุณเล่นมุกซะอีกครับ เลยไม่ได้ตอบ

คือ Twitter เค้าใช้ Java ในฝั่ง server ครับ ประมาณว่าเขียนโค้ด Java เพื่อติดต่อฐานข้อมูล, สร้าง HTML เพื่ออส่งมาแสดงผลใน browser ของเรา ซึ่งโค้ดพวกนี้เมื่อคอมไพล์แล้วก็ต้องรันบน JVM

รวมถึง Twitter เก็บข้อมูลไว้ใน Hadoop ครับ (เป็นฐานข้อมูลจำพวก NoSQL, เป็น distributed data storage, เป็น distributed data processing framework) ซึ่งสร้างขึ้นมาจาก Java อีกเช่นกัน

ดังนั้น ถ้า Twitter จะปิดการใช้งาน JVM ในตอนนี้ ก็ต้องหาเทคโนโลยีอื่นมาใช้แทนครับ หรือไม่ก็อาจจะถึงขั้นต้องปิดเว็บ twitter.com ไปเลย

By: raining on 2 February 2013 - 13:44 #536564 Reply to:536556

ฝั่ง server กับ ปลั๊กอิน Java มันคนละเรืื่องกันนะครับ ช่องโหว่ที่มันเป็นข่าวเรื่อยมาหลายเดือนในช่วงนี้มันเจาะผ่านปลั๊กอินที่ทำงานบนเบราว์เซอร์ นะครับ หรือผมเข้าใจอะไรผิด ??? มันไม่เกี่ยวกับการปิด jvm เลย มันแต่ต้องดูว่า twitter website หรือว่า client ต่่าง ๆ ตัวไหนที่มีการทำงานโดยต้องอาศัย ปลั๊กอิน Java

By: tuckclub on 2 February 2013 - 14:50 #536578 Reply to:536556

น่าจะเป็นผมที่เข้าใจผิดไปเองครับ USA Today บอกไว้ว่า

One expert said that the Twitter hack probably happened after an employee's home or work computer was compromised through vulnerabilities in Java, a commonly used computing language whose weaknesses have been well publicized.

และ Oracle บอกไว้ว่า CVE-2013-0422 ไม่ได้กระทบในฝั่งเซิร์ฟเวอร์

ขอโทษที่ทำให้สับสนครับ

By: LazarusSP1

on 2 February 2013 - 10:30 #536499

จาวาเร็วส์

By: hydrojen

on 2 February 2013 - 10:34 #536500

แพะๆๆ

By: Architec

on 2 February 2013 - 10:57 #536507 Reply to:536500

ทีนี้เว็บใครโดนเจาะโทษ Java ไว้ก่อนสินะ

//แบะ แบะ

By: Rdfaiz

on 2 February 2013 - 10:55 #536506

เอ๊ะ ทำไมพอผมจะแชร์ลิ้งก์ข่าวนี้ในเฟซแล้วมันดันขึ้นเป็นอีกข่าวนึงหว่า

By: HudchewMan

on 2 February 2013 - 11:38 #536522

โดน!!

แบบนี้ต้องเปลี่ยนรหัสผ่านกันเพื่อความปลอดภัยก่อนสินะ

~ HudchewMan's Station & @HudchewMan~

By: Be1con

on 2 February 2013 - 12:03 #536534

เร็วส์ เร็วส์ เร็วส์

Coder | Designer | Thinker | Blogger

By: Soul_Master

on 2 February 2013 - 12:25 #536545

สงสัยว่า Hashed + Salted Password มันจะถูกแกะได้ยังไง? ถ้า Salt ที่เพิ่มเป็นคำสุ่มที่ยาวเพียงพอ

By: Onewings

on 2 February 2013 - 14:47 #536576 Reply to:536545

ถ้าเจาะ Password ได้ก็น่าจะได้ Salt ไปด้วยนะครับส่วนวิธีแกะไม่แน่ใจไม่ได้ศึกษา

By: AmidoriA

on 2 February 2013 - 17:46 #536611 Reply to:536576

ผมคิดว่าว่า เจาะอย่างนี้น่าจะได้ไปแต่ข้อมูลใน DB นะครับ ประมาณว่า Query ไปได้ แต่พวก Salt น่าจะอยู่ในตัวของโค้ดมากกว่านะครับ ไม่งั้นก็ไม่ควรเข้ารหัสแล้วดีกว่าครับ :P

By: foizy

on 3 February 2013 - 22:27 #536912 Reply to:536611

Salt/Pepper มีประโยชน์หลักๆ แค่ทำให้ไม่สามารถ Rainbow Table มาใช้ช่วยในการถอดรหัสได้ เพราะปัจจุบันนี้ Rainbow Table นี่ในใต้ดิน อาจจะใหญ่ไปถึงระดับ 10 หลักไปแล้ว ... Salt จะเก็บใน DB แบบไม่เข้ารหัสซะส่วนมาก เพราะเป็นสตริงที่แค่เอาไปแปะกับรหัสผ่านก่อน Hash .. ส่วน Pepper ก็คง Hardcoded ไว้ซักที่

ถ้าตั้ง Password ที่รวมกับ Salt/Pepper แล้วสั้นกว่าค่าที่ใน Rainbow Table มี ก็น่าจะโดนแกะได้ในพริบดา

ข้อสมมติก็คือ
1. Salt ยาวพอ --> แก้ปัญหา Rainbow Table
2. แต่เนื่องจากคงได้ Salt ไปอยู่แล้ว ก็ยังสามารถทำ Brute Force ได้ ... ถ้ารหัสผ่านสั้นๆ แป๊ปเดียวก็ออกแล้วมั๊งครับ

By: lancaster

on 3 February 2013 - 02:45 #536723 Reply to:536545

มันยากขึ้น(เยอะ) แต่ก็มีโอกาสแกะได้ไงครับ

ไม่มีคำว่าเป็นไปไม่ได้ในวงการนี้

By: gosol

on 2 February 2013 - 12:26 #536546

ใครๆก็โทษจาว่า

By: menu_dot on 2 February 2013 - 14:28 #536571

ผมก็โดนไป สอง ID ต้องเปลื่ยน password เลย

By: Go-Kung

on 2 February 2013 - 15:40 #536583

หลังโดน Oracle ซื้อไปนี่ Java มีข่าวแนวๆนี้บ่อยนะ

By: pakoros

on 2 February 2013 - 15:51 #536586

แชร์ใน Face แล้วดันไปขึ้นอีกข่าวครับ ???

By: khajochi

on 2 February 2013 - 16:26 #536595

ดูเหมือนคนจะโทษ Java แฮะ แต่ผมว่ากรณีแฮ็ค Twitter ควรจะโทษทTwitter มากกว่านะ

แฟนพันธุ์แท้สตีฟจ็อบส์ | MacThai.com

By: HOCKER

on 2 February 2013 - 18:12 #536613 Reply to:536595

ผมว่าตบมือข้างเดียวไม่ดังนะครับ ทุกๆ อย่างน่าจะมีส่วนคิดเป็นร้อยละอาจจะไม่เท่ากันแต่ก็รวมกันได้ผลเช่นนี้...

By: Virusfowl

on 2 February 2013 - 16:36 #536597

และล่าสุดเมื่อวันพฤหัสบิดีที่ผ่านมาก็ได้สั่ง << พฤหัสบดี สระอิเกินมาครับ

สรุปทุกคนควรเปลี่ยนพาสใช่ไหมเนี่ย ยิ่งมีหลายบัญชีอยู่ จำพาสกันมึนเลย T_T

@ Virusfowl

I'm not a dev. not yet a user.

By: super_lw

on 2 February 2013 - 16:45 #536601

เราจะโดนมั้ยนะ กลัวคนอื่นเอาทวีตในแท็ก #sexplus ไปเปิดเผยจัง :P

Educational Technician

By: kingrpg

on 2 February 2013 - 16:47 #536602

ซวยแล้วเรา -*-

By: TheOne

on 2 February 2013 - 16:59 #536606

เครื่องพนักงาน Twitter ติดตั้ง Java Web Plug-in อย่างนั้นเองสินะ

By: Priesdelly

on 3 February 2013 - 01:43 #536714

เปลี่ยนอีกแล้วสินะ

By: zhocker

on 3 February 2013 - 04:03 #536737

จาวาเฟลส์ เอ้ย!! นั้นมันจาวาเร็วส์ :P

Main menu