O2 ทำภาพ MMS ของลูกค้าหลุดสู่เว็บนับร้อยภาพ

By: lew

on 19/07/08 15:36 Tags:

ข่าวภาพหลุด คลิปหลุดนี่ใช่ว่าจะมีเฉพาะในบ้านเราเสมอไป เมื่อ O2 ผู้ให้บริการโทรศัพท์มือถือรายใหญ่ในอังกฤษเปิดบริการส่ง MMS ผ่านเว็บโดยไม่ได้ตรวจสอบอย่างละเอียดพอ ส่งผลให้ข้อมูลรูปภาพ MMS ของลูกค้าที่ใช้บริการดังกล่าวหลุดเข้าสู่เว็บและสามารถค้นหาจากกูเกิลได้โดยง่าย

รูโหว่นี้เกิดขึ้นเมื่อผู้ใช้ส่งภาพ MMS ล้มเหลว เช่นส่งหมายเลขปลายทางไปผิดเบอร์ ทาง O2 จะอีเมลกลับมาพร้อมกับ URL ของภาพที่ส่งไป โดยไม่มีการตรวจสอบผู้ใช้แต่อย่างใด แม้ว่าโดยปรกติแล้วการส่ง URL ลับเช่นนี้จะสามารถทำได้ และเสิร์ชเอจินต์ทั้งหลายจะไม่สามารถวิ่งเข้าไปยังหน้าเว็บเหล่านี้ได้ เนื่องจากไม่มีจุดเริ่มต้นที่ลิงก์ไปยังภาพเหล่านี้ แต่ด้วยเหตุผลบางอย่างก็มีภาพจำนวนมากหลุดเข้าไปอยู่ในกูเกิลกันแล้ว

สำหรับบ้านเรา กระทรวงไอซีทีถ้าได้ทำงานอื่นนอกจากบล็อคเว็บกับเข็น 3G แล้ว ควรหาทางให้ราชการเลิกเอาข้อมูลส่วนตัวของประชาชนขึ้นเว็บเป็น Excel ทั้งกระบุงกันโดยเร็วครับ

ที่มา - MailChannels

2960 reads

Comments

By: tekkasit

on 19/07/08 16:13 #59160 toggle

พิสูจน์แล้วครับ ง่ายมาก คุณลองพิมพ์เลขบัตรประจำตัวประชาชนของคุณลงไปดูสิ X-XXXX-XXXXX เป็นแบบนี้ก็พอ ไม่ต้องทั้งหมดหรอก นี่ผมก็สามารถหาข้อมูลประชาชนไทย โดยหาจากรหัสบัตรประจำตัวประชาชนได้ผ่านทาง Google

โอ นี่มันบ้าอะไรกันนี่ ข้อมูลพวกนี้กลายเป็นข้อมูลสาธารณะรึเนี่ย

By: meddlesome

on 19/07/08 16:18 #59165 Reply to:59160 toggle

ของผมไม่เห็นมีเลยครับ

meddlesome.tech.blog

By: pawinpawin

on 19/07/08 16:22 #59166 Reply to:59165 toggle

ของผมก็ไม่มีนะครับ ไม่ว่าจะมีขีด หรือไม่มีขีด ก็ไม่พบอยู่ดี

pawinpawin | clinicalepi.com

By: kohsija

on 19/07/08 16:33 #59167 Reply to:59160 toggle

ผมลองของผมก็ไม่เจอนะครับ ของคุณรั่วคนเดียวหรือเปล่า

Kohsija

@kohsija

By: fatro

on 19/07/08 16:53 #59169 Reply to:59160 toggle

ยืนยันว่ารั่วจริงครับ แบบตั้งใจด้วย ของผมมาจากกระทรวงต่างประเทศ เป็นทั้ง PDF และ html รายชื่อผู้ขอใช้สิทธินอกราชอณาจักร มันเป็นข้อมูลสาธารณะแล้วจริงๆ

แถมยังอำนวยความสะดวก

เพื่อความสะดวกในการพิมพ์โปรด click ขวาที่ชื่อไฟล์ - Save Target As... Open File ที่ Save ไว้ เลือกเมนู File-> Page Setup เลือกชนิดกระดาษ Orientation - Landscape และ Margins 0.826 ทั้ง 4 ด้าน ปรับขนาดอักษรเป็นขนาดกลาง View->Text Size -> Medium - OK - แล้วสั่ง Print

-*-

By: tekkasit

on 19/07/08 21:02 #59200 Reply to:59160 toggle

คือต้องอธิบายครับ ผมไม่ได้หมายความว่า ข้อมูลรหัสประจำตัวผมทั้ง 13 หลักปรากฎบน Google

แต่ผมหมายถึงว่า ข้อมูลหมายเลขบัตรฯของคนไทยบางส่วน (ที่ไม่ใช่ผม) สามารถหาได้ทาง Google ด้วยการพิมพ์รหัสประจำตัวฯของตัวเอง 10 หลักในรูปแบบข้างต้น ดังตัวอย่าง ครับ

By: kohsija

on 21/07/08 13:52 #59285 Reply to:59200 toggle

หาได้บางคนจริงๆด้วยครับ

Kohsija

@kohsija

By: ABZee

on 20/07/08 2:06 #59218 Reply to:59160 toggle

แต่ผมสงสัยว่า หมายเลขประจำตัวประชาชนมันถือเป็นข้อมูลส่วนตัวหรือเปล่า ชื่อและนามสกุลก็เช่นกัน อย่างที่ตรวจดูจาก google ผมพบว่าหมายเลขประจำตัวประชาชนนั้นมันเช่ื่อมไปยังเอกสารราชการบางชนิด ทำให้รู้ชื่อและนามสกุลของเจ้าของหมายเลขได้

กรณีที่หมายเลขและชื่อนามสกุลนั้นโยงเข้าหากันได้แบบนี้ผมเห็นว่ามันไม่เป็นข้อมูลส่วนตัวซะทีเดียวนะครับ เป็นแค่ข้อมูลระบุเฉยๆว่าคนคนนี้คือใคร แต่ไม่ได้มีข้อมูลส่วนตัวเช่นหมายเลขโทรศัพท์หรือที่อยู่ออกมา ส่วนทางการเองก็ต้องการแสดงข้อมูลให้ประชาชนตรวจสอบด้วยอีกต่อหนึ่ง

PoomK

LongSpine.com

By: tekkasit

on 21/07/08 17:22 #59309 Reply to:59218 toggle

ข้อมูลเลขบัตรประจำตัวประชาน, วันเดือนปีเกิด, ที่อยู่ ข้อมูลพวกนี้สามารถใช้บ่งบอกตัวตนคุณได้ เขาอาจลักลอบนำข้อมูลพวกนี้ไปใช้ประโยชน์ได้นะครับ

โดยหลักความปลอดภัยแล้ว ควรจะส่งข้อมูลให้ถึงบุคคลอื่นๆใ้ห้น้อยที่สุดเท่าที่จำเป็นนะครับ ไม่ใช่แพร่กันง่ายๆอย่างนี้ โดยเสมือนปราศจากความพยายามในการป้องกันข้อมูลจำพวกนี้ไม่ให้ถึงบุคคลที่ไม่เกี่ยวข้อง

By: lancaster

on 19/07/08 16:12 #59161 toggle

ย่อหน้าสุดท้ายนี่ ผมว่าควรเริ่มจากใน ม.เกษตร ก่อนเลย

กะอีแค่ robots.txt นี่มันยากนักหนารึไง

Sent from my computer

By: mokin

on 19/07/08 17:04 #59171 toggle

เห็นด้วยกับประโยคท้ายอย่างมากเลยครับ

อย่าท้อแท้ที่จะเรียนรู้ และจงเป็นครูสอนผู้อื่นต่อ

<@mOkin>Every thing that has a beginning has an end.<mOkin/>

By: doktup

on 19/07/08 20:12 #59199 Reply to:59171 toggle

เห็นด้วยอีกแรงคับ เหอ ๆๆ คิดได้งัย

//ควรหาทางให้ราชการเลิกเข้าข้อมูลส่วนตัวของประชาชนขึ้นเว็บเป็น Excel ทั้งกระบุงกันโดยเร็วครับ

คิดถึงสุรินทร์ นึกถึง http://surin108.com

By: HyBRiD

on 19/07/08 19:51 #59192 toggle

หึๆๆ ผมหาเบอร์โทรนิสิตทั้งภาควิชาได้แล้วกัน

NERD GOD

hybridplex

By: Bongbank

on 19/07/08 19:55 #59196 toggle

ใครเอาชื่อ-สกุล ผม (หรืออีเมล์ผม) ไปเซิดใน google เนี้ย เจอทั้งเลขบัตรประชาชน บัญชีธนาคาร รูปถ่าย เบอร์โทรศัพท์เลย นะ - -" เคยแกล้งให้น้องรหัสมันหาข้อมูลพี่รหัสอย่างผมไง มันหาได้อย่างง่านเลยล่ะจาก google นี่ล่ะ ที่จริง การทำเว็บเด๋วนี้ ต้องทำให้ฉลาดของ google หน่อย ไม่งั้นตัว spider มันตามจับไว้ซะเต็มเลย ยิ่ง cache ของ google เนี้ย ถึงเว็บไหนจะลบไปแล้ว แต่ cache ก็ใหญ่พอที่จะดูอะไรได้พอสมควรเลยล่ะ

By: scalopus

on 20/07/08 4:20 #59223 toggle

เรื่องเทคนิคการ Search ไม่ได้ดุแค่ link จากเว็บไซต์อื่นเพียงอย่างเดียวครับ มี Reference ก็ใช้ได้เหมือนกัน อย่างเช่น เข้าไปที่หน้าหนึ่ง แล้วไปยังอีกหน้าหนึ่งต่อ หน้าหลังจะมี Reference เก็บมาจากหน้าแรก รวมถึงเทคนิคอื่นๆด้วย เช่นการเก็บ index เป็น list รายชื่อไฟล์ทั้งหมดใน directory ถึงได้มี robot.txt ขึ้นมาให้ระบุเป็นมารยาทว่า crawler เข้าไปค้นที่ไหนได้บ้าง

ข้อมูลของไทยรั่วมานานแล้ว และรั่วเยอะมากด้วย แต่มันก็ไม่ใช่แค่ไทยหรอก มันก็รั่วกันหมดนั่นแหละ เพราะ Privacy ที่คน upload ข้อมูลขึ้นเว็บ ไม่ได้เห็นความสำคัญ หรือไม่ได้คิดจะถามผู้ใช้ก่อน.

JOMYUT.NET

By: ipats

on 20/07/08 4:55 #59225 toggle

อยากรู้ว่าเหตุผลบางอย่างคืออะไรจัง

ปัจจุบัน เว็บหลายเว็บ กระทั่งเว็บรูปภาพโดยตรงอย่าง flickr ก็ใช้วิธี url ลับ กับภาพ private (ถ้าจำไม่ผิดการเซ็ต public/private แค่บอกว่าไม่ต้องเอาไปโชว์ใน photo stream กับผล search นะ ถ้ารู้ url ใครๆ ก็ดูได้)

หรือแม้จะเป็น gmail feed, calendar api ฯลฯ พวกนี้ก็ใช้ url ที่เจ้าของ (น่าจะ) รู้คนเดียว เลยอยากรู้ว่า O2 ทำให้มันหลุดไปได้ยังไง หรือ search engine ฉลาดเกิน ถ้าอย่างงั้น วิธีสร้าง url ลับๆ แบบนี้ จะยังปลอดภัยไหม?

---------- iPAtS

iPAtS

By: lancaster

on 20/07/08 11:55 #59234 Reply to:59225 toggle

ผมว่าอย่างน้อยถ้าใส่ meta noindex nofollow น่าจะช่วยได้พอสมควรนะ

Sent from my computer