พบแฮกเกอร์นำข้อมูลผู้ใช้ Eatigo, Wongnai ไปขายในตลาดใต้ดิน ทั้งสองบริษัทแจ้งเตือนผู้ใช้แล้ว

By lew Founder on Tag: Thailand, Data Breach, Wongnai, Eatigo
Thailand

ช่วงสัปดาห์ที่ผ่านมามีรายงานฐานข้อมูลของ RedMart บริษัทลูกของ Lazada หลุดออกสู่ตลาดใต้ดิน ในรายการเดียวกันปรากฎว่ามีข้อมูลของบริษัทในไทยคือ Eatigo และ Wongnai อยู่ด้วย ล่าสุดทั้งสองบริษัทออกมายืนยันว่าข้อมูลหลุดออกไปจริง และแจ้งผู้ใช้แล้ว

หน้าเว็บตลาดใต้ดินแสดงให้เห็นว่าข้อมูลของ Eatigo มีอีเมล, ค่าแฮชรหัสผ่าน, ชื่อ, หมายเลขโทรศัพท์, เพศ, โทเค็นเฟซบุ๊ก

ขณะที่ข้อมูลของทาง Wongnai มี อีเมล, ค่าแฮชรหัสผ่าน, หมายเลขไอพีที่ใช้ลงทะเบียน, หมายเลขไอดีผู้ใช้เฟซบุ๊กและทวิตเตอร์, วันเกิด, หมายเลขโทรศัพท์, และรหัสไปรษณีย์ โดยทั้งสองบริษัทยืนยันว่าไม่มีข้อมูลบัตรเครดิตหลุดออกไปกับเหตุการณ์ครั้งนี้

ทั้งสองบริษัทส่งอีเมลแจ้งผู้ใช้เพื่อรีเซ็ตรหัสผ่าน และแจ้งเตือนผู้ใช้แล้ว

ข้อมูลเปิดเผย: วงในเป็นบริษัทแม่ของบริษัท บล็อกนัน จำกัด ผู้ดำเนินการเว็บไซต์ Blognone.com

ที่มา - Channel News Asia, Strait Times, Wongnai

Hiring! บริษัทที่น่าสนใจ

Carmen Software company cover
Carmen Software
Hotel Financial Solutions
 Next Innovation (Thailand) Co., Ltd. company cover
Next Innovation (Thailand) Co., Ltd.
We are web design with consulting & engineering services driven the future stronger and flexibility.
 KKP Dime company cover
KKP Dime
KKP Dime บริษัทในเครือเกียรตินาคินภัทร
 Kiatnakin Phatra Financial Group company cover
Kiatnakin Phatra Financial Group
Financial Service
 Fastwork Technologies company cover
Fastwork Technologies
Fastwork.co เว็บไซต์ที่รวบรวม ฟรีแลนซ์ มืออาชีพจากหลากหลายสายงานไว้ในที่เดียวกัน
 Thoughtworks Thailand company cover
Thoughtworks Thailand
Thoughtworks เป็นบริษัทที่ปรึกษาด้านเทคโนโยลีระดับโลกที่คว้า Great Place to Work 3 ปีซ้อน
 Iron Software company cover
Iron Software
Iron Software is an American company providing a suite of .NET libraries by engineer for engineers.
 CLEVERSE company cover
CLEVERSE
Cleverse is a Venture Builder. Our team builds several tech companies.
 Nipa Cloud company cover
Nipa Cloud
#1 OpenStack cloud provider in Thailand with our own data center and software platform.
 Bangmod Enterprise company cover
Bangmod Enterprise
The leader in Cloud Server and Hosting in Thailand.
 CIMB THAI Bank company cover
CIMB THAI Bank
MOVING FORWARD WITH YOU - CIMB is the leading ASEAN Bank
 Bangkok Bank company cover
Bangkok Bank
Bangkok Bank is one of Southeast Asia's largest regional banks, a market leader in business banking
 MuvMi (Urban Mobility Tech Co.,Ltd.) company cover
MuvMi (Urban Mobility Tech Co.,Ltd.)
Shape the future of urban mobility towards affordable, clean, and safe solutions
 T.N. Digital Solution Co., Ltd. company cover
T.N. Digital Solution Co., Ltd.
TNDS has been involving in every first move of banking’s major digital transformation.
 KBTG - KASIKORN Business-Technology Group company cover
KBTG - KASIKORN Business-Technology Group
KBTG - "The Technology Company for Digital Business Innovation"
 Siam Commercial Bank Public Company Limited company cover
Siam Commercial Bank Public Company Limited
"Let's start a brighter career future together"
 Icon Framework co.,Ltd. company cover
Icon Framework co.,Ltd.
Global Standard Platform for Real Estate แพลตฟอร์มสำหรับธุรกิจอสังหาริมทรัพย์ครบวงจร มาตรฐานระดับโลก
 REFINITIV company cover
REFINITIV
The Financial and Risk business of Thomson Reuters is now Refinitiv
 H LAB company cover
H LAB
Re-engineering healthcare systems through intelligent platforms and system design.
 The Gang Technology Co., Ltd. company cover
The Gang Technology Co., Ltd.
We're a Digital Agency that helps our customers transform their business into digital with ease.
 LTMH company cover
LTMH
LTMH มุ่งเน้นการพัฒนาผลิตภัณฑ์ที่สามารถช่วยพันธมิตรของเราให้บรรลุเป้าหมาย
 Seven Peaks company cover
Seven Peaks
We Drive Digital Transformation
 Wisesight (Thailand) Co., Ltd. company cover
Wisesight (Thailand) Co., Ltd.
The Best Choice For Handling Social Media · High Expertise in Social Data · Most Advanced and Secure
 MOLOG Tech company cover
MOLOG Tech
We are Modern Logistic Platform, Specialize in WMS, OMS and TMS.
 Data Wow Co.,Ltd company cover
Data Wow Co.,Ltd
We enable our clients to realize increased productivity by solving their most complex issues by Data
 LINE Company Thailand company cover
LINE Company Thailand
LINE, the world's hottest mobile messaging platform, offers free text and voice messaging + Call
 LINE MAN Wongnai company cover
LINE MAN Wongnai
Join our journey to becoming No.1 food platform in Thailand

zyzzyva Sun, 01/11/2020 - 09:44

ไม่เข้าใจคำว่าค่าแฮชรหัสผ่าน สรุปมันก็คือรหัสผ่านเข้ารหัสที่รอวันถูกถอดรหัสหรือไม่ ซึ่งอาจจะเป็นไปได้ว่ามันถูกถอดแล้ว หรืออาจจะอีกหลายปีข้างหน้าหรือไม่

Update: อ่านข่าวอื่นเพิ่มเพิ่งเห็นว่าเป็นฐานข้อมูลเมื่อ 18 เดือนที่แล้วที่ถูกเจาะ ผมซึ่งเพิ่งสร้างไอดีไม่ถึง 18 เดือนเลยไม่จำเป็นต้องเปลี่ยนรหัสผ่าน (แต่ก็ไม่รู้ส่งอีเมลมาทำไม)

tekkasit Sun, 01/11/2020 - 09:51

สั้นๆ แฮชรหัสผ่าน ไม่ใช่ตัวรหัสผ่านเองครับ ปกติจะไม่มีทางถอดกลับมาเป็นรหัสผ่านดั้งเดิมได้ครับ

แต่กระนั้นก็ตาม ในแง่ด้านความปลอดภัยไม่ควรไว้วางใจในระบบงานใด ไม่ควรจะใช้รหัสผ่านซ้ำกันครับ คือต่อให้หลุดไปก็เอาไปใช้งานที่อื่นๆไม่ได้ เช่น Facebook, Blognone, Wongnai, Google, ฯลฯ เพราะเราไม่เคยใช้ซ้ำกับบริการอื่นๆ

โดยเฉพาะอย่างยิ่ง email หลัก หรือบริการที่อนุญาต ควรต้องทำ Multi-Factor Authentication เพิ่มขึ้นด้วยครับ

ZiiT Sun, 01/11/2020 - 18:16

ผมเห็นแค่ของ Eatigo ว่าเป็นข้อมูลเก่า .. ส่วนฝั่ง Wongnai ไม่มีบอกข้อมูลส่วนนี้เลย

An Eatigo spokesman told ST that the information was from an old database that was last updated in 2018 and is no longer in use.

ZiiT Sun, 01/11/2020 - 18:31

ถ้าข้อมูลจากข่าวนี้ถูกต้องว่ารหัส Hash ด้วย MD5 คิดว่าไม่ต้องรออีกหลายปีครับ

https://www.bleepingcomputer.com/news/security/hacker-is-selling-34-million-user-records-stolen-from-17-companies/

zyzzyva Sun, 01/11/2020 - 18:58

จริงๆไม่รู้ว่า md5 คืออะไร แต่หลังจากไปหาอ่านมาว่าถูกใช้ในการเข้ารหัสรหัสผ่านอย่างแพร่หลายแม้ว่าจะมีผู้เชี่ยวชาญออกมาเตือนตั้งแต่สิบปีที่แล้วว่ามันไม่ปลอดภัย ผมรู้สึกเสียใจครับ

Configuleto Tue, 03/11/2020 - 12:13

สรุปมันก็คือรหัสผ่านเข้ารหัสที่รอวันถูกถอดรหัสหรือไม่

hash ถอดย้อนกลับไม่ได้ครับ มองง่ายๆ hashed password คือ ชุดข้อมูลไว้ตรวจสอบ(validate) เมื่อเราเดารหัสมั่วๆ มันจะมีตรงกันบ้างไหม

(อธิบายแบบ oversimplified) วิธีง่ายสุดที่ใช้แพร่หลายคือการ brute force ต้องใช้พลังประมวลผลสูง, สุ่ม string มาซักอันเอาไปเข้า hash function เดียวกัน จากนั้นเอาค่า hashed ที่ได้มาเทียบ collision ว่ามีตรงกันไหมกับฐานข้อมูลที่หลุดออกมา ถ้าตรงก็แสดงว่า string นั้นคือค่าตั้งต้นของ hashed นั้นๆ ... แต่ก็ไม่ได้หมายความว่า string จะเป็น password เสมอไป

ปกติในระบบออกแบบไว้ดี เวลา hash password ต้องใส่ salt (คำลับ) ไปผสมเสมอ เหตุเพื่อถ้า hashed password หลุดแต่ salt ไม่หลุดโอกาศโดนเทียบแล้วย้อนเป็นรหัสผ่านจริงๆได้ก็น้อยลง แต่ก็ไม่แน่เสมอไป บางที salt หลุดด้วยก็จบเลย

ซึ่งอาจจะเป็นไปได้ว่ามันถูกถอดแล้ว หรืออาจจะอีกหลายปีข้างหน้าหรือไม่

ขึ้นอยู่กับ algorithm ที่ใช้ด้วยครับ ถ้าเก่าๆอย่าง md5 ประสิทธิภาพเครื่องในปัจจุบัน เช่า multi cpu บน cloud ช่วยประมวลก็ใช้เวลาไม่นานแล้ว หลักเดือนหรือไม่ถึงสิบปี (md5 มีคำแนะนำให้เลิกใช้มาตั้งแต่ 12+ ปีที่แล้ว)

แต่ค่าที่ถูกถอดออกมาจะใช้รหัสตั้งต้นจริงๆไหมก็ไม่เสมอไป อยู่ที่ระบบออกแบบดีแค่ไหน ปกติเหตุการณ์แบบนี้เกิดขึ้นให้เปลื่ยนรหัสเสมอครับ เพราะไม่รู้ว่าคนมีข้อมูลทำอะไรไปถึงไหนแล้ว

xyz123 Sun, 01/11/2020 - 09:49

เอาจริง ๆ ในยุคนี้ผมเริ่มไม่มั่นใจว่า "ข้อมูลบัตรเครดิต" กับ "ค่าแฮชรหัสผ่าน" ถ้ามันหลุด อันไหนมันร้ายแรงกว่ากัน

tekkasit Sun, 01/11/2020 - 09:58

โดยทั่วไป ข้อมูลบัตรเดรดิตรั่ว ถ้ารั่วแบบครบ 16 หลัก อาจโดนแอบอ้างเอาไปใช้งานซื้อสินค้าออนไลน์ได้ ซึ่งแย่แน่นอน

ส่วนเรื่อง ค่าแฮชรหัสผ่านหลุด ขึ้นกับความสำคัญของระบบที่หลุด เพราะมันมีความเสี่ยงที่คนร้ายยังมีโอกาศที่จะสวมบัญชีได้ และถ้าระบบสำคัญมากๆ เกี่ยวกับเงินๆทองๆ ก็อาจจะร้ายแรงกว่าก็เป็นได้

xyz123 Sun, 01/11/2020 - 11:25

ข้อมูลบัตรเครดิตที่ส่วนใหญ่ไม่ว่าเราจะเก่งเรื่อง security หรือไม่ก็หลุดแค่หลัก ๆ ก็ใบเดียว(หรือหลาย ๆ ใบก็ไม่น่าเกิน 3 ใบ) ต้องเสียเวลากับธนาคารหลัก ๆ แค่เจ้าเดียว (หรือ 3 เจ้า) dispute ก็รอเวลาหน่อย แต่ส่วนใหญ่ก็น่าจะได้ถ้าเรามีหลักฐานพอ

กับ

แฮชรหัสผ่านที่เราอาจจะเก่งเรื่อง security หน่อย ต้องปกป้องเองเป็นหลักก่อน ใช้รหัสผ่านไม่ซ้ำกันเลย ก็ซวยหน่อย เปลี่ยนรหัสผ่านใหม่ แต่ถ้าไม่เก่ง security ยังใช้ซ้ำบ้าง ก็ต้องลุ้นว่า แฮช นั้นจะแข็งแรง หรือ อ่อนแอ ถ้า dehash กลับมาได้ไวก็โดนใช้กับเว็บอื่น โดนเปลี่ยน password และ/หรือ หาข้อมูลของบัญชีนี้ได้ต่ออีก

อันนี้คือที่ผมกำลังคิดอยู่ แต่ไม่มั่นใจจริง ๆ ว่าคิดเกินความเป็นไปได้ไหม

moonoiz Sun, 01/11/2020 - 12:06

ปกติแล้วเว็บไซต์ทั่วๆไป เก็บหมายเลขบัตรเครดิตไว้เองได้เหรอครับ
ผมนึกว่าเก็บไว้แค่ไม่เกิน 4 หลัก คู่กับ Token แต่หมายเลขบัตรเครดิตฉบับเต็มอยู่บน Payment Gateway ที่ได้ PCI DCC
แล้วเว็บไซต์ทำหน้าที่ส่ง Token ไปขอตัดยอดเงิน

s4535065 Sun, 01/11/2020 - 10:16

ไม่รู้ว่าจะมีคนของ Wongnai มาอ่านมั้ย
แต่อยากให้ไปรีวิวกระบวนการReset Passwordนะครับ กดตามLinkไปเจอหน้าแรกก็ขอข้อมูลPDPAแบบไม่มีช่องให้กรอกเพื่อไม่อนุญาติอย่างชัดเจน ต้องกดปุ่มดูรายละเอียดถึงจะมีให้เลือก หนักกว่านั้นคือพอResetไปแล้วก็ต้องมายอมรับเงื่อนไข"สิทธิในการเปิดเผยข้อมูลแก่บุคคลที่สาม"อีก
สรุปแล้วกระบวนการนี้เป็นการReset Passwordเพื่อความปลอดภัยของผู้ใช้บริการหรือเป็นการขอเก็บConcent PDPAครับ?

Iamz Mon, 02/11/2020 - 14:37

Salt ไม่ใช่ความลับครับ มีหน้าที่แค่ทำให้ password เดียวกัน hash ออกมาแล้วเป็นคนละค่ากัน ถ้าดูจากค่า hash แล้วจะบอกไม่ได้ว่าใครใช้ password เดียวกันรึเปล่า ถ้าแกะของคนนึงได้ก็ไม่รู้ว่าเอาไปใช้กับคนไหนได้บ้าง

Remma Sun, 01/11/2020 - 13:10

ไม่รู้เกี่ยวกันมั้ย แต่ Instagram ผมโดน login ไปสามครั้งติดๆกันเมื่อตอนตีสาม ยิ่งไม่ค่อยได้ใช้เลยจำไม่ได้ว่าตั้งรหัสผ่านซ้ำกับ wongnai ไปรึเปล่า พออ่านข่าวนี้แล้วเข้าไปเช็คเมลล์เจอ

แต่กลับไม่มี mail จาก wongnai แฮะ

mbaextra Sun, 01/11/2020 - 13:49

คือเรียกว่าได้ข้อมูลส่วนตัวไปหมดเลย!! ถ้าในเว็บมีให้กรอกเลขบัตรปชช.ก็คงโดนไปด้วยอะ เวงกำ พนักงานก็เยอะนิน่าบ.นี้??

แล้วไงต่อครับเนี่ย?? แจ้งให้ทราบถือว่าจบเรื่องแค่นี้นะอะเหรอ??

sale99baht Sun, 01/11/2020 - 15:41

สารภาพมาดีๆ สงสัยเมื่อคืนเที่ยวหนัก โดนแก๊งตบทรัพย์จิ๊กกุญแจไปใช่ไหม 555

Azymik Sun, 01/11/2020 - 17:25

A: Wongnai ได้แจ้งเตือนผู้ใช้แล้วครับ
B: แจ้งเตือนทางไหนครับ
A: ทาง blognone!!

แซวๆ นะครับ ขอให้จัดการผ่านไปได้ด้วยดีครับ

zionzz Mon, 02/11/2020 - 08:26

คือถ้าไม่มีเหตุการ์ณนี้ผมก็จำไม่ได้นะว่าเคยสมัครไว้ พาสเวิร์ดก็เป็นพาสเวิร์ดเก่าที่ไม่ได้ใช้นานมากแล้ว ก็กลับมาคิดนะว่า มันมีเวบที่เราสมัครแล้วลืมว่าเคยสมัครอีกกี่เวบล่ะเนี่ย

Be1con Mon, 02/11/2020 - 15:08

ถ้าจำไม่ผิด ถ้ามีหลุดตัว Application Key และ App Secret สามารถ bypass เข้าบัญชีคนอื่นได้ครับ แต่จะจำกัดได้เฉพาะแค่แอปพลิเคชันนั้น ๆ เท่านั้น ซึ่งในข่าวนี้ยังไม่ทราบว่าได้หลุดทั้ง 2 ตัวนี้ด้วยไหม

Be1con Mon, 02/11/2020 - 20:20

ตัว token มัน revoke ไม่ยากครับ ตอนเข้าไปใหม่หลังจากที่ revoke ไปแล้ว token จะเปลี่ยนครับ

ทั้งนี้ ตามหลักแล้ว เว็บต้องแจ้งให้ผู้ใช้ดำเนินการพร้อมบอกวิธีการทำด้วยครับ เพราะไม่ใช่ทุกคนที่รู้เรื่องนี้

Ford AntiTrust Mon, 02/11/2020 - 14:57

token พวกนี้หลุดปรกติจะเข้าถึง account เหล่านี้ได้จำกัดตาม permission ที่เรา allow ไว้ครับ ไม่มากไปกว่าน้น ฉะนั้นเอาไปถึงขนาดปลอมแปลง facebook login ไม่ได้หรอก วิธีที่แก้ไขก็แค่ไป revoke แล้ว grant ใหม่เท่านั้นก็จบ