on
เพจ ExploitWareLabs รายงานถึงฐานข้อมูล Firebase จากบัญชี thaipost2-8a5f4 เป็นข้อมูล json ขนาดใหญ่ มีข้อมูลผู้ใช้นับพันราย
ข้อมูลมีชื่อ-นามสกุล, ค่าแฮชรหัสผ่าน, หมายเลขโทรศัพท์, วันเกิด, ชื่อผู้ใช้ (หลายบัญชีดูเหมือนเป็นเลขบัตรประชาชน จากชุดข้อมูลความเป็นไปได้คือระบบนี้เป็นแอปพลิเคชั่นภายในของทางไปรษณีย์ไทยเอง และอาจจะคอนฟิกสิทธิเข้าถึงฐานข้อมูลผิดพลาดจนทำให้กลายเป็นการเปิดต่อสาธารณะ
ทางเพจ ExploitWareLabs ระบุว่าผู้พบฐานข้อมูลคือ Hoang Ang Thai
ที่มา - ExploitWareLabs
ภาพโดย madartzgraphics
ต้องลุ้นว่าฐานข้อมูลอะไร
Fourpoint Thu, 04/02/2021 - 21:27
ต้องลุ้นว่าฐานข้อมูลอะไร
ถ้าเป็นของลูกค้า น่าสงสัยก็ app track&trace ที่สมัครด้วย ชื่อ เบอร์โทร แต่ไม่มีวันเกิด?
ที่น่ากลัวคือมีwallet@post ที่ข้อมูลอื่นๆครบกว่า มีชื่อ เบอร์โทร วันเกิด รวมไปถึงข้อมูลเลขบัตรประชาชน และเลขlaser ด้านหลังบัตร และตั้งpin หกหลักในการเข้าด้วย และมีเรื่องเงินๆทองๆด้วยน่ะซี ต้องโอนเงินเข้าwallet เพราะผมใช้จ่ายศุลกากรเวลาเจอภาษีนำเข้าผ่านemsประจำ (ที่ขอเลขบัตรประชาชนรวมถึงหลังบัตร คงเพราะไปโยงกับระบบกรมศุลฯ ?)
ถ้าเป็นของ wallet@post
blackdemon Thu, 04/02/2021 - 23:41
In reply to ต้องลุ้นว่าฐานข้อมูลอะไร by Fourpoint
ถ้าเป็นของ wallet@post สถานการณ์น่าจะเลวร้ายกว่านั้น เพราะ 2c2p เค้าเป็นคนทำให้ไปรษณีย์
แต่คิดว่าไม่ใช่หรอกน่าจะมาจากสาระพัดแอพ & เว็บที่มีอยู่ในมือของไปรณีย์เป็นร้อยๆโปรเจกมากกว่า
น่าจะเป็น db ของ elearning
R i Z z Thu, 04/02/2021 - 23:56
In reply to ต้องลุ้นว่าฐานข้อมูลอะไร by Fourpoint
น่าจะเป็น db ของ elearning ของตัวองก์กรคับ
มีแต่ข้อมูล พนง และเป็นข้อมูลก่อนปรับโครงสร้างองก์กร
ชื่อหน่วยงานเป็นของของเก่า
เห็นข่าวล่าสุดคงเป็นของภายในจ
Fourpoint Fri, 05/02/2021 - 09:34
In reply to น่าจะเป็น db ของ elearning by R i Z z
เห็นข่าวล่าสุดคงเป็นของภายในจริงๆ
ที่ทัก เพราะเห็นชื่อfieldข้อมูลตรงกับที่เก็บจากแอพพอดี ในฐานะเป็นผู้ใช้ก็จะหวั่นๆหน่อย
hash password เป็น MD5 ไม่ใส่
geumatee Fri, 05/02/2021 - 00:30
hash password เป็น MD5 ไม่ใส่ salt ถอดออกมาเป็นค่าเดียวกับวันเกิด กับมีบาง node ที่ดูแล้วเข้าใจได้ว่าโดนคนลอง write ข้อมูลลงไปได้ด้วย
... ชื่อผู้ใช้
sian Fri, 05/02/2021 - 09:11
ชื่อผู้ใช้ (หลายบัญชีดูเหมือนเป็นเลขบัตรประชาชน)
ตอนนี้ทางไปรษณีย์ไทยออกมาชี้แจงแล้วครับ
บอกว่าข้อมูลเก่า
tontan Fri, 05/02/2021 - 13:02
In reply to ... ชื่อผู้ใช้ by sian
บอกว่าข้อมูลเก่า แต่มันมีข้อมูลส่วนบุคคลด้วยนะครับ ทั้งเบอร์โทร ชื่อ วันเดือนปีเกิด จะมีมาตราการเยียวยาอะไรไหม หรือปล่อยเรื่องเงียบไปอีก ถ้าพรบ.คุ้มครองข้อมูลส่วนบุคคล บังคับคงมีการฟ้องร้องเกิดขึ้น