เด็กออสเตรเลียวัย 17 เป็นคนโจมตี Twitter

By mk Founder on Tag: Security, Twitter, XSS
Security

จากกรณี Twitter โดน Cross-Site Scripting โจมตี รอบล่าสุด ก็มีการเปิดเผยแล้วว่าเป็นผลงานของ Pearce Delphin ชาวออสเตรเลียวัย 17 ปี

Delphin ให้สัมภาษณ์กับ AFP ว่าเขาต้องการทดลองดูว่าสามารถรันโค้ด JavaScript จากข้อความทวีตได้หรือไม่ (ซึ่งผลก็เห็นๆ กันแล้วว่าได้) แต่เขาไม่นึกว่ามันจะสร้างผลสะเทือนมากถึงขนาดนี้ ตอนที่เขาทวีตไม่เคยนึกเรื่องนี้มาก่อนเลย Delphin พัฒนาโค้ดนี้ขึ้นมาจากโค้ดของคนอื่น ที่ใช้สำหรับเปลี่ยนสีของหน้า profile ให้เป็นไปตามต้องการ

หนึ่งในผู้ได้รับผลกระทบจาก "mouseover bug" ในรอบนี้คือ Sarah Brown ภรรยาของอดีตนายกรัฐมนตรีอังกฤษ Gordon Brown

ที่มา - AFP

Hiring! บริษัทที่น่าสนใจ

Carmen Software company cover
Carmen Software
Hotel Financial Solutions
 Next Innovation (Thailand) Co., Ltd. company cover
Next Innovation (Thailand) Co., Ltd.
We are web design with consulting & engineering services driven the future stronger and flexibility.
 KKP Dime company cover
KKP Dime
KKP Dime บริษัทในเครือเกียรตินาคินภัทร
 Kiatnakin Phatra Financial Group company cover
Kiatnakin Phatra Financial Group
Financial Service
 Fastwork Technologies company cover
Fastwork Technologies
Fastwork.co เว็บไซต์ที่รวบรวม ฟรีแลนซ์ มืออาชีพจากหลากหลายสายงานไว้ในที่เดียวกัน
 Thoughtworks Thailand company cover
Thoughtworks Thailand
Thoughtworks เป็นบริษัทที่ปรึกษาด้านเทคโนโยลีระดับโลกที่คว้า Great Place to Work 3 ปีซ้อน
 Iron Software company cover
Iron Software
Iron Software is an American company providing a suite of .NET libraries by engineer for engineers.
 CLEVERSE company cover
CLEVERSE
Cleverse is a Venture Builder. Our team builds several tech companies.
 Nipa Cloud company cover
Nipa Cloud
#1 OpenStack cloud provider in Thailand with our own data center and software platform.
 Bangmod Enterprise company cover
Bangmod Enterprise
The leader in Cloud Server and Hosting in Thailand.
 CIMB THAI Bank company cover
CIMB THAI Bank
MOVING FORWARD WITH YOU - CIMB is the leading ASEAN Bank
 Bangkok Bank company cover
Bangkok Bank
Bangkok Bank is one of Southeast Asia's largest regional banks, a market leader in business banking
 MuvMi (Urban Mobility Tech Co.,Ltd.) company cover
MuvMi (Urban Mobility Tech Co.,Ltd.)
Shape the future of urban mobility towards affordable, clean, and safe solutions
 T.N. Digital Solution Co., Ltd. company cover
T.N. Digital Solution Co., Ltd.
TNDS has been involving in every first move of banking’s major digital transformation.
 KBTG - KASIKORN Business-Technology Group company cover
KBTG - KASIKORN Business-Technology Group
KBTG - "The Technology Company for Digital Business Innovation"
 Siam Commercial Bank Public Company Limited company cover
Siam Commercial Bank Public Company Limited
"Let's start a brighter career future together"
 Icon Framework co.,Ltd. company cover
Icon Framework co.,Ltd.
Global Standard Platform for Real Estate แพลตฟอร์มสำหรับธุรกิจอสังหาริมทรัพย์ครบวงจร มาตรฐานระดับโลก
 REFINITIV company cover
REFINITIV
The Financial and Risk business of Thomson Reuters is now Refinitiv
 H LAB company cover
H LAB
Re-engineering healthcare systems through intelligent platforms and system design.
 The Gang Technology Co., Ltd. company cover
The Gang Technology Co., Ltd.
We're a Digital Agency that helps our customers transform their business into digital with ease.
 LTMH company cover
LTMH
LTMH มุ่งเน้นการพัฒนาผลิตภัณฑ์ที่สามารถช่วยพันธมิตรของเราให้บรรลุเป้าหมาย
 Seven Peaks company cover
Seven Peaks
We Drive Digital Transformation
 Wisesight (Thailand) Co., Ltd. company cover
Wisesight (Thailand) Co., Ltd.
The Best Choice For Handling Social Media · High Expertise in Social Data · Most Advanced and Secure
 MOLOG Tech company cover
MOLOG Tech
We are Modern Logistic Platform, Specialize in WMS, OMS and TMS.
 Data Wow Co.,Ltd company cover
Data Wow Co.,Ltd
We enable our clients to realize increased productivity by solving their most complex issues by Data
 LINE Company Thailand company cover
LINE Company Thailand
LINE, the world's hottest mobile messaging platform, offers free text and voice messaging + Call
 LINE MAN Wongnai company cover
LINE MAN Wongnai
Join our journey to becoming No.1 food platform in Thailand

raindrop Thu, 23/09/2010 - 15:48

พูดถึงร้านเกม เด็กน้อยแถวบ้านผมเล่นเกมจนอึราดก็ยังไม่ยอมลุกเลย เหม็นไปทั่วร้านจนเจ้าของร้านต้องบอกให้ไปล้างก่อน - -

platalay Thu, 23/09/2010 - 16:22

ถ้าผมเป็นเจ้าของร้าน ผมคงไม่ให้เด็กคนนั้นเข้ามาเล่นอีกต่อไปแล้วละ

ตัวของตัวเองยังไม่สามารถดูแลได้ อย่ามาเล่นเกมส์เลยดีกว่า

non Thu, 23/09/2010 - 16:08

ในประเทศเขาแบบที่บอกนี่ไม่มีเลยเหรอครับ ผมกลับเห็นว่า เด็กไทยกลัวที่จะทดลองแล้วผิดพลาด เพราะตอนเด็กอาจฝังใจจากที่ครูบอกนี่มันผิดนะ ประเทศเราเกิดจากรากเหง้าทางวัฒนธรรมหลายๆอย่าง เช่น ผู้ใหญ่เตือนต้องฟัง, มีความเห็นแย้ง=เถียง=ห้าม กลายเป็นตอนเด็กเก็บกด พอโตมาเีถียงกระจาย :P

ระหว่างเด็กที่ติดคอมฯเขียนโปรแกรมได้ กับเด็กที่เรียนหนังสือได้ 3.5+ ในสังคมไทยอันไหนน่ายอมรับกว่า อันนี้ก็คงไปวัดเอาจากค่านิยมสังคม(นั้นๆ)เอาล่ะครับ

jax_mam_kong Fri, 24/09/2010 - 09:37

เห็นด้วยอย่างมาก เคยโดนอาจารย์สอนคณิต สมัยมัธยมด่ามาแล้ว เรื่องถามเซ้าซี้ หาคำตอบ และ ทำข้อสอบออกมากไม่เหมือนที่จารย์แกเฉลย (คำตอบถูกต้องมีที่มาที่ไป)

tk719 Thu, 23/09/2010 - 16:25

ที่เมืองนอกท้องตอนเรียนเยอะแยะครับ ผมว่าควรสอนให้แก้ปัญหา มากกว่ากลัวที่จะสร้างปัญหาครับ . . . ไม่มีปัญหา ก็ไม่เรียนรู้หรอกนะ บางที เหรียญมีสองด้าน

ถ้าจะสอนว่าท้องแล้วไม่ดีอย่างไร ก็ลองให้ท้องดูเลยก็ได้ครับ แบบที่ US นะ (ไม่ได้ให้ท้องจริง ๆ นะ) แต่มีวิชาเรียนต้องให้ลองใส่ชุดน้ำหนักเท่าอุ้มท้อง เอาตุ๊กตาเด็กไปเลี้ยง (มันร้องทั้งวันเลยอ่ะ ต้องให้นมมันถึงจะไม่ร้อง) . . . .จะได้เห็นปัญหาด้วยตัวเอง แล้วตัดสินใจได้เองว่า เอ้อ เราจะท้องดีไหม คิดก่อนทำอะไรนะ . . . ถ้าเค้าคิดว่าท้องก็รับได้ ก็ปล่อยไปเถอะครับ อีกอย่างอย่าไปตัดโอกาสทางการศึกษาเค้าเลย . . .

Thaina Thu, 23/09/2010 - 22:25

การป้องกันเป็นเรื่องยากครับ ไม่ใช่เรื่องง่ายเลย
ไม่ใช่แค่เรื่องนี้หรอกนะครับ การป้องกัน เป็นเรื่องยากเสมอครับ

wichate Thu, 23/09/2010 - 15:02

ไม่ค่อยน่าชื่นชมเท่าไหร่ สำหรับผมคิดว่าเขาใช้ความรู้ไปในทางที่ผิด
น่ายกย่องแล้วหรือสำหรับคนเก่ง ที่ทำให้คนอื่นเดือดร้อน

ขอโทษซักคำก็ไม่มี ส่วนคำพูดที่ว่า " ไม่นึกว่ามันจะสร้างผลสะเทือนมากถึงขนาดนี้ "
ผมถือว่าเป็นการปัดความรับผิดชอบตามภาษาเด็กๆ

pisitman Thu, 23/09/2010 - 15:23

เป็นผมอายุเท่าเขา ก็คงคิดว่าระบบตั้งขนาดนี้ ใครจะไปนึกว่าจะพังเพราะโค๊ตที่ดัดแปลงจากโค๊ตพื้นฐานอย่างนี้ฟะ

vtwifuvjt Thu, 23/09/2010 - 16:25

+1 ครับ

เรากำลังพูดถึง Twitter บริการที่มีสถิติการทวีตสูงสุดต่อวินาที (Tweets-per-second : TPS) ออกมาที่ 3,283 TPS (ณ 25มิ.ย.53) นะครับ
http://www.blognone.com/news/16994

dafty Thu, 23/09/2010 - 16:23

ผมว่าเจตนาไม่ต่างกะการใส่ script ให้ไฟกระพริบๆ ในหน้า Hi5 เลย เห็นเด็กไทยทำให้ลึ่ม... มันเลวร้ายตรงไหนครับ

tanit9999 Thu, 23/09/2010 - 16:39

ไม่หรอกครับ เป็นผมก็คิดแบบเค้า ไครจะรู้ว่าโค๊ดพื้นฐานง่ายๆ เว็ปที่ทรงอิทธิพลอย่าง twitter กลับเพิกเฉยความปลอดภัยนี้ไป มันก็ทำนองเดียวกับไวรัส usb นั้นแหละครับที่ทาง MS ลืมนึกถึงช่องโหว่ของการสั่นรัน script อัตโนมัติ

wichate Thu, 23/09/2010 - 17:09

มันไม่เกี่ยวกับ Code พื้นฐาน หรือยากหรือง่ายหรอกครับ

มันเห็นกันชัดๆอยู่แล้วว่าคนทำตั้งใจจะให้มันแพร่กระจายไปติด User คนอื่นๆด้วย
ถึงวิธีการมันจะแค่ง่ายๆ แต่ผมดูที่เจตนา ซึ่งผมมองว่าเด็กคนนี้มีเจตนาที่จะก่อกวน Twitter จริงๆ

และที่บอกว่าแค่จะทดสอบว่ามันจะรัน JavaScript ได้ใหม
ก็ทดสอบเฉพาะของตัวเองก็ได้ จะต้องให่มันไปติดคนอื่นทำไมล่ะครับ

ปล.แต่ก็เป็นบทเรียนให้กับ Twitter นะ เพราะเห็นบอกว่ารู้ช่องโหว่อยู่แล้ว เคยเตือนไปแล้ว แต่ไม่แก้ไขเอง

Bongbank Thu, 23/09/2010 - 20:25

เป็นผม ผมก็ลองนะ ไม่ได้ล้อเล่น พูดจริงๆ

กล้าคิด กล้า(ลงมือ)ทำ แล้วก็ต้องกล้า(ออกมา)รับ

ซึ่งผมคิดว่า เด็กคนนี้ น่าจะออกมายอมรับเอง ว่าตัวเองน่าจะเป็นคนทำ ไม่เหมือนไทย เจออะไรพวกนี้ก็โบ้ยคนอื่น กลัวโดนรับผิด

คิดเล่นๆ : เด็กไทยอายุ 17 ปี เกิดคิดเล่นๆ ตั้งคำถามให้กับตัวเองว่าถ้าเอา Javascript ชุดหนึ่งไปใส่ในช่อง Login ของเว็บ Blognone ที่เป็นเว็บอ่านข่าว IT ที่ตัวเองโปรดปรานแล้วกด Login จะเกิดอะไรขึ้น??

ผลสรุปว่า ทำให้เว็บ Blognone ทำงานผิดพลาด มีการลบไฟล์บางส่วน หรือเขียนทับ DB บาง Table ไป จนเกิดความเสียหายกับเว็บ

คิดว่าเด็กไทยคนนั้น จะออกมายอมรับไหมว่าตัวเองเป็นคนทำ? และคิดว่าคุณ lew และคุณ mk จะเอาผิดเด็กคนนั้น ข้อหาจู่โจมเว็บไหม?

sunback Thu, 23/09/2010 - 20:51

ตอบเอามัน

  • แสดงว่าเด็กคนนี้น่าจับตามอง ไม่ใช่เพราะเขาแฮกค์ blognone ได้ แต่หมายถึงเขาแฮกค์ drupal ได้
  • เดาว่า ทีมงาน blognone คงสำรองฐานข้อมูลไว้อย่างต่อเนื่องอยู่แล้ว ถ้าทำได้จริงคงสร้างความเสียหายเล็กน้อย
  • ถ้าผมทำ ผมจะยอมรับ เพราะคิดว่า มันต้องเท่สุดๆ แน่ ส่วนคุณ lew + mk จะทำอย่างไร อันนี้ไม่ทราบ อาจจะจับผมมาเป็น founder ด้วยมั้ง ;P

Ton-Or Thu, 23/09/2010 - 23:16

อยากลองกับ drupal ก็ลองกับเครื่องตัวเองไง ต้องไปลอง web ที่บริการทั่วไปทำไม
ถาม blognone เอาก็ได้ใช้ module อะไรบ้าง แล้วก็ติดตั้งให้เหมือนแล้วลองเลย
ได้ข้อสรุป แจ้ง blognone แก้ปัญหา เผลอๆ จะได้ค่าขนม กลับไปด้วย

ส่วนเด็กที่ทำในข่าว เมื่อเห็นปัญหาแล้วแทนที่จะแจ้งทาง twitter ให้รีบแก้ไขส่งตัวอย่าง code ให้ดูก่อนที่มันจะไปติดชาวบ้านจนล่ม

pines Fri, 24/09/2010 - 02:34

มันก็มีสองด้าน ถ้ามองให้สร้างสรร ก็หยิบไปใช้แบบสร้างสรรก็ได้นี่ครับ รู้ซะตอนนี้ก็ดีกว่าปล่อยไปแล้วเจอกับผู้ไม่ประสงค์ดีนำไปใช้หนักกว่านี้แบบเงียบๆ