นักข่าว Gizmodo โดนขโมยบัญชี iCloud ไปได้อย่างไร

By toandthen Writer on Tag: Apple, Security, Hacking, Gizmodo, iCloud
Apple

เว็บ Wired ได้ออกมารายงานขั้นตอนอย่างละเอียดของแฮกเกอร์ที่ขโมยบัญชี iCloud ของนักข่าว Gizmodo แล้วสั่ง remote wipe ข้อมูลทั้งหมดบน iPhone, iPad และ MacBook Air จนเกลี้ยง จากนั้นก็แฮกเข้าไปในอีเมลและทวิตเตอร์ของนักข่าวคนดังกล่าวต่ออีก

ในรายงานของ Wired แฮกเกอร์สามารถขอรับรหัสผ่านชั่วคราวใหม่จากบริการหลังการขาย iCloud ได้ด้วยการโทรเข้าไปแล้วใช้แค่ข้อมูลที่อยู่ที่ใช้ในการออกบิล และหมายเลขที่ตัวสุดท้ายของบัตรเครดิตการ์ดเท่านั้น ซึ่งแม้ว่าโฆษกของแอปเปิลเองได้ออกมาบอกถึงสาเหตุว่าเกิดจากการที่พนักงานไม่ได้ปฏิบัติตามนโยบายรักษาความปลอดภัยที่เคร่งครัดของแอปเปิล ซึ่ง Wired เองก็ได้ทดลองขอรหัสผ่านด้วยวิธีนี้อีกครั้ง แล้วก็ได้รหัสผ่านใหม่ตามที่ต้องการ

การหาที่อยู่ของบุคคลใดก็ตามไม่ใช่เรื่องยาก แฮกเกอร์ได้ค้นหาข้อมูลนี้จากฐานข้อมูลทั่วไปที่ใคร ๆ ก็สามารถเข้าถึงได้ ส่วนเรื่องหมายเลขสี่ตัวสุดท้ายของบัตรเครดิต แฮกเกอร์ได้ใช้ช่องโหว่ของ Amazon ที่จะเปิดเผยหมายเลขบัตรเครดิตสี่ตัวสุดท้ายผ่านระบบเพิ่มบัตรเครดิตและอีเมลที่สองทางโทรศัพท์

ที่มา - Wired

Hiring! บริษัทที่น่าสนใจ

Carmen Software company cover
Carmen Software
Hotel Financial Solutions
 Next Innovation (Thailand) Co., Ltd. company cover
Next Innovation (Thailand) Co., Ltd.
We are web design with consulting & engineering services driven the future stronger and flexibility.
 KKP Dime company cover
KKP Dime
KKP Dime บริษัทในเครือเกียรตินาคินภัทร
 Kiatnakin Phatra Financial Group company cover
Kiatnakin Phatra Financial Group
Financial Service
 Fastwork Technologies company cover
Fastwork Technologies
Fastwork.co เว็บไซต์ที่รวบรวม ฟรีแลนซ์ มืออาชีพจากหลากหลายสายงานไว้ในที่เดียวกัน
 Thoughtworks Thailand company cover
Thoughtworks Thailand
Thoughtworks เป็นบริษัทที่ปรึกษาด้านเทคโนโยลีระดับโลกที่คว้า Great Place to Work 3 ปีซ้อน
 Iron Software company cover
Iron Software
Iron Software is an American company providing a suite of .NET libraries by engineer for engineers.
 CLEVERSE company cover
CLEVERSE
Cleverse is a Venture Builder. Our team builds several tech companies.
 Nipa Cloud company cover
Nipa Cloud
#1 OpenStack cloud provider in Thailand with our own data center and software platform.
 Bangmod Enterprise company cover
Bangmod Enterprise
The leader in Cloud Server and Hosting in Thailand.
 CIMB THAI Bank company cover
CIMB THAI Bank
MOVING FORWARD WITH YOU - CIMB is the leading ASEAN Bank
 Bangkok Bank company cover
Bangkok Bank
Bangkok Bank is one of Southeast Asia's largest regional banks, a market leader in business banking
 MuvMi (Urban Mobility Tech Co.,Ltd.) company cover
MuvMi (Urban Mobility Tech Co.,Ltd.)
Shape the future of urban mobility towards affordable, clean, and safe solutions
 T.N. Digital Solution Co., Ltd. company cover
T.N. Digital Solution Co., Ltd.
TNDS has been involving in every first move of banking’s major digital transformation.
 KBTG - KASIKORN Business-Technology Group company cover
KBTG - KASIKORN Business-Technology Group
KBTG - "The Technology Company for Digital Business Innovation"
 Siam Commercial Bank Public Company Limited company cover
Siam Commercial Bank Public Company Limited
"Let's start a brighter career future together"
 Icon Framework co.,Ltd. company cover
Icon Framework co.,Ltd.
Global Standard Platform for Real Estate แพลตฟอร์มสำหรับธุรกิจอสังหาริมทรัพย์ครบวงจร มาตรฐานระดับโลก
 REFINITIV company cover
REFINITIV
The Financial and Risk business of Thomson Reuters is now Refinitiv
 H LAB company cover
H LAB
Re-engineering healthcare systems through intelligent platforms and system design.
 The Gang Technology Co., Ltd. company cover
The Gang Technology Co., Ltd.
We're a Digital Agency that helps our customers transform their business into digital with ease.
 LTMH company cover
LTMH
LTMH มุ่งเน้นการพัฒนาผลิตภัณฑ์ที่สามารถช่วยพันธมิตรของเราให้บรรลุเป้าหมาย
 Seven Peaks company cover
Seven Peaks
We Drive Digital Transformation
 Wisesight (Thailand) Co., Ltd. company cover
Wisesight (Thailand) Co., Ltd.
The Best Choice For Handling Social Media · High Expertise in Social Data · Most Advanced and Secure
 MOLOG Tech company cover
MOLOG Tech
We are Modern Logistic Platform, Specialize in WMS, OMS and TMS.
 Data Wow Co.,Ltd company cover
Data Wow Co.,Ltd
We enable our clients to realize increased productivity by solving their most complex issues by Data
 LINE Company Thailand company cover
LINE Company Thailand
LINE, the world's hottest mobile messaging platform, offers free text and voice messaging + Call
 LINE MAN Wongnai company cover
LINE MAN Wongnai
Join our journey to becoming No.1 food platform in Thailand

Zatang Tue, 07/08/2012 - 12:45

ไม่เป็นไรครับ งั้นขอเอาข้อความบางส่วนมาเพิ่มในคอมเม้นนี้นะครับ

เลขสี่ตัวท้ายบัตรเครดิตมีวิธีการอีกเล็กน้อย โดยแฮกเกอร์ได้จาก Amazon เริ่มจากโทรศัพท์ไปเพิ่มบัตรเครดิตใบที่สองโดยใช้ข้อมูลชื่อ ที่อยู่วางบิล และอีเมลของเขา ซึ่งหาได้อยู่แล้ว ก็สามารถเพิ่มบัตรเครดิตใบที่สองในบัญชีได้ หลังจากนั้นโทรไปอีกครั้งเพื่อเพิ่มอีเมลที่สองด้วยเลขบัตรเครดิตใบที่สองที่เค้าเพิ่งเพิ่มไป ต่อมาเอาอีเมลที่สองที่เพิ่งเพิ่มไปเอง เข้าไปดูข้อมูลบัญชีของ Amazon ได้เลขบัตรสี่ตัวท้ายบัตรเครดิตของเจ้าของบัญชีจริงๆ !!!

blueautumn Tue, 07/08/2012 - 12:19

Amazon โดนไปลากมาเอี่ยวด้วยซะแล้ว

minimal Tue, 07/08/2012 - 12:27

ประเด็นสำคัญคือหมายเลข 4 ตัวของบัตรเครดิตที่ปรกติจะเป็น security code หลุดไปได้นี่ งั้นปัญหาต้องอยู่กับ amazon แล้วงี้

Tum Wed, 08/08/2012 - 11:28

ผมว่าหมายเลข 4 ตัวท้ายไม่ใช่ security code นะครับ อันนั้นน่าจะเป็น CCV ที่มีแค่ 3 หลักมากกว่า
โดยปกติเวลาเราซื้อของต่างๆ จะเปิดเผยหมายเลขบัตร 4 ตัวท้ายอยู่แล้ว เช่น ลองไปดูในสลิปบัตรเครดิตก็ได้ครับ
ตัวเลข 12 หลักแรกจะเป็น XXX หมด ส่วน 4 หลักสุดท้ายจะเปิดเผยให้เห็นตัวเลขตามปกติ
หรือการใช้งานใน Apple Store ก็จะเปิดเผย 4 หลักสุดท้ายเป็นปกติเช่นกันครับ เวลาเราดูรายการต่างๆ ที่มี
บัตรเครดิตเข้าไปเกี่ยวข้อง

papboyz Tue, 07/08/2012 - 12:28

ซึ่งแม้ว่าโฆษกของแอปเปิลเองได้ออกมา"ปฏิเสธว่าการเข้าถึงรหัสผ่านวิธีนี้สามารถทำได้จริง" แต่ Wired เองก็ได้ทดลองขอรหัสผ่านด้วยวิธีนี้อีกครั้ง แล้วก็ได้รหัสผ่านใหม่ตามที่ต้องการ----ผมงงครับ???

minimal Tue, 07/08/2012 - 13:22

เฮอๆ คนใช้บัตรเครดิต อ่านแค่หัวข่าวปุ๊ป ก็รู้เรื่องกันทั้งนั้นละฮะว่า key point อยู่ที่ amazon สำหรับคนที่อ่านข่าวไม่รุเรื่อง ก็มีทางเลือกแค่รอฟังและก็เชื่อตามบทความไปเรื่อยๆ.นั่นละฮะ ก่อนแสดงความเห็นในลักษณะทับแย้งคนอื่น น่าจะพิจารณาความเกี่ยวข้องของตัว คุณกับข่าวก่อนนะฮะ

rattananen Tue, 07/08/2012 - 13:29

ผมไม่เคยใช้ และไม่มีบัตรเครดิตครับ และถึงผมไม่เกี่ยวกับข่าวแล้วผมแย้งคนอื่นไม่ได้หรือครับ?

สำหรับผมน่ะถ้าผมเองไม่แสดงความโง่ออกมาผมก็จะไม่รู้ตัวเองว่าโง่ แล้วก็จะไม่ฉลาดสักทีครับ
ถ้ามัวแต่อายอยู่ก็ไม่ฉลาดสักที

inkirby Tue, 07/08/2012 - 13:37

สำหรับผมน่ะถ้าผมเองไม่แสดงความโง่ออกมาผมก็จะไม่รู้ตัวเองว่าโง่ แล้วก็จะไม่ฉลาดสักทีครับ ถ้ามัวแต่อายอยู่ก็ไม่ฉลาดสักที

+1 โดนใจอย่างแรงนิ แต่บางทีก็ต้องเก็บไว้รักษาหน้าบ้าง :P

minimal Tue, 07/08/2012 - 13:39

คนเขียนข่าวตั้งใจเขียน การแสดงความคิดเห็นก็ควรจะมีเกรดนิดนะฮะ. คุณเกี่ยวข้องน้อย และอ่านข่าวไม่รู้เรื่องมาแย้งแบบเอ๋อๆๆ คนที่เสียคือคุณเองนะฮะ เหอๆ กลายเป็นด่าตัวเองไปงั้น. คนที่ไม่เกี่ยวกับข่าวแต่แสดงความเห็น ก็มีฮะ

 ถ้ามีความรับผิดชอบจริงก็แก้ไขด้วยนะฮะ.    เหอๆ

jack8855 Tue, 07/08/2012 - 14:08

+1 แม้นบางคนก็ไม่ได้ต่างกัน (แถม reply เยอะกว่าด้วย) และสื่อเจตนาไปทางเดียวกัน เพราะเห็นทุกข่าวจิงๆ

rattananen Tue, 07/08/2012 - 13:51

สำหรับผมไม่ว่าจะ pramool, mthai, blognone ถ้าเจอข่าวเดียวกันแบบนี้ผมก็ตอบแบบเดียวกันหมดล่ะครับ เพราะผมหาเหตุผลที่จะตอบต่างกันไม่ได้ครับ ผมคิดแบบไหนก็ตอบแบบนั้น

และเรื่องความรับผิดชอบ การยอมรับว่าตัวเองผิดพลาด ก็คือการแสดงความรับผิดชอบของผมครับ และผมไปทำอะไรคนเขียนข่าวเมื่อไรครับ? ผมแสดงความคิดเห็นต่อข่าว ไม่ได้แสดงความคิดเห็นต่อคนเขียนนะครับ

อ๋อผมเข้าใจละ comment แรกของมันผิดพลาดอย่างรุนแรงครับ ผมอ่านไม่ดีเลยคิดว่า apple เป็นคนให้ข่าวครับ

zerocool Tue, 07/08/2012 - 16:19

+1

ให้กับความมีมารยาทและเป็นลูกผู้ชายของคุณ rattananen ครับ เข้าใจผิดจนเผลอพูดจาไม่ดีออกไปก็ออกมายอมรับในความผิดพลาดของตัวเอง แตกต่างจากหลายคนแถวนี้ที่ยอมรับผิดไม่เป็น

inkirby Tue, 07/08/2012 - 22:17

แต่คุณชมคนอื่นข้างล่างว่า "หล่อ" หลังจากข้างบนโพสต์นะครับ

ಠ_ಠ

//เอ๊ะ แต่โพสต์นี้อยู่ข้างล่าง อาจจะ null ก็เป็นได้

minimal Tue, 07/08/2012 - 13:50

ฮะตอนนี่คุณฉลาดแล้วใช่มั้ยละฮะ ? นั่นไงละฮะ ที่ทำให้คุณโง่

ว่าแต่ถ้าฉลาดจริงทำไมไม่เคยใช้บัตรเครดิตหรอฮะ หรือไม่มีเครดิตไปทำบัตร ? อิอิ

rattananen Tue, 07/08/2012 - 14:05

ผมชอบจ่ายสดครับไม่ชอบเป็นหนี้ เลยไม่มีบัตรเครคิต

และอีกอย่างมันเป็นที่ทักษะการเขียนของผมเองเลยทำให้สมัครบัตรเครคิตไม่ได้ ผมเขียนกอไก่ สองตัวในเวลาใกล้ๆ กันไม่เหมือนกัน ทำให้ลายเซ็นผมไม่เคยเหมือนกันสักครั้ง ว่าไปแล้วก็ตลกตัวเอง

McKay Tue, 07/08/2012 - 13:58

ไปดูถูกเค้า แล้วคุณมีหรือเคยใช้หรือเปล่าหล่ะครับ บัตรเครดิต

หากคุณมีหรือเคยใช้ ก็น่าจะรู้นะว่ารหัส CVV ที่ใช้ในบัตรเครดิต มี 3 หลัก(ยกเว้น American Express) และรหัสที่ใช้ยืนยันการซื้อขายที่ใช้ คือ 4 รหัสสุดท้ายของบัตรเครดิตที่ไม่ใช่ CVV

minimal Tue, 07/08/2012 - 14:21

ฮะ เป็น 2euro ที่น่าทึ่งมากฮะ .. อิอิ. ชงเรื่อง ทำเวทีโชวหล่อเก่งเหมือนกะทุ้ก่อนเลยฮะ ชักอยากเห็นตัวจิงแล้วสิ อิอิ

BLiNDiNG Tue, 07/08/2012 - 15:06

........minimal ได้อ่านรึยังครับ ว่าคีย์พอยต์ไม่ใช่แค่ amazon

At 4:33 p.m., according to Apple’s tech support records, someone called AppleCare claiming to be me. Apple says the caller reported that he couldn’t get into his .Me e-mail — which, of course was my .Me e-mail.

In response, Apple issued a temporary password. It did this despite the caller’s inability to answer security questions I had set up. And it did this after the hacker supplied only two pieces of information that anyone with an internet connection and a phone can discover.

YF-01 Tue, 07/08/2012 - 16:38

ใช้บัตรเครดิตต้องฉลาดด้วยเหรอครับ o_O

เพลาๆหน่อยดีกว่าครับ เดี๋ยวก็โดนแบนอีกรอบหรอก

inkirby Tue, 07/08/2012 - 19:17

จริงๆ มีแทรกระหว่าง 3000ANVjapan กับ minimal ครับ

ชื่อแปลเป็นไทยได้ว่า "เลิกแบนตรูซะทีพวกประหลาด" แต่แค่จำไม่ได้ว่าเค้าเขียนว่ายังไง...

manster Tue, 07/08/2012 - 20:19

อยู่เวปมงคลแก๊ดเก็ดก็ปรกติดีนะครับ นายโบ้นี่

ขายของ เทรดของ พูดคุยปรกติอยู่

สงสัยเวปนี้มันน่าเกรียน ก็เลยเกรียนไม่เลิก

BLiNDiNG Tue, 07/08/2012 - 13:45

อ่านย่อหน้าที่สองดูครับ

ถ้าเป็นสมาชิก แบบลงทะเบียนรับเมล์ แล้วไปใช้บัตรเครดิตที่ร้านนั้นก็มีความเสี่ยงแล้วครับ

jobb Tue, 07/08/2012 - 19:12

จาก Wired หน้าแรก ย่อหน้าท้ายๆ

".... In addition, we found that our own internal policies were not followed completely. We are reviewing all of our processes for resetting account passwords to ensure our customers’ data is protected.”

ผมแปลได้ว่า
"....Apple พบว่านโยบายภายใจของเราไม่ได้ถูกปฎิบัติตามทั้งหมด(อย่างเคร่งครัด) เรากำลังตรวจสอบกระบวนการ reset password ทั้งหมดเพื่อให้แน่ใจว่าข้อมูลของลูกค้าเราถูกป้องกันการเข้าถึง"

แต่คุณบอกว่า Apple ไม่ได้ Apple ปฎิเสธว่าการขอ reset password ด้วยวิธีนี้ไม่สามารถทำได้ แล้ว wired ไปลองทำแล้วดันทำได้ คนอ่านดีความได้ว่า Apple โกหก หรือ แถ -- คุณเขียนแบบนี้

" ซึ่งแม้ว่าโฆษกของแอปเปิลเองได้ออกมาปฏิเสธว่าการเข้าถึงรหัสผ่านด้วยวิธีนี้ไม่สามารถทำได้จริง แต่ Wired เองก็ได้ทดลองขอรหัสผ่านด้วยวิธีนี้อีกครั้ง แล้วก็ได้รหัสผ่านใหม่ตามที่ต้องการ"

ผมสงสัยว่า ประโยคนี้ท่านได้แต่ใดมา

toandthen Tue, 07/08/2012 - 19:19

รับทราบและแก้ไขแล้วครับ มันเกิดจากการที่ผมเขียนข่าวแล้วอ่านจากสองที่มาประกบกัน (ผมอ่านของ Engadget ก่อนแล้วตามไปอ่านอีกรอบ) แล้วก็ assume ไปว่าจุดนี้น่าจะไม่ต่างกับ Engadget เลยไม่ได้อ่านให้เคลียร์ครับ

ตอนนี้ได้ปรับแล้ว ครั้งหน้าช่วยตรวจสอบอีกทีนะครับ ผิดพลาดตรงไหนจี้ได้เลยครับ ขอบคุณมากครับ

Ishmael Tue, 07/08/2012 - 15:58

เท่าที่ตามข่่าวนี้จากหลายแหล่ง พบว่า Apple พลาดอะไรบางอย่างจึงทำให้ Hacker ยิ้มหวาน...
และ Apple ก็ดูเหมือนจะยอมรับ แล้วคงจะหาวิธีแก้ไข ถ้าไม่ได้ผิดที่ขั้นตอนของระบบ ก็คงพลาดที่คน...

zerocool Tue, 07/08/2012 - 16:37

งานนี้ผมว่า Apple เสียหน้านะ

ระบบ security อ่อนเกินไปอย่างไม่น่าให้อภัย การละเลยต่อ secure question เป็นสิ่งที่ไม่สมควรทำอย่างยิ่ง