O2 ทำภาพ MMS ของลูกค้าหลุดสู่เว็บนับร้อยภาพ

By lew Founder on Tag: Security, Privacy, United Kingdom, O2
Security

ข่าวภาพหลุด คลิปหลุดนี่ใช่ว่าจะมีเฉพาะในบ้านเราเสมอไป เมื่อ O2 ผู้ให้บริการโทรศัพท์มือถือรายใหญ่ในอังกฤษเปิดบริการส่ง MMS ผ่านเว็บโดยไม่ได้ตรวจสอบอย่างละเอียดพอ ส่งผลให้ข้อมูลรูปภาพ MMS ของลูกค้าที่ใช้บริการดังกล่าวหลุดเข้าสู่เว็บและสามารถค้นหาจากกูเกิลได้โดยง่าย

รูโหว่นี้เกิดขึ้นเมื่อผู้ใช้ส่งภาพ MMS ล้มเหลว เช่นส่งหมายเลขปลายทางไปผิดเบอร์ ทาง O2 จะอีเมลกลับมาพร้อมกับ URL ของภาพที่ส่งไป โดยไม่มีการตรวจสอบผู้ใช้แต่อย่างใด แม้ว่าโดยปรกติแล้วการส่ง URL ลับเช่นนี้จะสามารถทำได้ และเสิร์ชเอจินต์ทั้งหลายจะไม่สามารถวิ่งเข้าไปยังหน้าเว็บเหล่านี้ได้ เนื่องจากไม่มีจุดเริ่มต้นที่ลิงก์ไปยังภาพเหล่านี้ แต่ด้วยเหตุผลบางอย่างก็มีภาพจำนวนมากหลุดเข้าไปอยู่ในกูเกิลกันแล้ว

สำหรับบ้านเรา กระทรวงไอซีทีถ้าได้ทำงานอื่นนอกจากบล็อคเว็บกับเข็น 3G แล้ว ควรหาทางให้ราชการเลิกเอาข้อมูลส่วนตัวของประชาชนขึ้นเว็บเป็น Excel ทั้งกระบุงกันโดยเร็วครับ

ที่มา - MailChannels

Hiring! บริษัทที่น่าสนใจ

Carmen Software company cover
Carmen Software
Hotel Financial Solutions
 Next Innovation (Thailand) Co., Ltd. company cover
Next Innovation (Thailand) Co., Ltd.
We are web design with consulting & engineering services driven the future stronger and flexibility.
 KKP Dime company cover
KKP Dime
KKP Dime บริษัทในเครือเกียรตินาคินภัทร
 Kiatnakin Phatra Financial Group company cover
Kiatnakin Phatra Financial Group
Financial Service
 Fastwork Technologies company cover
Fastwork Technologies
Fastwork.co เว็บไซต์ที่รวบรวม ฟรีแลนซ์ มืออาชีพจากหลากหลายสายงานไว้ในที่เดียวกัน
 Thoughtworks Thailand company cover
Thoughtworks Thailand
Thoughtworks เป็นบริษัทที่ปรึกษาด้านเทคโนโยลีระดับโลกที่คว้า Great Place to Work 3 ปีซ้อน
 Iron Software company cover
Iron Software
Iron Software is an American company providing a suite of .NET libraries by engineer for engineers.
 CLEVERSE company cover
CLEVERSE
Cleverse is a Venture Builder. Our team builds several tech companies.
 Nipa Cloud company cover
Nipa Cloud
#1 OpenStack cloud provider in Thailand with our own data center and software platform.
 Bangmod Enterprise company cover
Bangmod Enterprise
The leader in Cloud Server and Hosting in Thailand.
 CIMB THAI Bank company cover
CIMB THAI Bank
MOVING FORWARD WITH YOU - CIMB is the leading ASEAN Bank
 Bangkok Bank company cover
Bangkok Bank
Bangkok Bank is one of Southeast Asia's largest regional banks, a market leader in business banking
 MuvMi (Urban Mobility Tech Co.,Ltd.) company cover
MuvMi (Urban Mobility Tech Co.,Ltd.)
Shape the future of urban mobility towards affordable, clean, and safe solutions
 T.N. Digital Solution Co., Ltd. company cover
T.N. Digital Solution Co., Ltd.
TNDS has been involving in every first move of banking’s major digital transformation.
 KBTG - KASIKORN Business-Technology Group company cover
KBTG - KASIKORN Business-Technology Group
KBTG - "The Technology Company for Digital Business Innovation"
 Siam Commercial Bank Public Company Limited company cover
Siam Commercial Bank Public Company Limited
"Let's start a brighter career future together"
 Icon Framework co.,Ltd. company cover
Icon Framework co.,Ltd.
Global Standard Platform for Real Estate แพลตฟอร์มสำหรับธุรกิจอสังหาริมทรัพย์ครบวงจร มาตรฐานระดับโลก
 REFINITIV company cover
REFINITIV
The Financial and Risk business of Thomson Reuters is now Refinitiv
 H LAB company cover
H LAB
Re-engineering healthcare systems through intelligent platforms and system design.
 The Gang Technology Co., Ltd. company cover
The Gang Technology Co., Ltd.
We're a Digital Agency that helps our customers transform their business into digital with ease.
 LTMH company cover
LTMH
LTMH มุ่งเน้นการพัฒนาผลิตภัณฑ์ที่สามารถช่วยพันธมิตรของเราให้บรรลุเป้าหมาย
 Seven Peaks company cover
Seven Peaks
We Drive Digital Transformation
 Wisesight (Thailand) Co., Ltd. company cover
Wisesight (Thailand) Co., Ltd.
The Best Choice For Handling Social Media · High Expertise in Social Data · Most Advanced and Secure
 MOLOG Tech company cover
MOLOG Tech
We are Modern Logistic Platform, Specialize in WMS, OMS and TMS.
 Data Wow Co.,Ltd company cover
Data Wow Co.,Ltd
We enable our clients to realize increased productivity by solving their most complex issues by Data
 LINE Company Thailand company cover
LINE Company Thailand
LINE, the world's hottest mobile messaging platform, offers free text and voice messaging + Call
 LINE MAN Wongnai company cover
LINE MAN Wongnai
Join our journey to becoming No.1 food platform in Thailand

tekkasit Sat, 19/07/2008 - 17:13

พิสูจน์แล้วครับ ง่ายมาก คุณลองพิมพ์เลขบัตรประจำตัวประชาชนของคุณลงไปดูสิ X-XXXX-XXXXX เป็นแบบนี้ก็พอ ไม่ต้องทั้งหมดหรอก นี่ผมก็สามารถหาข้อมูลประชาชนไทย โดยหาจากรหัสบัตรประจำตัวประชาชนได้ผ่านทาง Google

โอ นี่มันบ้าอะไรกันนี่ ข้อมูลพวกนี้กลายเป็นข้อมูลสาธารณะรึเนี่ย

fatro Sat, 19/07/2008 - 17:53

ยืนยันว่ารั่วจริงครับ แบบตั้งใจด้วย ของผมมาจากกระทรวงต่างประเทศ เป็นทั้ง PDF และ html รายชื่อผู้ขอใช้สิทธินอกราชอณาจักร มันเป็นข้อมูลสาธารณะแล้วจริงๆ

แถมยังอำนวยความสะดวก

เพื่อความสะดวกในการพิมพ์โปรด click ขวาที่ชื่อไฟล์ - Save Target As...
Open File ที่ Save ไว้ เลือกเมนู File-> Page Setup
เลือกชนิดกระดาษ Orientation - Landscape และ Margins 0.826 ทั้ง 4 ด้าน
ปรับขนาดอักษรเป็นขนาดกลาง View->Text Size -> Medium

  • OK - แล้วสั่ง Print

-*-

tekkasit Sat, 19/07/2008 - 22:02

คือต้องอธิบายครับ ผมไม่ได้หมายความว่า ข้อมูลรหัสประจำตัวผมทั้ง 13 หลักปรากฎบน Google

แต่ผมหมายถึงว่า ข้อมูลหมายเลขบัตรฯของคนไทยบางส่วน (ที่ไม่ใช่ผม) สามารถหาได้ทาง Google ด้วยการพิมพ์รหัสประจำตัวฯของตัวเอง 10 หลักในรูปแบบข้างต้น ดังตัวอย่าง ครับ

ABZee Sun, 20/07/2008 - 03:06

แต่ผมสงสัยว่า หมายเลขประจำตัวประชาชนมันถือเป็นข้อมูลส่วนตัวหรือเปล่า ชื่อและนามสกุลก็เช่นกัน อย่างที่ตรวจดูจาก google ผมพบว่าหมายเลขประจำตัวประชาชนนั้นมันเช่ื่อมไปยังเอกสารราชการบางชนิด ทำให้รู้ชื่อและนามสกุลของเจ้าของหมายเลขได้

กรณีที่หมายเลขและชื่อนามสกุลนั้นโยงเข้าหากันได้แบบนี้ผมเห็นว่ามันไม่เป็นข้อมูลส่วนตัวซะทีเดียวนะครับ เป็นแค่ข้อมูลระบุเฉยๆว่าคนคนนี้คือใคร แต่ไม่ได้มีข้อมูลส่วนตัวเช่นหมายเลขโทรศัพท์หรือที่อยู่ออกมา ส่วนทางการเองก็ต้องการแสดงข้อมูลให้ประชาชนตรวจสอบด้วยอีกต่อหนึ่ง

PoomK

tekkasit Mon, 21/07/2008 - 18:22

ข้อมูลเลขบัตรประจำตัวประชาน, วันเดือนปีเกิด, ที่อยู่ ข้อมูลพวกนี้สามารถใช้บ่งบอกตัวตนคุณได้ เขาอาจลักลอบนำข้อมูลพวกนี้ไปใช้ประโยชน์ได้นะครับ

โดยหลักความปลอดภัยแล้ว ควรจะส่งข้อมูลให้ถึงบุคคลอื่นๆใ้ห้น้อยที่สุดเท่าที่จำเป็นนะครับ ไม่ใช่แพร่กันง่ายๆอย่างนี้ โดยเสมือนปราศจากความพยายามในการป้องกันข้อมูลจำพวกนี้ไม่ให้ถึงบุคคลที่ไม่เกี่ยวข้อง

lancaster Sat, 19/07/2008 - 17:12

ย่อหน้าสุดท้ายนี่ ผมว่าควรเริ่มจากใน ม.เกษตร ก่อนเลย

กะอีแค่ robots.txt นี่มันยากนักหนารึไง

mokin Sat, 19/07/2008 - 18:04

เห็นด้วยกับประโยคท้ายอย่างมากเลยครับ

อย่าท้อแท้ที่จะเรียนรู้ และจงเป็นครูสอนผู้อื่นต่อ

doktup Sat, 19/07/2008 - 21:12

เห็นด้วยอีกแรงคับ เหอ ๆๆ คิดได้งัย

//ควรหาทางให้ราชการเลิกเข้าข้อมูลส่วนตัวของประชาชนขึ้นเว็บเป็น Excel ทั้งกระบุงกันโดยเร็วครับ

HyBRiD Sat, 19/07/2008 - 20:51

หึๆๆ ผมหาเบอร์โทรนิสิตทั้งภาควิชาได้แล้วกัน

NERD GOD

Bongbank Sat, 19/07/2008 - 20:55

ใครเอาชื่อ-สกุล ผม (หรืออีเมล์ผม) ไปเซิดใน google เนี้ย เจอทั้งเลขบัตรประชาชน บัญชีธนาคาร รูปถ่าย เบอร์โทรศัพท์เลย นะ - -" เคยแกล้งให้น้องรหัสมันหาข้อมูลพี่รหัสอย่างผมไง มันหาได้อย่างง่านเลยล่ะจาก google นี่ล่ะ ที่จริง การทำเว็บเด๋วนี้ ต้องทำให้ฉลาดของ google หน่อย ไม่งั้นตัว spider มันตามจับไว้ซะเต็มเลย ยิ่ง cache ของ google เนี้ย ถึงเว็บไหนจะลบไปแล้ว แต่ cache ก็ใหญ่พอที่จะดูอะไรได้พอสมควรเลยล่ะ

scalopus Sun, 20/07/2008 - 05:20

เรื่องเทคนิคการ Search ไม่ได้ดุแค่ link จากเว็บไซต์อื่นเพียงอย่างเดียวครับ มี Reference ก็ใช้ได้เหมือนกัน อย่างเช่น เข้าไปที่หน้าหนึ่ง แล้วไปยังอีกหน้าหนึ่งต่อ หน้าหลังจะมี Reference เก็บมาจากหน้าแรก รวมถึงเทคนิคอื่นๆด้วย เช่นการเก็บ index เป็น list รายชื่อไฟล์ทั้งหมดใน directory ถึงได้มี robot.txt ขึ้นมาให้ระบุเป็นมารยาทว่า crawler เข้าไปค้นที่ไหนได้บ้าง

ข้อมูลของไทยรั่วมานานแล้ว และรั่วเยอะมากด้วย แต่มันก็ไม่ใช่แค่ไทยหรอก มันก็รั่วกันหมดนั่นแหละ เพราะ Privacy ที่คน upload ข้อมูลขึ้นเว็บ ไม่ได้เห็นความสำคัญ หรือไม่ได้คิดจะถามผู้ใช้ก่อน.

ipats Sun, 20/07/2008 - 05:55

อยากรู้ว่าเหตุผลบางอย่างคืออะไรจัง

ปัจจุบัน เว็บหลายเว็บ กระทั่งเว็บรูปภาพโดยตรงอย่าง flickr ก็ใช้วิธี url ลับ กับภาพ private (ถ้าจำไม่ผิดการเซ็ต public/private แค่บอกว่าไม่ต้องเอาไปโชว์ใน photo stream กับผล search นะ ถ้ารู้ url ใครๆ ก็ดูได้)

หรือแม้จะเป็น gmail feed, calendar api ฯลฯ พวกนี้ก็ใช้ url ที่เจ้าของ (น่าจะ) รู้คนเดียว เลยอยากรู้ว่า O2 ทำให้มันหลุดไปได้ยังไง หรือ search engine ฉลาดเกิน ถ้าอย่างงั้น วิธีสร้าง url ลับๆ แบบนี้ จะยังปลอดภัยไหม?

---------- iPAtS