"รู้อะไรไม่สู้รู้งี้..." รายงานเผย Sony Pictures รู้ช่องโหว่ของตัวเองก่อนโดนแฮคนานหลายเดือน

on 16 December 2014 - 05:29 Tag: Hacking, Sony Pictures

Hacking

มีรายงานเปิดเผยว่าหลายเดือนก่อนที่ระบบคอมพิวเตอร์ของ Sony Pictures จะโดนแฮค มีการจ้างบริษัทภายนอกมาตรวจสอบความแน่นหนาของระบบ และพบว่ามาตรการตรวจตราความปลอดภัยหลายอย่างมีความหละหลวม แต่กระนั้น Sony Pictures ก็มิได้นำพากับผลการตรวจสอบดังกล่าว จนท้ายที่สุดก็มาเจอกับการแฮคครั้งใหญ่

การตรวจสอบในครั้งนั้นทำโดย PricewaterhouseCoopers พบว่าไฟร์วอลล์หนึ่งแห่ง และอุปกรณ์อื่นอีกกว่า 100 รายการนั้นไม่เพียงจะถูกละเลยจากการตรวจสอบดูแลโดยทีมรักษาความปลอดภัยเครือ Sony แต่กระทั่งทีมดูแลระบบภายในของ Sony Pictures เองก็มัวแต่เฝ้าติดตามกิจกรรมต่างๆ ของระบบผ่านระบบบันทึก log จนมิได้ใส่ใจในไฟร์วอลล์และอุปกรณ์เหล่านี้อย่างที่ควรจะเป็น

PricewaterhouseCoopers ทำการแจ้งเตือนในขั้น "ปักธงแดง" โดยระบุว่านี่อาจทำให้การตอบสนองรับมือต่อเหตุการณ์ผิดปกติทำได้ช้ากว่าที่ควร ซึ่งคำเตือนดังกล่าวนั้นมีมาตั้งแต่ช่วงกลางเดือนกรกฎาคม นานหลายเดือนก่อนระบบจะโดนแฮค

ผู้ที่นำเอาเรื่องราวเหล่านี้มาเปิดเผยให้เป็นข่าวก็มิใช่ PricewaterhouseCoopers หรือใครอื่น หากแต่เป็นแฮคเกอร์นามแฝง GOP นั่นเองที่หยิบเอารายงานเรื่องระบบความปลอดภัยนี้ (ซึ่งโดนแฮคไปได้) มาตีแผ่ซ้ำแผลของ Sony Pictures ให้ยิ่งเจ็บใจกับความหละหลวมและการเพิกเฉยต่อคำเตือนที่ PricewaterhouseCoopers ให้ไว้ก่อนหน้านี้

ที่มา - Re/code

Hiring! บริษัทที่น่าสนใจ

Carmen Software

Hotel Financial Solutions

Next Innovation (Thailand) Co., Ltd.

We are web design with consulting & engineering services driven the future stronger and flexibility.

KKP Dime

KKP Dime บริษัทในเครือเกียรตินาคินภัทร

Kiatnakin Phatra Financial Group

Financial Service

Fastwork Technologies

Fastwork.co เว็บไซต์ที่รวบรวม ฟรีแลนซ์ มืออาชีพจากหลากหลายสายงานไว้ในที่เดียวกัน

Thoughtworks Thailand

Thoughtworks เป็นบริษัทที่ปรึกษาด้านเทคโนโยลีระดับโลกที่คว้า Great Place to Work 3 ปีซ้อน

Iron Software

Iron Software is an American company providing a suite of .NET libraries by engineer for engineers.

CLEVERSE

Cleverse is a Venture Builder. Our team builds several tech companies.

Nipa Cloud

#1 OpenStack cloud provider in Thailand with our own data center and software platform.

Bangmod Enterprise

The leader in Cloud Server and Hosting in Thailand.

CIMB THAI Bank

MOVING FORWARD WITH YOU - CIMB is the leading ASEAN Bank

Bangkok Bank

Bangkok Bank is one of Southeast Asia's largest regional banks, a market leader in business banking

MuvMi (Urban Mobility Tech Co.,Ltd.)

Shape the future of urban mobility towards affordable, clean, and safe solutions

T.N. Digital Solution Co., Ltd.

TNDS has been involving in every first move of banking’s major digital transformation.

KBTG - KASIKORN Business-Technology Group

KBTG - "The Technology Company for Digital Business Innovation"

Siam Commercial Bank Public Company Limited

"Let's start a brighter career future together"

Icon Framework co.,Ltd.

Global Standard Platform for Real Estate แพลตฟอร์มสำหรับธุรกิจอสังหาริมทรัพย์ครบวงจร มาตรฐานระดับโลก

REFINITIV

The Financial and Risk business of Thomson Reuters is now Refinitiv

H LAB

Re-engineering healthcare systems through intelligent platforms and system design.

The Gang Technology Co., Ltd.

We're a Digital Agency that helps our customers transform their business into digital with ease.

LTMH

LTMH มุ่งเน้นการพัฒนาผลิตภัณฑ์ที่สามารถช่วยพันธมิตรของเราให้บรรลุเป้าหมาย

Seven Peaks

We Drive Digital Transformation

Wisesight (Thailand) Co., Ltd.

The Best Choice For Handling Social Media · High Expertise in Social Data · Most Advanced and Secure

MOLOG Tech

We are Modern Logistic Platform, Specialize in WMS, OMS and TMS.

Data Wow Co.,Ltd

We enable our clients to realize increased productivity by solving their most complex issues by Data

LINE Company Thailand

LINE, the world's hottest mobile messaging platform, offers free text and voice messaging + Call

LINE MAN Wongnai

Join our journey to becoming No.1 food platform in Thailand

รู้ข่องโหว่ > รู้ช่องโหว่

tgst Tue, 16/12/2014 - 05:39

รู้ข่องโหว่ > รู้ช่องโหว่

ไฟร์วอลลร์ => ไฟร์วอลล์

hisoft Tue, 16/12/2014 - 06:49

ไฟร์วอลลร์ => ไฟร์วอลล์

ทีม Security

Perl Tue, 16/12/2014 - 05:46

ทีม Security โดนไล่ยกบริษัทแล้วมั้งแบบนี้

บางอย่างอาจใช้งบประมาณในการ

iCyLand Tue, 16/12/2014 - 11:27

บางอย่างอาจใช้งบประมาณในการ upgrade อุปกรณ์ ซึงบางทีฝั่ง Security เสนอไปแล้ว Management ตีตกก็ได้นะครับ

ไล่ Management แทนครับ

Perl Tue, 16/12/2014 - 12:51

ไล่ Management แทนครับ เพราะเรื่อง Security โดยเฉพาะถ้าพบช่องโหว่ระดับ Critical เป็นเรื่องที่ไม่ควรโดนตีตกครับ

พาดหัวได้แทงใจดำมากๆ

PaPaSEK Tue, 16/12/2014 - 06:27

พาดหัวได้แทงใจดำมากๆ น้ำตาชาวอารยธรรมอย่างผมไหลพรากๆ ทั้งขำทั้งเสียใจ

เออ

pepporony Tue, 16/12/2014 - 07:06

เออ ไอ้ที่เจ็บยิ่งกว่าคือโดนคนแฮคเอามาแฉนี่แหละ

แต่ถึงขั้น ปักธงแดงเลย

นี่ถ้าปักธงชัย นี่โคราชเลยนะครับ!!

โดน Dead flag อยู่แล้วนี่เอง

100dej Tue, 16/12/2014 - 08:18

โดน Dead flag อยู่แล้วนี่เอง

บริษัทที่ เข้ามาตรวจสอบคือ

KillerNay Tue, 16/12/2014 - 08:26

บริษัทที่ เข้ามาตรวจสอบคือ Fireeyes

อ้างอิง
http://www.itp.net/601187-sony-pictures-attack-unparalleled-fireeyes-mandiant

PWC

Golflaw Tue, 16/12/2014 - 08:43

PWC นี่นึกว่าตรวจสอบบัญชีอย่างเดียวซะอีก

เจ้านายที่เก่งๆ

Tum Tue, 16/12/2014 - 09:00

เจ้านายที่เก่งๆ หลายคนของผมก็มาจาก PWC ทั้งนั้นเลยครับ ถ้าอยากรู้รายละเอียดเกี่ยวกับบริการด้านนี้ ลองเข้า Systems & Process Assurance ก็ได้นะครับ

บริษัท BIG4

JackerJack Tue, 16/12/2014 - 11:20

บริษัท BIG4 ให้บริการทางด้านความเชื่อมั่น ทั้งทางด้านของงบการเงิน (Financial) ระบบการควบคุมภายใน (Internal Control) การจัดทำบัญชี (Bookkeeping) ระบบไอที (ITGC - IT General Control on production environment) ภาษ๊ (Tax and Legal) และการให้คำปรึกษาเฉพาะด้าน (Consulting) ครับ

คนทั่วไปมักจะรู้จักด้าน การสอบบัญชี เป็นหลัก เนื่องจากเป็น core business ครับ

ผมนี่ ปักธงชัย โคราช เลย

easyzonecordotnet Tue, 16/12/2014 - 08:57

ผมนี่ ปักธงชัย โคราช เลย

พาดหัวข่าวมาจากคอมเมนต์ในตำนา

Architec Tue, 16/12/2014 - 10:55

พาดหัวข่าวมาจากคอมเมนต์ในตำนานนี่สินะ

จะว่าไปก็อยากหา consult มาช่วยวิเคราะห์ช่องโหว่ที่บริษัทนะเนี่ย โดนแฮกเกอร์ลูบคมบ่อยเกิ๊น

ผมว่ารู้แล้วปล่อยปละละเลยนี่แ

Khow Tue, 16/12/2014 - 15:46

ผมว่ารู้แล้วปล่อยปละละเลยนี่แหละจะทำให้ Sony ถูกฟ้องจากรัฐ แล้วให้ผู้ใช้บริการมาลงชื่อประเมินความเสียหาย
การถูกแฮคแค่เป็นหลักฐานยืนยันความประมาทของ Sony ซึ่งเป็นผู้ให้บริการที่ควรจะต้องมีมาตรฐานในการป้องกันระบบของตนเองตามมาตรฐานกลางซึ่งก็มีกฎหมายของ US นะยิ่งข่าวมาแบบนี้ ผมคงเรียก TJ maxx 2 อ่ะ