สามธนาคารไทยปรับปรุง HTTPS ในสัปดาห์เดียวกัน ไม่มีใครมีช่องโหว่ร้ายแรงแล้ว

By lew Founder on Tag: Security, Thailand, Banking
Security

เมื่อวันเสาร์ที่แล้วมีรายงานทดสอบความปลอดภัยของการตั้งค่า TLS โดย rtsp จาก INOX สำหรับการเข้าเว็บธนาคารออนไลน์ของธนาคารในไทย และถูกแชร์ไปตามเว็บเครือข่ายสังคมออนไลน์หลายแห่ง วันนี้รายงานล่าสุดหลายธนาคารปรับปรุงจนไม่มีใครมีช่องโหว่ร้ายแรงแล้ว

รายงานก่อนหน้านี้เว็บ ktbnetbank.com มีการตั้งค่าที่เปิดช่องโหว่ POODLE เอาไว้ (ช่องโหว่รายงานมาตั้งแต่ปี 2014) ทำให้ SSL Labs ให้เกรดเป็น F ทันที ขณะที่เว็บ click.ktc.co.th รองรับการเข้ารหัส RSA-512 (ช่องโหว่รายงานต้นปี 2015) ได้เกรด F ไปเช่นกัน

หลังรายงานนี้เผยแพร่มาแล้ว 6 วันตอนนี้สามเว็บปรับปรุงขึ้นอย่างมาก ได้แก่ scbeasy.com (เดิม C มาเป็น A-), ktbnetbank.com (เดิม F มาเป็น A-), click.ktc.co.th (เดิม F มาเป็น C) ทำให้รายการทั้งหมดไม่มีใครได้เกรด F อีกแล้ว

ที่มา - SSL Security Test: Online Banking in Thailand (Feb 19, 2016, Feb 13, 2016)

upic.me

Hiring! บริษัทที่น่าสนใจ

Carmen Software company cover
Carmen Software
Hotel Financial Solutions
 Next Innovation (Thailand) Co., Ltd. company cover
Next Innovation (Thailand) Co., Ltd.
We are web design with consulting & engineering services driven the future stronger and flexibility.
 KKP Dime company cover
KKP Dime
KKP Dime บริษัทในเครือเกียรตินาคินภัทร
 Kiatnakin Phatra Financial Group company cover
Kiatnakin Phatra Financial Group
Financial Service
 Fastwork Technologies company cover
Fastwork Technologies
Fastwork.co เว็บไซต์ที่รวบรวม ฟรีแลนซ์ มืออาชีพจากหลากหลายสายงานไว้ในที่เดียวกัน
 Thoughtworks Thailand company cover
Thoughtworks Thailand
Thoughtworks เป็นบริษัทที่ปรึกษาด้านเทคโนโยลีระดับโลกที่คว้า Great Place to Work 3 ปีซ้อน
 Iron Software company cover
Iron Software
Iron Software is an American company providing a suite of .NET libraries by engineer for engineers.
 CLEVERSE company cover
CLEVERSE
Cleverse is a Venture Builder. Our team builds several tech companies.
 Nipa Cloud company cover
Nipa Cloud
#1 OpenStack cloud provider in Thailand with our own data center and software platform.
 Bangmod Enterprise company cover
Bangmod Enterprise
The leader in Cloud Server and Hosting in Thailand.
 CIMB THAI Bank company cover
CIMB THAI Bank
MOVING FORWARD WITH YOU - CIMB is the leading ASEAN Bank
 Bangkok Bank company cover
Bangkok Bank
Bangkok Bank is one of Southeast Asia's largest regional banks, a market leader in business banking
 MuvMi (Urban Mobility Tech Co.,Ltd.) company cover
MuvMi (Urban Mobility Tech Co.,Ltd.)
Shape the future of urban mobility towards affordable, clean, and safe solutions
 T.N. Digital Solution Co., Ltd. company cover
T.N. Digital Solution Co., Ltd.
TNDS has been involving in every first move of banking’s major digital transformation.
 KBTG - KASIKORN Business-Technology Group company cover
KBTG - KASIKORN Business-Technology Group
KBTG - "The Technology Company for Digital Business Innovation"
 Siam Commercial Bank Public Company Limited company cover
Siam Commercial Bank Public Company Limited
"Let's start a brighter career future together"
 Icon Framework co.,Ltd. company cover
Icon Framework co.,Ltd.
Global Standard Platform for Real Estate แพลตฟอร์มสำหรับธุรกิจอสังหาริมทรัพย์ครบวงจร มาตรฐานระดับโลก
 REFINITIV company cover
REFINITIV
The Financial and Risk business of Thomson Reuters is now Refinitiv
 H LAB company cover
H LAB
Re-engineering healthcare systems through intelligent platforms and system design.
 The Gang Technology Co., Ltd. company cover
The Gang Technology Co., Ltd.
We're a Digital Agency that helps our customers transform their business into digital with ease.
 LTMH company cover
LTMH
LTMH มุ่งเน้นการพัฒนาผลิตภัณฑ์ที่สามารถช่วยพันธมิตรของเราให้บรรลุเป้าหมาย
 Seven Peaks company cover
Seven Peaks
We Drive Digital Transformation
 Wisesight (Thailand) Co., Ltd. company cover
Wisesight (Thailand) Co., Ltd.
The Best Choice For Handling Social Media · High Expertise in Social Data · Most Advanced and Secure
 MOLOG Tech company cover
MOLOG Tech
We are Modern Logistic Platform, Specialize in WMS, OMS and TMS.
 Data Wow Co.,Ltd company cover
Data Wow Co.,Ltd
We enable our clients to realize increased productivity by solving their most complex issues by Data
 LINE Company Thailand company cover
LINE Company Thailand
LINE, the world's hottest mobile messaging platform, offers free text and voice messaging + Call
 LINE MAN Wongnai company cover
LINE MAN Wongnai
Join our journey to becoming No.1 food platform in Thailand

specimen Fri, 19/02/2016 - 12:39

เห็นรายงานนั้น ในเว็บนอก ส่งมาโดย google now
ยังคิดอยู่เลยว่า งานระดับนี้ มีคนรับผิดชอบระดับนี้ ปล่อยให้เป็นแบบนี้ได้ไง
สุดท้าย ต้องรีบแก้จริง ๆ ก่อนจะเสียชื่อหนักกว่านี้

jaideejung007 Fri, 19/02/2016 - 12:42

นอกเรื่องนะครับ

พอดีเครื่องผมใช้ KIS2016 License

เวลาเข้าเว็บ ktbnetbank.com มันขึ้นตามภาพ (สังเกตุตรง Chorme ยืนยันว่า K....)

ถือว่าปกติอยู่ใช่มั้ยครับ

และทำไม KIS ต้องมาออกยืนยันเองด้วย แก้ไขได้ไหมนะ

jaideejung007 Fri, 19/02/2016 - 14:40

คนๆ เดียวกันครับ

และยินดีที่ได้รู้จักครับ ใช้ยูสเซอร์เนมที่นั่นอะไรครับผม

Thaitop_BN Sat, 20/02/2016 - 06:42

ขอบคุณครับ ปิดละ ทำบางเว็บตอบสนองช้า ก็สงสัยอยู่ แต่นึกว่าเป็นเพราะเน็ตมากกว่า(ลองเปลี่ยน AV ช่วงเปลี่ยนเน็ตพอดี)

atheist Fri, 19/02/2016 - 13:00

ถ้าใช้ Avast! รุ่นปัจจุบัน ระบบ MITM มันจะไม่แตะเว็บธนาคาร หรือเว็บแนว ๆ ข้อมูล sensitive มันจะ bypass อัตโนมัติ

jaideejung007 Fri, 19/02/2016 - 14:48

ขออนุญาตตอบเม้นท์เดียวเลยนะครับ (กลัวโดนแจ้งว่าเป็นสแปมเม้นท์)

@lew แล้วแนะนำให้เปิดใช้งานต่อไปมั้ยครับ หรือปิดไปเลย รบกวนด้วยครับผม
@Freedomlover โอ้ มันสามารถปิดได้นี่เอง ขอบคุณมากครับ
@atheist แต่ KIS206 มันตั้งเป็นค่ามาตรฐานมาให้แบบนี้เลย ตกใจมาก
@wichate คุณพระ!

lancaster Fri, 19/02/2016 - 14:56

โดยส่วนตัวผมปิดหมดครับ

ประโยชน์ของมันคือเอาไว้สแกนเนื้อหาของเว็บไซต์ที่คุณกำลังเข้าว่ามี malware หรือเปล่า คงต้องลองพิจารณาความเสี่ยงจากพฤติกรรมการใช้เว็บของเราเองครับ

games2532 Fri, 19/02/2016 - 13:01

ผมว่าอีกสามธนาคารที่ยังได้เกรด C กับ B ควรพัฒนาให้เหมือนคนอื่นก็จะดีมากเลยนะครับ

ปล.สองในสามที่ติดสีเหลืองผมใช้อยู่ด้วยสิ = ="

Architec Fri, 19/02/2016 - 13:46

เว็บไทยโพส.... ธนาคารเงียบ

เว็บต่างประเทศโพสประจาน.... แก้ไขอย่างเร็ว

อืม...นะ

xx555 Fri, 19/02/2016 - 14:57

ยังนับว่า มีพัฒนาการขึ้นเยอะครับ

2-3ปีที่แล้ว ถ้าคนโพสมาแบบนี้ เผลอๆโดนแจ้งจับ หรือ ฟ้องหมิ่นประมาทด้วยซ้ำ

255BB Fri, 19/02/2016 - 14:10

ใช้ทั้ง KTB ,KTC โอนเงิน จ่ายค่าบัตรออนไลน์ตลอด เพิ่งรู้ว่าก่อนหน้านี้มีช่องโหว่ขนาดนี้ - -'

Hadakung Fri, 19/02/2016 - 17:35

คนไทยที่ใช้ ie6 เปิดเว็บธนาคารถ้าไม่จำเป็นจริงๆผมว่าน้อยมากๆเลยครับ เปิดเว็บทั่วไปแทบไม่ได้แล้ว คนใช้คอมไม่เป็นยังรู้เลย

toooooooon Fri, 19/02/2016 - 16:20

256RSA ส่วน SSLV3 นั้น ต้องวัดใจ ว่าจะเปิดดีไหม แค่ปิด SSLV3 นี่คะแนนขึ้นบาน
ถ้าปิด IE6 + XP ก็เข้าเว็บไม่้ได้

Ford AntiTrust Fri, 19/02/2016 - 16:27

SSLv3 ส่วนของ DMZ โดนสั่งปิดแน่นอนครับ (จริงๆ ต้องปิดตั้งแต่ปีก่อนแล้วแหละ) บางธนาคารปิดไปนานแล้ว ส่วนปีนี้คงปิดหมดแหละครับ เพราะหากไม่ทำ audit ไม่ผ่าน

Avexiouz Fri, 19/02/2016 - 22:18

ลองเว็บในเครือธนาคารอื่นๆ พวกหุ้น/กองทุน
bualuang.co.th ได้ F
thanachartfund.com ได้ C
krungsriasset.com ได้ C

แต่ที่น่าแปลกใจคือ order.tmbam.com ได้ A แบบถ้วนๆ ไม่ติดลบ
ทั้งๆที่ ME ควรจะซีเรียสกว่า แต่ยังได้แค่ B

Polwath Sat, 20/02/2016 - 08:52

ก็จริงแฮะ MEbyTMB น่าจะได้คะแนนสูงกว่าเว็บลงทุน ทั้งๆที่มีระบบ OTP อยู่แล้ว มีระบบจำกัดเยอะมาก (แต่ผมก็ยังใช้งานอยู่นะ)

เท่าที่ผมใช้มา เว็บ Portal ของ BBL เสถียรสุดแล้ว ปลอดภัยพอสมควร สามารถดูยอดเงินและกองทุนได้ในตัวเลย ไม่ต้องเปิดแยกเหมือนของ TMB ที่ยังแยกกันอยู่

xinexo Sat, 20/02/2016 - 17:25

ธนาคารแต่ละธนาคารนี่ฟิตจริงๆ ลองเล่นล่าสุดตอนนี้ของ KTB กลายเป็น A แล้ว ผ่านไปแค่ 3 วัน ดีขึ้นเร็วจริงๆ

แอบดีใจที่เห็นธนาคารไทยเห็นความสำคัญกับ Security มากขนาดนี้ เวลาโอนเงินจะได้สบายใจหน่อย

PH41 Sun, 21/02/2016 - 10:24

แต่อันนี้ประเมินได้แต่ SSL ยังไม่ได้ประเมิลช่องโหว่อย่างอื่น
มีใครมีเว็บไซต์ หรือเครื่องมือประเมินอย่างอื่นด้วยหรือป่าวครับ?

port อะไรเปิดอยู่, port อะไรควรปิด, OS เก่าไป, ไม่อัพแพท