Gizmodo และเว็บไซต์เครือ Gawker โดนเจาะ รหัสผ่านของผู้ใช้ถูกเผยแพร่!

By mk Founder on Tag: Security, Hacking, Gizmodo, Gawker
Security

เว็บไซต์ในเครือ Gawker Media (ที่ดังๆ ได้แก่ Gizmodo, Kotaku, Lifehacker) โดนเจาะ เป็นผลให้รหัสผ่านของผู้ใช้ 270,000 รายถูกเผยแพร่ออกมาบนอินเทอร์เน็ต

การเจาะระบบครั้งนี้ทำโดยกลุ่มแฮกเกอร์ที่เรียกตัวเองว่า Gnosis ซึ่งไม่พอใจที่ทีมงานของ Gawker ไปดูถูกเว็บบอร์ดและชุมชนแฮกเกอร์ 4chan จึงต้องการแก้แค้นกลับ

กลุ่ม Gnosis อธิบายว่าเจาะเข้าไปยังระบบ CMS ของ Gawker ได้ง่ายมาก (CMS พัฒนาขึ้นใช้เอง) เพราะตัว PHP framework มีรูรั่วมากมาย อีกทั้งเซิร์ฟเวอร์ก็ใช้ลินุกซ์เวอร์ชันเก่า

นอกจากนี้เมื่อได้ซอร์สโค้ดและฐานข้อมูลของ Gawker มาแล้ว กลุ่ม Gnosis ยังได้รหัสผ่านของทีมงาน Gawker มาด้วย และปรากฎว่า Nick Denton ผู้ก่อตั้ง Gawker ใช้รหัสผ่านเดียวกันหมด ทำให้ Gnosis เจาะเข้า Google Apps, Twitter และซอฟต์แวร์สนทนาแบบกลุ่ม Campfire อีกทอดหนึ่ง เป็นผลให้ได้รหัสผ่านของเว็บเครือ Gawker ทั้งหมด รวมถึงรหัสผ่านสำหรับล็อกอินไปยัง FTP ของบริษัทอื่นๆ ด้วย (เช่น FTP ของบริษัทเกมที่เปิดให้ทีมงานของเว็บไซต์ Kotaku เข้าไปดาวน์โหลดเกมก่อนวางจำหน่ายเพื่อรีวิว)

ปัญหาของสมาชิกเว็บในเครือ Gawker ก็คือข้อมูลทั้งหมดที่ Gnosis ได้มาถูกเผยแพร่ผ่าน BitTorrent เรียบร้อยแล้ว ดังนั้นคนที่มีสมาชิกเว็บเหล่านี้ควรเปลี่ยนรหัสผ่านโดยด่วน รวมถึงรหัสผ่านของเว็บไซต์อื่นๆ ด้วย ในกรณีที่ใช้รหัสผ่านเดียวกัน

คำแนะนำในการปฏิบัติตัวดูได้จาก Lifehacker

ที่มา - The Next Web, Mediaite

Hiring! บริษัทที่น่าสนใจ

Carmen Software company cover
Carmen Software
Hotel Financial Solutions
 Next Innovation (Thailand) Co., Ltd. company cover
Next Innovation (Thailand) Co., Ltd.
We are web design with consulting & engineering services driven the future stronger and flexibility.
 KKP Dime company cover
KKP Dime
KKP Dime บริษัทในเครือเกียรตินาคินภัทร
 Kiatnakin Phatra Financial Group company cover
Kiatnakin Phatra Financial Group
Financial Service
 Fastwork Technologies company cover
Fastwork Technologies
Fastwork.co เว็บไซต์ที่รวบรวม ฟรีแลนซ์ มืออาชีพจากหลากหลายสายงานไว้ในที่เดียวกัน
 Thoughtworks Thailand company cover
Thoughtworks Thailand
Thoughtworks เป็นบริษัทที่ปรึกษาด้านเทคโนโยลีระดับโลกที่คว้า Great Place to Work 3 ปีซ้อน
 Iron Software company cover
Iron Software
Iron Software is an American company providing a suite of .NET libraries by engineer for engineers.
 CLEVERSE company cover
CLEVERSE
Cleverse is a Venture Builder. Our team builds several tech companies.
 Nipa Cloud company cover
Nipa Cloud
#1 OpenStack cloud provider in Thailand with our own data center and software platform.
 Bangmod Enterprise company cover
Bangmod Enterprise
The leader in Cloud Server and Hosting in Thailand.
 CIMB THAI Bank company cover
CIMB THAI Bank
MOVING FORWARD WITH YOU - CIMB is the leading ASEAN Bank
 Bangkok Bank company cover
Bangkok Bank
Bangkok Bank is one of Southeast Asia's largest regional banks, a market leader in business banking
 MuvMi (Urban Mobility Tech Co.,Ltd.) company cover
MuvMi (Urban Mobility Tech Co.,Ltd.)
Shape the future of urban mobility towards affordable, clean, and safe solutions
 T.N. Digital Solution Co., Ltd. company cover
T.N. Digital Solution Co., Ltd.
TNDS has been involving in every first move of banking’s major digital transformation.
 KBTG - KASIKORN Business-Technology Group company cover
KBTG - KASIKORN Business-Technology Group
KBTG - "The Technology Company for Digital Business Innovation"
 Siam Commercial Bank Public Company Limited company cover
Siam Commercial Bank Public Company Limited
"Let's start a brighter career future together"
 Icon Framework co.,Ltd. company cover
Icon Framework co.,Ltd.
Global Standard Platform for Real Estate แพลตฟอร์มสำหรับธุรกิจอสังหาริมทรัพย์ครบวงจร มาตรฐานระดับโลก
 REFINITIV company cover
REFINITIV
The Financial and Risk business of Thomson Reuters is now Refinitiv
 H LAB company cover
H LAB
Re-engineering healthcare systems through intelligent platforms and system design.
 The Gang Technology Co., Ltd. company cover
The Gang Technology Co., Ltd.
We're a Digital Agency that helps our customers transform their business into digital with ease.
 LTMH company cover
LTMH
LTMH มุ่งเน้นการพัฒนาผลิตภัณฑ์ที่สามารถช่วยพันธมิตรของเราให้บรรลุเป้าหมาย
 Seven Peaks company cover
Seven Peaks
We Drive Digital Transformation
 Wisesight (Thailand) Co., Ltd. company cover
Wisesight (Thailand) Co., Ltd.
The Best Choice For Handling Social Media · High Expertise in Social Data · Most Advanced and Secure
 MOLOG Tech company cover
MOLOG Tech
We are Modern Logistic Platform, Specialize in WMS, OMS and TMS.
 Data Wow Co.,Ltd company cover
Data Wow Co.,Ltd
We enable our clients to realize increased productivity by solving their most complex issues by Data
 LINE Company Thailand company cover
LINE Company Thailand
LINE, the world's hottest mobile messaging platform, offers free text and voice messaging + Call
 LINE MAN Wongnai company cover
LINE MAN Wongnai
Join our journey to becoming No.1 food platform in Thailand

DesertWasabi Mon, 13/12/2010 - 23:22

นี่หรือ คือการกระทำของผู้ีที่เรียกตัวเองว่าแฮกเกอร์?

เจาะไม่พอ ยังแจกซะด้วยนะ

DesertWasabi Tue, 14/12/2010 - 14:53

คือที่ผมตั้งคำถามไปว่า นี่หรือที่เรียกว่าตัวเองว่าเเฮกเกอร์?

ก็เพราะว่า พฤติกรรมแบบนี้ มันออกแนวแครกเกอร์ซะมากกว่าน่ะครับ

iStyle Tue, 14/12/2010 - 23:31

นั่นมันเรื่องของยุคก่อนนี่ครับ
รู้ว่ามันผิด แต่ตอนนี้คนก็ยอมรับแฮกเกอร์ในความหมายนี้กันไปแล้ว

overbid Mon, 13/12/2010 - 23:44

ถ้าเจาะถึงฐานข้อมูลทั้งหมดได้แล้ว เข้ารหัสฐานข้อมูลไม่ช่วยหรอกครับ เพราะได้ตัวอย่างรหัสผ่านบางตัวมาแล้ว

DesertWasabi Mon, 13/12/2010 - 23:52

เข้ารหัส-รหัสผ่าน(ของผู้ใช้) != เข้ารหัสฐานข้อมูล ไม่ใช่เหรอครับ?

ถ้าสมมุติว่ารหัสผ่านของ-ผู้ใช้-ที่แจกออกไป ถูกเข้ารหัสแล้ว แล้วมีการเอารหัสนั้นเข้ามาล็อกอิน มันก็ล็อกอินไม่ได้ไม่ใช่เหรอครับ ช่วยอธิบายเป็นวิทยาทานให้ผมหน่อยครับ ยังงงๆ อยู่ ขอบคุณล่วงหน้าครับ

manaeeee Tue, 14/12/2010 - 00:47

คุณตอบเร็วมากเลยครับ รอดูบอลป่ะเนี่ย อิอิ
อันนี้ผมเดาเอานะครับ ที่เป็นแสนๆ รหัส เค้าคงไม่ได้แปลงกลับมาหมดหรอกครับ เค้าคงแปลงของบางคน เช่นเจ้าของเวบ

DesertWasabi Tue, 14/12/2010 - 00:52

อันนี้ผมเดาเอานะครับ ที่เป็นแสนๆ รหัส เค้าคงไม่ได้แปลงกลับมาหมดหรอกครับ เค้าคงแปลงของบางคน เช่นเจ้าของเวบ

อ๋อ อืมๆๆๆๆ แบบนั้นนั่นเอง ขอบคุณมากครับ

ส่วนที่ตอบไว พอดีทำงานไปด้วย อ่าน blognone ไปด้วยน่ะครับ :D

vv47424 Mon, 13/12/2010 - 23:29

โอ๊ย... เว็บอ่านข่าวไอทีอันดับสองของผม (รองจาก blognone เลยนะเนี่ย) เหอๆ ดีนะเนี่ย ใช้ Facebook account login

RYUTAZA Tue, 14/12/2010 - 00:27

ไม่ยักกะรู้ว่า 4chan นี้เป็นชุมชนแฮกเกอร์ด้วย สงสัยตั้งแต่ข่าวยูทูปโดนแฮคคราวที่แล้วละ เคยมีฝรั่งโพสต์ภาพที่ผิดกฏหมายไทยใน 4chan มีคนไทยไปช่วยกันแจ้งแอดมินเค้าก็ลบให้ ดูเป็นมิตรดีออกนะ.. หรือคนที่ทำ(แฮกเว็บอื่น+เรียกตัวเองว่าแฮกเกอร์)เป็นชุมชนในนั้นไม่เกี่ยวกับทีมงานเว็บหว่า... ถึงเวลารึยังที่ blognone จะแท็ค 4chan ได้อะฮิ ๆๆ

ป.ล.รหัสยูสที่สมัคร gizmodo นี้ generate มาหายห่วงอิอิ

Fzo Tue, 14/12/2010 - 00:13

โหด มว๊ากก

"Nick Denton ผู้ก่อตั้ง Gawker ใช้รหัสผ่านเดียวกันหมด" คำเดียวเลย chip หาย ระเนระนาด

sukoom2001 Tue, 14/12/2010 - 00:57

เป็นบทเรียนของเว็บครับ ว่าต้องระวังดูแลตัวเองมากกว่านี้ ส่วน พวก password เข้าใจว่าน่าจะเก็บไว้ตรง ๆมากกว่านะครับ เจ้าของเว็บก็พลาดตรงที่ใช้ password เดียวกันไปในหลายที่ คราวหน้าก็ต้องระวังตัวมากขึ้นครับ

BlackMiracle Tue, 14/12/2010 - 05:25

ที่จริงเค้าอาจจะอยากเจาะเข้าไปเอาฐานข้อมูลของ Gawker อย่างเดียวมังครับ แต่ดันเจอแจ็กพอตรหัสผ่านเดียวกันหมด เลยได้หลายเด้ง

pjgunner Tue, 14/12/2010 - 08:29

แฮคแล้วบอก ยังดีกว่าไม่บอก ตรงที่ว่า โดนแฮคแต่ไม่รู้ตัว ;)

ไม่ทราบว่าการเข้ารหัสให้ตรงกับพวก sha1 กับ salt ถ้ารหัสผ่านยาว 12 ตัวใช้เวลาแกะประมาณเท่าไหร่คับ

PaPaSEK Tue, 14/12/2010 - 09:11

จริงๆ แล้วผมคิดเอาเองว่าไม่น่าแกะได้ แต่ตามข่าวบอกว่าเว็บในเครือ Gawker ทำ CMS มาใช้เอง ผมเลยเดาว่าทางคนเขียน CMS ไม่ได้ Encrypt พวก Password เอาไว้

พอรู้ Password ของ Admin ทุกอย่างก็จบ
ยิ่งเป็น Password เดียวเที่ยวทั่ว Cyberspace ด้วยก็ยิ่งไปกันใหญ่

อีกอย่างที่เป็นข้อสังเกตุคือ Hacker ไม่ได้ Hack จากการแกะ Password แต่เป็นการ Hack จากช่องโหว่(Exploit) ของระบบซึ่งคิดว่าคนเขียน CMS นั้นคงไม่ได้ให้ความสำคัญกับระบบรักษาความปลอดภัย หรืออาจมีความรู้ไม่พอก็เป็นได้

tamujin Tue, 14/12/2010 - 09:22

ถ้าเข้าถึงฐานข้อมูลได้ ถึงจะเข้ารหัสก็ไร้ประโยชน์คับ เราก็สร้างรหัสของเราที่เข้ารหัสแบบเดียวกับเขาแล้ว update ลงฐานข้อมูล แค่นั้นเอง

lew Tue, 14/12/2010 - 09:28

เขา hash เพื่อไม่ได้รู้ว่ารหัสที่แท้จริงเป็นอะไรครับ กรณีการทำรหัสหลุดแล้วเอาไปใช้ที่อื่นต่อได้แบบกรณีนี้จะได้ไม่เกิดขึ้นอีก

PaPaSEK Tue, 14/12/2010 - 11:05

การ Encrypt ไม่ไร้ประโยชน์ครับ

เพราะในกรณีที่มีคนเจาะเข้า Database ของเราได้
แม้เค้าจะเอา Password เราไปได้
แต่ก็ไม่สามารถนำไปใช้กับระบบอื่นๆ ได้
(นอกเสียจากว่าจะ Hack เข้าระบบอื่นได้ และระบบเป้าหมายนั้นใช้ Hash Algo แบบเดียวกัน)

ผมถึงให้ข้อสังเกตุว่าในกรณีนี้ไม่น่าจะเข้ารหัสเอาไว้
เพราะสามารถนำ Password ที่เจาะมาจาก Database
ไปเข้าระบบอื่นๆ เช่น Twitter ได้

DesertWasabi Tue, 14/12/2010 - 14:56

อืม นั่นแหละ ผมก็คิดแบบเดียวกันครับ ว่าคงจะเก็บไว้ตรงๆ ไม่ได้เข้ารหัสไว้

ก็เลยถามไปตอนต้นคอมเมนต์ว่า เขาไม่ได้เข้ารหัสไว้เหรอ

คำถามต่อมาคือที่ไม่ได้เข้ารหัสไว้เพราะอะไร จะเพราะว่าลืม, ไม่ใส่ใจ,

หรือ เก็บรหัสของ User ไว้เพื่อ.......

อึ๋ย! ไม่อยากคิดต่อ

tamujin Wed, 15/12/2010 - 09:49

ไร้ประโยชน์หมายถึงถ้าเราแก้ไข db ได้นะคับการเข้ารหัสก็กันได้หละถูกแล้ว แต่ถ้าต้องการแก้พาสเวิดใหม่ให้ใครซักคนจาก db มันง่ายมาก ที่ผมคิดนะการที่จะแกะพาสที่เข้ารหัสแล้วมันอาจทำได้แต่ถ้าผมเป็นแฮกเกอนะ ผมเช็คจากรหัสผ่าน db ที่ลองเข้ารหัสแล้วเทียบกับ password ที่ถูกเข้ารหัสทุกคนว่าตรงกันไหม เพราะตามข่าวที่บอกเป็น cms เว๊บ cms ส่วนใหญ่เก็บ user กับ password ไว้ที่ไฟล์ๆนึงเลยคับ แล้วถ้าเป็น cms ที่เขาเขียนขึ้นเองอีก เขาอาจเก็บ user กับ password อย่างอื่นไว้ด้วยเช่น ftp ,ระบบเมล์ และอื่นๆ

ปล. ผมใช้ความรู้จากที่ผมเคยจับ cms มาอาจผิดพลาด ^^

figgaro Tue, 14/12/2010 - 10:12

MD5 มีเว็บ DECODER เยอะแยะครับ
SHA ก็มีคนถอดได้แล้ว

ไม่ใช่ถอดรหัสซิน่าจะเรียกว่าการเปรียบเทียบจาก Dictionary

PaPaSEK Tue, 14/12/2010 - 11:08

พวก Bruteforce นี่ต้องใช้เวลาครับ ถ้ามีเวลาก็โอเค
เพราะมันต้องไล่เรียงจาก Dictionary ไปเรื่อยๆ

ในกรณี Bruteforce สำหรับผมไม่ถือว่าเป็นการ Hack นะครับ
เพราะเหมือนเดาไปเรื่อยๆ เปลี่ยนจากการเดาของคนไปใช้การเดาของโปรแกรมแทน

sMaliHug Tue, 14/12/2010 - 11:47

ผมคิดว่า อย่างน้อยก็คงจะมีการ encryp โดยใช้ คีย์ของรหัสผ่าน + คำเฉพาะในcodephp encryp to md5 เป็นอย่างอย่างแน่นอนครับ นี้ถือว่าเป็นเบสิคที่สุดแล้ว แต่เนื่องจาก ได้ทั้ง code php ได้ทั้งฐานข้อมูลที่(อาจจะ)เข้ารหัสไว้แล้ว การที่จะ ถอดรหัส คงไม่ยากสำหรับ "กลุ่ม"คนที่เป็น Hacker ซึ่งนิยามของคำว่า Hack หรือ ถอดรหัสนั้น คงจะไม่ไปยึดติดกับ Algorithm หรอกนะครับ เพราะต้องบวกกับเทคนิค ที่ไม่ว่าจะใช้วิธีอะไรก็ได้ แต่เป้าหมายคือให้มันถอดกลับออกมาได้

PaePae Sat, 18/12/2010 - 01:04

เท่าที่ทราบ RO ยุคที่ AS เปิดเซิร์ฟเวอร์ไทยช่วงแรกๆ เก็บเป็น plain text เลยครับ ไม่รู้ว่าหลังจากนั้นเขา encrypt หรือยังนะ

susie888 Tue, 14/12/2010 - 11:35

แสดงว่า เวปมันเก็บพาสไว้ตรงๆ
เพราะว่า ถ้า md5 + salt นี่ ไม่มีทางแกะได้ เพราะมัน 128bit เป็นไปไม่ได้เลยที่จะ random

แล้วแบบนี้ เวปที่มีพวก opden id หรือพวก facebook login นี่ มันต้องเก็บ pw ไว้หมดเลยหรอ?

ketting Tue, 14/12/2010 - 22:44

ใครบอก md5 แกะไม่ได้ครับ โค้ดเดอร์ที่ forums ดอท digitalpoint ดอท com เขาแกะกันได้ภายใน 2 นาที ออกไปให้ไกลกว่าประเทศไทยหน่อยครับ อินเตอร์เน็ตอุตส่าห์ทำให้โลกเล็กลงแล้ว

ketting Wed, 15/12/2010 - 01:52

ผมไม่ได้บอกว่าทำเป็นแต่แรกแล้วนี่
แต่โปรแกรมข้างล่าง แคร็ก md5 ได้ใน 7.8 วินาที ทำไมคุณดูถูกคนอื่นขนาดนั้น
ผมว่าแทนที่จะดูหมิ่นคุณร่วมมือกับผมพัฒนาโปรแกรมดีกว่านะ ผมกำลังทำ live stream จากมือถือผ่านทางเว็บโดยตรงโดยไม่ใช้แฟรซ ผมว่าคำตอบคือ java script แต่มันก็หนีไม่พ้น flash อยู่ดี ถ้าคุณฉลาดกกว่าผมช่วยผมคิดดีกว่านะ ถ้าทำสำเร็จผมว่า microsoft กับ google แย่งซื้อเว็บคุณแน่
http://www.youtube.com/watch?v=RbmQlT__ycw

Poet_guy Wed, 15/12/2010 - 02:28

ผมว่าคุณต้องดูคลิปที่คุณเอามาวางให้ดีๆก่อนนะ
ว่าโปรแกรมที่ว่ามันทำอะไรกันแน่ = =" (มันไม่ใช่การ decrypt แน่นอนครับ)

ketting Wed, 15/12/2010 - 08:48

ว้าว! ท่าทางผมจะโง่สุดในเว็บนี้แฮะ

Ton-Or Fri, 17/12/2010 - 19:13

ผมไม่เคยใช้ tools ตัวนี้ เดี๋ยวจะลองหามาดูอีกที ว่าทำอะไรได้บ้าง
แต่จาก vdeo ผมว่า มัน สุ่ม pass จาก word list น่ะครับ

Perl Tue, 14/12/2010 - 17:31

แต่แค่ผู้ใช้งานเฉยๆนั้น ไม่สมควรโดนปล่อยพาสเวิร์ดสู่สาธารณะด้วยนะครับ
เพราะบางคนเขาใช้ E-Mail ทำงาน ทำธุรกรรมทางการเงินด้วย ลองนึกถึงความเสียหายที่จะตามมาเพียงเพื่อความสะใจดูครับ

audy Tue, 14/12/2010 - 23:00

ที่ฮาไม่ออกคือ รหัสผ่านที่เปิดเผยมา
มีไม่น้อยที่ตั้งไว้ง่ายมากๆ เข่น 12346, password
ถ้าเกิดใช้รหัสเดียวกันกับอีเมล หรือที่อื่นอีก
ก็แย่หน่อย

chalet16 Wed, 15/12/2010 - 19:32

จาก http://thenextweb.com/media/2010/12/14/an-interview-with-gnosis-the-group-behind-the-gawker-hacking/
บอกว่า
"I: We apologize that you were caught in the crossfire of this attack, if you have a sufficiently good password over 8 characters then you are most likely not at risk, anyone could have did what we did, it was wide open for everyone to exploit, we just got there first."
เข้าใจว่าน่าจะได้ออกมาเป็น hash นะครับ