รัฐโคโลราโดทำข้อมูลผู้เกี่ยวข้องกับคดีความกว่า 200,000 รายหลุดสู่อินเทอร์เน็ต

By: lew

on 15 December 2010 - 01:40 Tags:

Topics:

Security

Internet

USA

เหตุการณ์ร้ายแรงบางด้านความปลอดภัยบางครั้งก็เกิดขึ้นได้ง่ายๆ เมื่อพนักงานของรัฐโคโลราโดเผลอสำรองข้อมูลผู้ที่เกี่ยวข้องกับคดีอาญาทั้งหมด รวมผู้เสียหาย, ผู้ต้องสงสัย, และพยาน กว่าสองแสนรายการไปวางไว้บนเว็บเซิร์ฟเวอร์จนถูกเสิร์ชเอนจินต์มาดูดข้อมูลไป

ข้อมูลที่หลุดออกมาได้แก่ ชื่อ, หมายเลขโทรศัพท์, ที่อยู่, หมายเลขประกันสังคม, ตลอดจนข้อมูลอื่นๆ ที่เกี่ยวข้องกับการสอบสวน

การหลุดของข้อมูลนี้ส่งผลร้ายแรงหลายด้าน นับแต่ความเป็นส่วนตัวของทุกคนรวมถึงผู้ต้องสงสัย, การที่ผู้ต้องสงสัยจะรู้ตัวว่าถูกตำรวจจับตามองอยู่, และพยานที่อาจมีอันตรายได้

การรั่วไหลของข้อมูลหลายครั้งไม่ได้เกิดจากการที่ผู้ร้ายพยายามเจาะเอาข้อมูลออกไปอย่างจงใจ แต่เป็นความผิดพลาดของพนักงานเองที่วางข้อมูลเหล่านั้นไว้ในที่สาธารณะ หรือเผลอทำโน้ตบุ๊กหายจนข้อมูลหลุดออกไปได้ในที่สุด

แต่กรณีผิดพลาดแบบนี้ต่อให้ Full Disk Encryption ทั้งลูกก็ไม่ช่วยอะไร

ที่มา - ArsTechnica

Hiring! บริษัทที่น่าสนใจ

The Gang Technology Co., Ltd.

We're a Digital Agency that helps our customers transform their business into digital with ease.

Seven Peaks

We Drive Digital Transformation

Digital Health Venture., Ltd

DHV [Digital Health Venture] is an innovation and venture arm of Samitivej Hospital Group.

Comments

By: ipats

on 15 December 2010 - 03:06 #241320

เอาไปวางไว้ท่าไหนถึงเจอได้ล่ะนี่, auto directory index?

iPAtS

By: zerosource

on 15 December 2010 - 03:24 #241322

"แต่กรณีผิดพลาดแบบนี้ต่อให้ Full Disk Encryption ทั้งลูกก็ไม่ช่วยอะไร"

ทำไมล่ะครับ?

By: gudome

on 15 December 2010 - 04:03 #241324 Reply to:241322

น่าจะเป็นเพราะว่าเป็น User Error ครับ คือต่อให้ระบบเทพยังไงแต่ผู้ใช้นู้บ ก็เท่านั้น

By: hisoft

on 15 December 2010 - 07:52 #241339 Reply to:241324

ถ้าผมทำ Laptop ที่เข้ารหัสทั้งลูกหาย เค้าก็ไม่น่าจะเอาข้อมูลไปได้นี่ครับ

By: bongikairu

on 15 December 2010 - 08:16 #241341 Reply to:241339

กรณีนี้คือเค้าเอาข้อมูลไปวางไว้ใน web server ครับ คนอื่น/บอทก็สามารถเรียกใช้งานได้ผ่าน http ธรรมดาเลย

By: trufa

on 15 December 2010 - 05:07 #241327

ถ้าข้อมูลโครงการคุ้มครองพยานโดนด้วย นี่ซวยแน่ ๆ!!!!

Happiness only real when shared.

By: lingjaidee

on 15 December 2010 - 05:48 #241330

เออ .. แล้วแบบนี้ search engine จะผิดไหม
คัดลอกทำสำเนาข้อมูลของผู้อื่นผ่านระบบเครือข่ายโดยไม่ได้รับอนุญาติ -_-'

my blog

By: -Rookies-

on 15 December 2010 - 13:50 #241460 Reply to:241330

ไม่ผิดหรอกครับ SE เข้าไปเก็บในที่ๆ อนุญาตเท่านั้น คนตั้งค่าให้ที่ๆ ไม่ควรอนุญาตให้เป็นที่ๆ อนุญาตให้เข้าต่างหากที่ผิด (หรือในกรณีนี้ คนที่เอาข้อมูลที่ไม่ควรอนุญาตให้ใครดู ไปวางไว้ในที่ๆ อนุญาตให้ใครต่อใครดูนั่นแหละที่ผิด)

เทคโนโลยีไม่ผิด คนใช้มันในทางที่ผิดนั่นแหละที่ผิด!?!

By: S.T.E.Y.R.C.

on 15 December 2010 - 23:27 #241718 Reply to:241330

เจ้าของเว็บสามารถตั้งค่าได้ครับว่าจะไม่ให้เข้าไปตรงส่วนไหนบ้าง แต่ถึงอย่างไรก็ไม่ปลอดภัย 100% เพราะไม่ควรจะเอามาวางบน web server ตั้งแต่แรกแล้ว

By: joomla

on 15 December 2010 - 09:22 #241355

งามหน้าละคราวนี้ ใครจะรับผิดชอบ

By: Noppon

on 15 December 2010 - 09:33 #241361

ผมก็เคยประมาณนี้ ที่ลืมเซ็ต web server ภายใน (intranet) ให้สามารถเรียกดูได้เฉพาะภายในบริษัท (local) เท่านั้น
วันดีคืนดี ลองค้นชื่อตัวเองใน google เจอหน้าเวปภายในไปโผล่ในผลการค้นหาเฉยเลย รีบไปแก้ไขทันที ต้องรอพักใหญ่ ๆ เลย กว่า index ที่ทาง search engine เก็บรวบรวมไว้จะเคลียร์ออกไป ไม่ปรากฏในผลการค้นหาอีก

By: Virusfowl

on 17 December 2010 - 03:52 #242273

เหตุการณ์ร้ายแรงบางด้านความปลอดภัยบางครั้งก็เกิดขึ้นได้ง่ายๆ

ดูเหมือนตกคำว่า "อย่าง" ไปหรือเปล่าครับ? เป็น

เหตุการณ์ร้ายแรงบางอย่างด้านความปลอดภัยบางครั้งก็เกิดขึ้นได้ง่ายๆ

หรือจะมีคำว่า "บาง" เกินมา เป็น

เหตุการณ์ร้ายแรงด้านความปลอดภัยบางครั้งก็เกิดขึ้นได้ง่ายๆ

@ Virusfowl

I'm not a dev. not yet a user.

Main menu