Tags:
Node Thumbnail

วันนี้ทางทรูมูฟเข้าชี้แจงต่อกสทช. นายสืบสกล สกลสัตยาทร ผู้จัดการทั่วไปของบริษัท Ascend Commerce ผู้ให้บริการเว็บ iTrueMart (ปัจจุบันคือ WeMall) ก็ชี้แจงข้อมูลที่หลุดออกมา

ข้อความแถลงดังนี้ (พยายามตรงคำต่อคำ มีไม่ชัดเจนบ้างดูเพิ่มเติมในที่มา) "ถ้าไม่ใช่ผู้เชี่ยวชาญ ไม่สามารถเข้าถึงได้ ในกรณีนี้ผู้เชี่ยวชาญความจริงเขาไม่มีสิทธิ์ในการที่จะเข้าถึงสตอเรจตัวนี้ ได้ใช้เครื่องมือพิเศษ ซึ่งในบล็อกของเขาเองก็เขียนไว้ชัดเจนว่าตัวทูลเพิ่งสามารถใช้งานได้เมื่อต้นปีที่ผ่านมานี่เอง ทูลตัวนี้ทำให้ข้อมูลบน S3 ทั้งที่เป็นข้อมูลปกปิดกลับถูกเปิดเผยได้ทั้งหมด ต้องใช้ทูลถึง 3 ตัวถึงจะเข้าถึงข้อมูลได้ทั้งหมด ซึ่งข้อมูลที่เข้าถึงเป็นข้อมูลของลูกค้าทรูมูฟเอชที่สมัครหรือซื้อซิมพร้อมเครื่องมือถือผ่านช่องทาง iTrueMart เท่านั้น ในโฟลเดอร์มีเฉพาะไฟล์ที่เป็นสำเนาบัตรประชาชนของลูกค้าจำนวนทั้งหมด 11,400 ราย ในแง่ของข้อมูลอื่นๆ ที่ถูกแฮกไปไม่มีนอกจากนี้ มีเฉพาะสำเนาบัตร ไม่มีกระทั่งว่าเขาใช้เบอร์มือถืออะไร ซึ่งข้อมูลทั้งหมดตรงนี้ได้ถูก เ่ออ. อย่างที่เราทราบเรื่องเมื่อวันที่ 11 เมษายนที่ผ่านมา และทีมงานได้ปิดรูโหว่ตรงนี้ทันทีอย่างที่นาย Merrigan แจ้งในบล็อกของเขาก็คือวันที่ 12 เมษายนรูโหว่ได้ถูกปิดไปเมื่อเวลาหนึ่งทุ่ม เรายังไม่ได้นิ่งนอนใจแค่นั้น เรายังเพิ่มมาตรการต่างๆ ในการที่จะรักษาความปลอดภัยตรงนี้ให้แข็งแรงขึ้น เพราะต้องยอมรับว่า Cyber Security ในโลกยุคปัจจุบันก้าวหน้าอย่างรวดเร็วมาก มีทูล มีเครื่องมือใหม่ๆ ให้แฮกเกอร์ ให้คนที่เป็นพวก security agency ทั้งหลายใช้อย่างรวดเร็ว อันนี้ก็เป็นบทเรียนนึง อันนี้เป็นช่องทางของ iTureMart เท่านั้น"

ที่มา - SeeMe

ต่อจากนี้คือความเห็นและข้อมูลเพิ่มเติมของผม (lew ผู้เขียนข่าว)

ผมไม่ทราบว่าการชี้แจงของคุณสืบสกล เป็นการจงใจเบี่ยงประเด็นเพื่อลดความเสียหาย หรือถูกวิศวกรในบริษัทชี้แจงมาเช่นนี้จริงๆ และคุณสืบสกลก็เชื่อตามนั้น อย่างไรก็ตาม คำชี้แจงดูจะชี้นำให้ประชาชนเข้าใจผิดได้

ประเด็นแรกเครื่องมือทั้งสามตัวที่กล่าวถึงนั้นไม่ใช่เครื่องมือที่ทำให้ข้อมูลปิดลับสามารถอ่านได้แต่อย่างใด เครื่องมือเหล่านั้นเป็นเครื่องมือค้นหา AWS S3 bucket และลองตรวจสอบดูว่าคนทั่วไปสามารถอ่านข้อมูลภายในได้หรือไม่ แม้ว่าเครื่องมือที่สแกนแบบใช้งานง่ายเช่นนี้จะเพิ่งมีขึ้นมาในช่วงต้นปีที่ผ่านมา แต่การที่วิศวกรทำงานผิดพลาด เผลอเปิดข้อมูลออกสู่สาธารณะนั้นมีรายงานมาตั้งแต่ปี 2013 โดย Rapid7

วิศวกรจำนวนหนึ่งอาจจะเข้าใจผิดว่าการตั้งชื่อ bucket ให้แปลกเข้าไว้ คงไม่มีใครมาเห็น อย่างไรก็ตามความปลอดภัยก็น่าจะใกล้เคียงกับผู้ใช้ที่อยากคุยเรื่องส่วนตัวแล้วไปตอบกันในเว็บบอร์ดร้างๆ ที่ไม่ค่อยมีใครใช้ ที่สุดท้ายก็ข้อมูลหลุดได้อยู่ดี

ประเด็นที่สอง กระบวนการเข้าถึงข้อมูลทั้งหมดที่มีรายงานออกมาไม่ใช่การแฮก คุณ Merrigan แจ้ง bucket ที่เปิดสู่สาธารณะเท่านั้น คลาวด์สตอเรจทุกเจ้าล้วนเปิดให้ตั้งค่าปิดข้อมูลสำหรับผู้ใช้ที่ได้รับอนุญาตเท่านั้น (อ่าน FAQ เพิ่มเติมโดยคุณ Merrigan)

ประเด็นที่สาม ปัญหาไม่ใช่เครื่องมือที่พัฒนาไปรวดเร็ว แต่เป็นแนวทางทำงานภายในที่ต้องแก้ไข เครื่องมืออาจจะทำให้ปัญหามองเห็นในวงกว้างได้มากขึ้น หลังจากนี้คนไทยก็อาจจะใช้เครื่องมือเหล่านี้ตรวจสอบว่ามีการเปิดเผยข้อมูลของบริษัทในไทยบ้างหรือไม่ ชื่อบริษัทไทยอาจจะถูกกรองคำสำคัญเพื่อตรวจหา bucket กันมากขึ้น จากเดิมที่คุณ Merrigan มาพบ bucket ของ iTrueMart เพียงเพราะจำนวนไฟล์มากผิดสังเกต

สิ่งที่ Ascend ควรตอบคำถามคือเหตุใด bucket นี้จึงถูกตั้งค่าเป็นสาธารณะ มันถูกตั้งมาตั้งแต่เมื่อใด ด้วยเหตุผลอะไร นอกจากนี้ที่บริษัทอ้างว่ามีข้อมูลหลุดออกมาเพียง 11,400 รายการโดยไม่มีข้อมูลอื่น ก็ควรชี้แจงว่าไฟล์ใน bucket ทั้งหมด 45,736 นั้นเป็นไฟล์ประเภทใดบ้าง

Get latest news from Blognone

Comments

By: McKay
ContributorAndroidWindowsIn Love
on 17 April 2018 - 20:25 #1044753
McKay's picture

ขอ copy comment มาจากข่าวของคุณ wklk แล้วกัน

ผู้บริหารบริษัทของไทยยังต้องทำความเข้าใจเรื่อง security กันอีกเยอะ

ระบบ security ที่ดีจริงๆแล้วมันคือ ไม่ว่า tool ตัวไหนหรือใครจะทำอะไร จะซับซ้อนแค่ไหน ง่ายหรือยาก ก็ไม่ควรที่จะสามารถเข้าถึงข้อมูลได้ทั้งนั้น

พูดมาแบบนี้ security audit หน้าหงายกันหมด


In Soviet Warcraft, Argus comes to you.

By: Hadakung
iPhoneWindows PhoneAndroidWindows
on 17 April 2018 - 20:29 #1044757

เอาให้เต็มที่นะครับอย่าลืมออกหมายจับนักวิจัยคนนี้ละ ล่าให้เหมือนทักกี้เลยผมอยากรู้ว่าวงการ Security จะตอบโต้ยังไง...

By: zerocool
ContributoriPhoneAndroid
on 17 April 2018 - 20:31 #1044758
zerocool's picture

แทนที่จะขอโทษไปตรง ๆ กลับหาข้ออ้างบ่ายเบี่ยงไปวัน ๆ ทำงานแบบเอาตัวรอดไว้ก่อน สามัญสำนึกความรับผิดชอบต่อปัญหาที่เกิดขึ้นไม่มี


That is the way things are.

By: pd2002 on 17 April 2018 - 21:31 #1044776 Reply to:1044758

+1

By: tom789
Windows Phone
on 17 April 2018 - 22:31 #1044799 Reply to:1044758

+1

By: Mekokung
ContributorAndroidWindows
on 17 April 2018 - 23:05 #1044809 Reply to:1044758
Mekokung's picture

+1 คำว่าขอโทษนี้มันพูดยากขนาดนั้นเลยหรอครับ?????


Mekokung's Story บล็อกส่วนตัวที่ย้ายไป Blogger แล้วนะ

By: ash_to_ash
AndroidWindows
on 18 April 2018 - 00:27 #1044826 Reply to:1044809

ผมว่ามันต้องเริ่มจากการยอมรับปัญหาหก่อนครับ แตอ่านไปเหมือนแถว่า "ผมเอาลวดเหล็กคล้องประตูไว้แล้วแต่แต่มีคนมาชี้บอกว่า เฮ้ๆเอาสายคล้องงี้ไม่ปลอดภัยนะ แล้วพยายามจะฟ้องเค้าด้วยข้อหาบุกรุก"

By: icez
ContributoriPhoneAndroidRed Hat
on 18 April 2018 - 01:28 #1044839 Reply to:1044826

เคสนี้เทียบแบบนี้ก็ไม่ถูกครับ ผมว่าต้องเทียบว่าเปิดประตูบ้านทิ้งไว้เลย

By: KR on 18 April 2018 - 11:37 #1044964 Reply to:1044839

เปิดประตูบ้านแล้ววางของมีค่าทิ้งไว้ที่หน้าประตู แล้วหวังว่าจะไม่มีใครผ่านมาเห็นประตู

By: devilblaze
iPhoneAndroidWindows
on 18 April 2018 - 03:02 #1044849 Reply to:1044758
devilblaze's picture

ถ้าแถไปแบบนี้ มีผลดีอย่างคือภาพลักษณ์ต่อแบรนด์ไม่พังลงทั้งหมด

สูตรนี้เหมือนใช้กันเยอะ คิดว่าคงอยู่ในตำรารับสถานะการ์ณพวกนี้ไปแล้ว

มันคงต้องเลือกระหว่างลอกสีที่ทาไว้ทั้งหมดออกแล้วทาใหม่ หรือ ทาสีโปะแล้วทำเป็นลืมๆว่าเคยถลอก เหอๆ
...............
แน่นอนเคสนี้ทรูเลือกทาสีโปะส่วนที่ถลอก คนตาดีจำได้ย่อมรู้ว่ามันเคยถลอก

By: adente
ContributorSUSESymbianWindows
on 18 April 2018 - 11:26 #1044958 Reply to:1044849
adente's picture

แต่ถ้าแถทั้งที่ผิดเอง มันติดลบในใจลูกค้ามากๆเลยนะครับ เห็นมาเยอะ สู้รับผิดไปตรงๆ ยอมรับและปรับปรุง แบรนด์พังจริง แต่มันได้ใจลูกค้ามากกว่า

By: mr_tawan
ContributoriPhoneAndroidWindows
on 20 April 2018 - 22:48 #1045599 Reply to:1044849
mr_tawan's picture

ในสายตา developer ที่เป็น potential candidate ตอนนี้แบรนด์มันพังไม่เหลืออะไรแล้วครับ คนก็จะพูดต่อ ๆ กันไปเรื่อย ๆ ว่าผู้บริหารที่นี่ไร้น้ำยา ไร้ความรู้ความสามารถ ได้แต่พูดมั่ว ๆ เอาตัวรอดไปวัน ๆ และเป็นวิธีไต่เต้าขึ้นมาเป็นผู้บริหาร ซึ่งกลายเป็นว่าภาพลักษณ์ของที่นี่คือคนที่มีความสามารถไม่มีทางเป็นใหญ่เป็นโตได้

ข้างบนนี่ผมไม่ได้เป็นคนคิดนะ อันนี้ฟังมาอีกที


  • 9tawan.net บล็อกส่วนตัวฮับ
By: ttong on 18 April 2018 - 10:18 #1044940 Reply to:1044758

+1 ครับ
อ่านคำชี้แจงแล้วรู้สึกแย่จริงๆ

By: Go-Kung
iPhoneWindows PhoneAndroidBlackberry
on 18 April 2018 - 11:25 #1044957 Reply to:1044758

อ่านข่าวแล้วได้แต่ถอนหายใจ

เดี๋ยวนี้การออกมาพูด/แถลงแก้ตัวแบบน้ำขุ่นๆมีมากขึ้นกว่าเมื่อก่อนเยอะมากจริงๆ
คิดจะพูดอะไรก็พูด ดูถูกผู้รับฟังเป็นอย่างมาก

By: dangsystem
iPhoneAndroidBlackberryWindows
on 18 April 2018 - 11:41 #1044968 Reply to:1044758
dangsystem's picture

ผมว่าเขาขอโทษและน่ะ แต่ก็ตามมาด้วยข้อความตามข่าว

By: carrot on 17 April 2018 - 20:54 #1044760

ทรู ชื่อนี้การันตีคุณภาพ ตั้งแต่หัวยันหาง

ทำแบบนี้ได้ในเฉพาะประเทศด้อยพัฒนาอย่างเรา

By: jaideejung007
ContributorWindows PhoneWindows
on 17 April 2018 - 20:46 #1044761
jaideejung007's picture

ทำไมเป็นแบบนี้...

By: peat_psuwit
ContributorAndroidUbuntuWindows
on 17 April 2018 - 20:47 #1044762

แนวคิดแบบนี้คือ security through obscurity ครับ คือคิดว่าความปลอดภัยรักษาได้ด้วยการปิดการทำงานภายในเป็นความลับ (ในที่นี้คือรหัส S3 bucket ซึ่งไม่ได้หายากอะไรเลย) ซึ่งเป็นแนวคิดที่ไม่ถูกต้อง
วิธีที่ถูกต้องคือ ต้องกำหนดสิทธิ์การเข้าถึงให้ถูกต้อง แม้จะรู้การทำงานภายในทั้งหมด ก็จะต้องไม่สามารถเข้าถึงข้อมูลได้ครับ

By: xx555
ContributoriPhone
on 18 April 2018 - 14:18 #1045039 Reply to:1044762

+1

By: mr_tawan
ContributoriPhoneAndroidWindows
on 20 April 2018 - 22:49 #1045600 Reply to:1044762
mr_tawan's picture

เป็นวิธีที่ไม่ควรใช้เป็นวิธีหลักครับ ควรใช้เป็นวิธีร่วมกับวิธีอื่นที่มีความแข็งแรง


  • 9tawan.net บล็อกส่วนตัวฮับ
By: viroth
ContributorBlackberryIn Love
on 17 April 2018 - 20:49 #1044763
viroth's picture

คนแรกบอกข้อมูลที่หลุดเป็นแค่ภาพหน้าบัตร ข้อมูลเชิงลึกยังอยู่
คนที่สองบอกว่าถูกแฮก โดยการที่มีคนเปิด public แล้วดั้นมีคนไปเจอโดยเครื่องมีที่เค้ามีใช้กันอยู่แล้ว
มาดูกันว่าพรุ่งนี้จะมีตัวละครไหนมาเล่นปาหี่ให้ดูอีก
ดูถูกสติปัญญากันเสียฉิป

By: boatboat001
iPhoneWindows
on 17 April 2018 - 20:52 #1044765
boatboat001's picture

#คุณก็รู้ที่นี่ประเทศไทย

By: Witna
ContributoriPhoneAndroidWindows
on 17 April 2018 - 21:06 #1044769

ซึ่งข้อมูลทั้งหมดตรงนี้ได้ถูก เ่ออ. อย่างที่เราทราบ

ถูก เ่ออ. ???

By: acitmaster
AndroidUbuntuWindowsIn Love
on 17 April 2018 - 21:07 #1044770
acitmaster's picture

ไม่มืออาชีพ​เลย

By: ck4u
iPhoneWindows PhoneBlackberrySymbian
on 17 April 2018 - 21:09 #1044771

แถ แถด แถด แถด

By: kanfatboy
Windows PhoneAndroidSymbianUbuntu
on 18 April 2018 - 10:01 #1044925 Reply to:1044771
kanfatboy's picture

เเถจนสีข้างถลอกจนเห็นกระดูก

By: ck4u
iPhoneWindows PhoneBlackberrySymbian
on 18 April 2018 - 11:44 #1044970 Reply to:1044925

ใช่ๆ คิดว่าคนอื่นเขาไม่รู้หรอ ไม่รู้ทำไมถึงออกมาพุดแบบนี้

By: gotobanana
iPhoneAndroidBlackberrySymbian
on 17 April 2018 - 21:14 #1044772
gotobanana's picture

จะฟ้องตนออกมาบอกช่องโหว่ Thailand Only

By: frameonthai
ContributoriPhoneAndroidSymbian
on 17 April 2018 - 21:20 #1044774
frameonthai's picture

นี่มันกล้าขนาดไหนที่จะดูถูกสติปัญญาลูกค้าตัวเองเนี่ย...

By: Fourpoint
Windows PhoneAndroidSymbian
on 17 April 2018 - 21:25 #1044775

อืม เห็นอีกข่าวกำลังพิจารณาว่าจะฟ้องนักวิจัยที่ให้ข้อมูลไหม เดาถูกจริงๆ แบบนี้เรียกว่าการแก้ปัญหาแบบไทยๆมาก

ถ้าเป็นหน่วยงานรัฐคงใช้ม.44 จับไปแล้วมั๊ง เฮ้อ....

By: foizy
AndroidUbuntuWindows
on 17 April 2018 - 21:46 #1044780

ช่างกล้าโดยแท้
รวมกับโพสต์ก่อนหน้าที่ว่า กสทช.จะตั้งศูนย์ข้อมูลเอง แล้วน้ำตาจะไหล
นอกจากดูถูกสติปัญญาของเหล่า Dev/SysOp/DevOp ที่ทำงานและตามข่าวอยู่แล้ว
ยังประเมินความสามารถของตัวเองสูงเกินไปอีกด้วย

เสียดายที่ CloudTrial ไม่ฟรี และไม่เปิดเป็น Default สำหรับ management option ไม่งั้นการจะ track ว่าใครไปเปลี่ยน ACL นั้นคงง่ายขึ้นมาก

By: xx555
ContributoriPhone
on 18 April 2018 - 14:18 #1045040 Reply to:1044780

+1

By: ciscoccna
Windows Phone
on 17 April 2018 - 21:51 #1044781

ผมไปทำงานที่ TXX IDC ทุกวัน เห็น Amazon AWS มาอบรมพนักงาน TXX IDC บ่อยมาก แล้วต่อจากนี้จะเป็นยังไงต่อไป 5555555555555

By: errin on 17 April 2018 - 21:53 #1044785

ภาษาไทยวันละคำ

"แฮก"
1. การเข้าถึงข้อมูลจากภายนอกโดยผู้ดูแลทำการตั้งค่าเป็น Public
2. เจ้าของบัญชีทำการ Log in account ค้างไว้แล้วมีคนมาใช้ต่อ

By: Architec
ContributorWindows PhoneAndroidWindows
on 17 April 2018 - 21:55 #1044786

ความรู้สึกในใจก็เหมือนกับเจ้าของคลิปนี้กล่าวไว้ ณ นาทีที่ 3:47
https://youtu.be/rlf-DJLwvRI?t=3m40s
แฮก..........

By: sakoolar
iPhoneAndroidWindowsIn Love
on 17 April 2018 - 22:08 #1044792

ถ้าเกิดเป็นคนไทยหาข้อมูลตรงนี้เจอ จะโดนฟ้อง พรบ คอมไหมครับแบบนี้

By: KR on 18 April 2018 - 11:39 #1044967 Reply to:1044792

ถ้าเป็นคนไทยป่านนี้นอนคุกไปแล้ว

By: Mars2005
iPhoneWindows PhoneAndroidBlackberry
on 17 April 2018 - 22:13 #1044794
Mars2005's picture

ดีใจที่ไม่เคยคิดใช้ทรู

By: bahamutkung
ContributorAndroidWindowsIn Love
on 17 April 2018 - 22:13 #1044795
bahamutkung's picture

นี่ก็คือหน้าตาเครื่องมือพิเศษที่เจาะเข้าไปในหัวของแอดมินเพื่อสั่งให้เปิดประตูบ้านครับ

alt="Ygx0B0.jpg"


"With the first link, the chain is forged. The first speech censured, the first thought forbidden, the first freedom denied, chains us all irrevocably."

By: tom789
Windows Phone
on 17 April 2018 - 22:19 #1044796

พุดแบบนี้ อเมซอน จะเสีย เอานะ คนจะมองว่า อมเซอนมันแฮกงายแบบที่ว่าทรูว่าเอา ซึ่งอมเซอน ให้บริการทั่วโลก แฮ็กได้ง่ายๆขนาดนั้นเลย

By: ReddevilboyZ
ContributoriPhoneAndroidWindows
on 17 April 2018 - 22:39 #1044802

มีคนไหนในหมื่นกว่าราย ได้รับการแจ้งเตือนบ้างรึยังครับ

No Description

By: OXYGEN2
ContributoriPhoneAndroidWindows
on 17 April 2018 - 23:04 #1044807 Reply to:1044802
OXYGEN2's picture

ผมเป็นหนึ่งในหมื่นกว่ารายแน่นอนครับ เพราะเปิดเบอร์กับ iTruemart

บนเอกสารผมกำกับไว้ด้วยว่าใช้เพื่อเปิดเบอร์ 081-XXX-XXXX การที่บอกว่าหลุดแค่หน้าบัตร ไม่ได้หลุดเบอร์โทร ตรงนี้มั่วละครับ อย่างน้อยผมก็คนนึงที่เขียนเบอร์ไว้ในเอกสารก่อนอัพโหลดขึ้นไปใน iTruemart

และผมยังไม่ได้รับการแจ้งเตือนจาก iTruemart ว่าข้อมูลหลุดครับ


oxygen2.me, panithi's blog

Device: ThinkPad X1 Carbon, T480s, iPhone 8 Plus, XS Max, Galaxy Note 8

By: mr_tawan
ContributoriPhoneAndroidWindows
on 17 April 2018 - 23:32 #1044812
mr_tawan's picture

https://th.jobsdb.com/th/en/job/senior-security-engineer-300003001614056?sr=1

น่าจะมีคนโดนสังเวยไปแล้วนะครับ


  • 9tawan.net บล็อกส่วนตัวฮับ
By: poa
Android
on 17 April 2018 - 23:51 #1044817 Reply to:1044812

คนจะรับงานนี้ต้องคิดหนักเลย ไม่รู้ต้องตามอุดรูรั่วอีกกี่รู

By: fullstepmixsong on 18 April 2018 - 08:30 #1044882 Reply to:1044817

จริงๆมันอาจจะไม่มีรูรั่วอะไรก็ได้ครับ เพราะ Default ของ S3 Bucket มันเป็น Private อยู่แล้ว

By: ash_to_ash
AndroidWindows
on 18 April 2018 - 00:29 #1044830 Reply to:1044812

Dark joke สินะ

By: conandark
AndroidSUSESymbianUbuntu
on 18 April 2018 - 01:40 #1044843 Reply to:1044812
conandark's picture

หรืออาจจะไม่เคยมี

By: coupen on 18 April 2018 - 01:37 #1044841

TRUE NOOB

By: aeksael
ContributoriPhoneWindows PhoneAndroid
on 18 April 2018 - 01:41 #1044844 Reply to:1044841
aeksael's picture

GGWP


The Last Wizard Of Century.

By: pepporony
ContributorAndroid
on 18 April 2018 - 06:00 #1044856

ถ้าคิดว่าเป็นการแฮ็ก ขอเชียร์ให้แจ้ง Interpol ตามรวบตัวในเมอร์ริแกนเลยครับ!

อยากเห็น

By: waroonh
Windows
on 18 April 2018 - 07:18 #1044865

เครื่องผม ip 127.0.0.1 มาแฮ๊กได้เลยครับ ไม่กลัวอยู่แล้ว

By: lighterstudioz on 18 April 2018 - 07:50 #1044869

เห็นข่าวเรื่องนี้แล้วรู้สึกเจ็บปวดใจกับบ้านเรามากๆ จะไป Thailand 4.0 ? เรื่องแค่นี้ยังไม่เข้าใจกันอีกเลย

นึกถึงตอนสมัยก่อน ทำงานให้หน่วยงานรัฐหน่วยงานนึง แล้วดันไปเจอโปรแกรมนึงที่เขาเขียนด้วย VB.NET แล้วดันเอารหัสผ่านฐานข้อมูลใส่ไว้ใน settings ของ project มันเลยเก็บอยู่ในไฟล์ xml ธรรมดาเนี่ยแหละ พอลอง connect ไปดู ผลคือเชื่อมต่อได้ และก็พบกับฐานข้อมูลของโปรแกรมอื่นๆ อีกจำนวนมาก (คงจะใช้รหัสผ่านเดียวกันทุกระบบ) รวมถึงฐานข้อมูลบุคลากร เงินเดือน ฯลฯ

ผมคิดว่ามันเป็นเรื่องสำคัญ จึงพยายามแจ้งไปยังผู้พัฒนาโปรแกรม กว่าจะหาทางติดต่อได้ สุดท้ายก็โดนกล่าวหาว่าเราไป Hack ข้อมูลของเขา พยายามจะอธิบายอะไร ก็ไม่มีใครเข้าใจ จนต้องยอมรับและสัญญาว่าจะไม่ทำอีก (ไม่ Hack อีก)

จะตั้งใจเรียน เก็บเงิน แล้วไปอยู่ต่างประเทศดีกว่า เทคโนโลยีบ้านเราจะดันขึ้นไปทำไม่ไหวจริงๆ

By: landoflaf
Windows
on 18 April 2018 - 14:44 #1045047 Reply to:1044869
landoflaf's picture

4.0 เป็นแค่การสร้างภาพลักษณ์เฉยๆ ครับ คล้ายๆกับคำที่พูดเอาเท่ พูดแล้วดูเจ๋ง แต่จริงๆกลวงโบ๋
เหมือนบอกว่า "ให้ทุกคนสร้างบ้านสวยๆนะ ออกแบบให้ดีเยี่ยมทันสมัย เราไม่รู้ว่าคุณสร้างกันอย่างไร แต่คุณต้องสร้างให้สวยนะ เราเป็นกำลังใจอยู่ห่างๆอย่างห่วงๆ"

By: Go-Kung
iPhoneWindows PhoneAndroidBlackberry
on 18 April 2018 - 15:34 #1045057 Reply to:1044869

4.0 ผมพยายามทำความเข้าใจอยู่พักใหญ่ๆก็ยังไม่เข้าใจ เข้าใจได้แค่ว่ามันคือวาทกรรมสวยๆที่เอาไว้พูดอวดตามสไตล์ราชการ
แต่ของจริงคืออะไรตอนนี้คนที่ริเริ่มยังตอบในเชิง implementation ไม่ได้เลยมั้งครับ

เพราะที่สื่อสารออกมามันมีแต่ภาพในอุดมคติซึ่งหลายๆเรื่องไม่สามารถทำให้เป็นจริงได้ หรือทำได้ยากมากด้วยซ้ำ

By: 255BB
Android
on 18 April 2018 - 07:53 #1044870

เราทราบเรื่องเมื่อวันที่ 11 เมษายนที่ผ่านมา >>> เค้าแจ้งตั้งแต่เดือนมีนาแล้วนี่

อ่านข่าวแล้วหงุดหงิด ออกมาให้ข่าวดูถูกคนไทยชะมัด รู้สึกดีที่ย้ายค่ายตั้งแต่ธันวาคม

By: btoy
ContributorAndroidWindows
on 18 April 2018 - 08:32 #1044884
btoy's picture

คือต้นเหตุมันก็คงอยู่ที่หน่วยงานที่กำกับจริงๆล่ะครับ ที่ปล่อยให้ผู้ประกอบการที่ทำผิดพลาด ออกมาพูด สื่อสารหรือทำอะไรที่มันดูไร้เหตุผลได้อยู่เรื่อยไป เง้อ มันเป็นมาตรฐานที่แย่ๆของบ้านเราสินะ


..: เรื่อยไป

By: IDCET
Contributor
on 18 April 2018 - 08:44 #1044888

พูดแบบนี้ อย่าพูดเลยดีกว่า เสียชื่อวงการ Security หมด สิ้นคิดจริงๆ

ส่วน กสทช. จะมีไว้ทำไม ทำอะไรก็ไม่เป็นชิ้นเป็นอัน เสียดายงบประมาณเปล่าๆ ควบคุมอะไรก็ไม่ได้ ไม่เคยเรียนรู้ อย่ามีเลยดีกว่า

ส่วนเราก็ทำได้แค่บ่นด่ากันไป ถ้าไม่มาแสดงออกอย่างจริงจังเสียที บริษัทก็ยังจะเป็นแบบนี้ต่อไปเรื่อยๆ ไม่รู้จบ

By: overbid
ContributorAndroidRed HatUbuntu
on 18 April 2018 - 09:23 #1044897

อยากพูดสามคำให้ true แต่กลัวโดนแบน

By: planepisode on 18 April 2018 - 09:53 #1044914
planepisode's picture

เทหุ้นทรูทิ้งครับ.

By: kanfatboy
Windows PhoneAndroidSymbianUbuntu
on 18 April 2018 - 09:59 #1044919 Reply to:1044914
kanfatboy's picture

เทเลยครับ ดอยทั้งชาติ ขาดทุนทุกปี

By: acitmaster
AndroidUbuntuWindowsIn Love
on 18 April 2018 - 11:11 #1044956
acitmaster's picture

มีใครแจ้ง AWS รึยัง
เพราะทรูบอกว่าระบบเขาไม่ปลอดภัยมีการ "แฮก" เข้าไปได้โดยใช้ "เครื่องมือพิเศษ"

By: Iamz
AndroidWindows
on 18 April 2018 - 11:38 #1044966 Reply to:1044956

ผมอยากให้ True IDC โดนถอดสถานะ partner ออกมากเลยแต่ก็รู้ว่าในทางกฎหมายมันถือว่าไม่เกี่ยวอะไรกัน แต่ในมุมมองคนข้างนอกทั่ว ๆ เค้าก็คิดว่าคือ True นั่นแหละ เป็น partner ออกมาพูดว่า AWS โดนแฮกน่าจะจริง

By: KR on 18 April 2018 - 11:45 #1044971 Reply to:1044966

การที่เค้ามาแถแบบนี้ เราว่ามันทำให้ AWS เสียชื่อในเมืองไทยมากเลยนะ โดยเฉพาะกับคนที่ไม่ได้เชี่ยวชาญเทคโนโลยีเท่าไหร่ เช่นมือใหม่หรือเด็กๆนักเรียนนักศึกษาที่กำลังตัดสินใจว่าจะลองใช้ดีไหม ไหนจะพวกคนอนุมัติอีก ลองคิดว่าถ้าตอนนี้จะตัดสินใจใช้ AWS ในบริษัท แล้วหัวหน้าหรือผู้จัดการเชื่อคำแถลงของทรูแบบนี้ เค้าก็คงไม่กล้าอนุมัติให้ใช้ แล้วแบบนี้จะบอกว่าเป็น Partner ได้ยังไง ถึงจะคนละบริษัทก็เหอะ

By: username
AndroidSUSEWindows
on 18 April 2018 - 11:46 #1044972
username's picture

ถ้าแฮ็คจริงต้องแจ้งความ แต่นี่เงียบๆแสดงว่า...

By: nuttwud009
Red HatUbuntuWindows
on 18 April 2018 - 11:46 #1044973

ดีใจมากที่ไม่มีอะไรในชีวิตเกี่ยวข้องกับ บ. นีั

By: nrml
ContributorIn Love
on 18 April 2018 - 12:37 #1044991 Reply to:1044973
nrml's picture

ถึงแม้จะไม่ได้เกี่ยวข้องทางตรง แต่ผมว่าในชีวิตคุณต้องมีอะไรสักอย่างที่ต้องไปเกี่ยวข้องในทางอ้อมไม่มากก็น้อย

By: Go-Kung
iPhoneWindows PhoneAndroidBlackberry
on 18 April 2018 - 13:28 #1045008 Reply to:1044973

แต่บ.ร่วมเครือนี่โอกาสหนีรอดมีน้อยมากเลย

ผมพยายามเลี่ยงเหมือนกัน แต่สุดท้ายก็มีจังหวะต้องเดินเข้า 7-11 บ้างเมื่อหาร้านสะดวกซื้ออื่นไม่ได้

By: mrdd on 18 April 2018 - 12:40 #1044993

ได้เอา เสียไม่ยอม
นี่แหละคือปรัชญาการทำงานของพวกพ่อค้าไก่

By: i3i4i5
ContributoriPhoneWindows
on 19 April 2018 - 00:14 #1045154
i3i4i5's picture

No Description


i6i7i8