Tags:
Node Thumbnail

Reddit แจ้งผู้ใช้ว่าช่วงเดือนมิถุนายนที่ผ่านมาแฮกเกอร์ได้เข้าถึงโครงสร้างคลาวด์และระบบเก็บซอร์สโค้ด ด้วยการดักรับ SMS ที่ผู้ดูแลระบบใช้เป็นโทเค็นล็อกอินขั้นที่สอง ทำให้แฮกเกอร์เข้าถึงข้อมูลผู้ใช้ได้ด้วย แม้ฐานข้อมูลจะไม่ถูกแก้ไข และบัญชีที่หลุดไปจะไม่มีสิทธิ์เขียนข้อมูลในระบบหลัก แต่ก็มีข้อมูลผู้ใช้หลุดออกไปด้วย

ข้อมูลที่แฮกเกอร์อ่านไปได้ ได้แก่ ล็อกไฟล์อื่น, ซอร์สโค้ดของระบบ, ไฟล์คอนฟิกต่างๆ และข้อมูลที่กระทบต่อผู้ใช้
โดยแบ่งออกเป็นสองกลุ่ม

  • ฐานข้อมูลจนถึงปี 2007 เป็นฐานข้อมูลทั้งหมด ทำให้ข้อมูล ชื่อผู้ใช้, อีเมล, รหัสผ่านที่แฮชพร้อม salt, โพสสาธารณะ, ข้อความส่วนตัว ตั้งแต่ก่อตั้งเว็บจนถึงเดือนพฤษภาคม 2007 ถูกแฮกเกอร์เข้าถึง ตอนนี้ทาง Reddit กำลังติดต่อผู้ใช้ที่ได้รับผลกระทบทั้งหมดให้รีเซ็ตรหัสผ่าน
  • ล็อกส่งเมลสรุปเดือนมิถุนายน 2018 ข้อมูลล็อกไฟล์จากการส่งอีเมลสรุปในช่วงวันที่ 3 มิถุนายนจนถึงวันที่ 17 มิถุนายนที่ผ่านมา ทำให้เห็นชื่อผู้ใช้และอีเมล ผู้ใช้สามารถตรวจว่าได้รับเมลจาก noreply@redditmail.com ในช่วงเวลาดังกล่าวหรือไม่

ปัญหาสำคัญของข้อมูลที่หลุดไปคือผู้ใช้จำนวนหนึ่งไม่ต้องการเปิดเผยตัวว่าเป็นผู้ใช้ชื่อใดใน Reddit ทาง Reddit แนะนำว่าหากไม่ต้องการเปิดเผยให้แจ้งลบข้อมูลออกได้ และขอให้ระวังถูกอีเมล phishing จากข้อมูลที่แฮกเกอร์ได้รับไป

ตอนนี้ทาง Reddit ปรับการล็อกอินสองขั้นตอนให้ใช้โทเค็นทั้งหมดแล้วเพราะสงสัยว่าต้นเหตุสำคัญของการแฮกครั้งนี้คือการดักรับ SMS

ที่มา - Reddit

No Description

ภาพโลโก้ Reddit บนสถานีอวกาศนานาชาติ เมื่อนักบิน Scott Kelly เข้าร่วมตอบคำถามบน Reddit ในปี 2016

Get latest news from Blognone

Comments

By: lancaster
Contributor
on 2 August 2018 - 03:04 #1063661
lancaster's picture

... ในขณะที่ธนาคารไทยยังเชื่อถือการยืนยันตัวตนจากมือถือเป็นอันดับแรก

ทั้งที่มันเป็นวิธีที่อันตรายเกือบที่สุดละ

By: i3i4i5
ContributoriPhoneWindows
on 2 August 2018 - 04:55 #1063667 Reply to:1063661
i3i4i5's picture

ตั้งแต่ก่อนหน้านี้ที่มีข่าวช่องโหว่ SS7 ออกมานานแล้ว ผ่านมาจนกลางปี 2018 ยังสงสัยอยู่เลยทำไมบริษัทใหญ่ๆบางแห่ง(โดยเฉพาะธนาคาร)ถึงยังมีแค่รับ OTP ผ่าน SMS อยู่


i6i7i8

By: lew
FounderJusci's WriterMEconomicsAndroid
on 2 August 2018 - 09:36 #1063699 Reply to:1063667
lew's picture

วิธีอื่นมันแพงครับ (token ชิ้นละ 300, แก้ซอฟต์แวร์, ฝึกพนักงาน, ฝึก call center)

เดิมๆ ถูกกว่ามาก บางแห่งเคยแจก hw otp ยังเลิกแจก


lewcpe.com, @public_lewcpe

By: lancaster
Contributor
on 2 August 2018 - 14:45 #1063795 Reply to:1063699
lancaster's picture

ที่เลวร้ายกว่านั้นคือหลายธนาคารเลือกที่จะเปลี่ยนวิธีการยืนยันตัวตน จากเดิมที่ใช้ username/password ไปเหลือแต่ผ่านสัญญาณมือถือที่อันตรายกว่าเห็นๆแทน เช่น kbank tmb (มี ธ. อื่นอีกรึเปล่าไม่รู้)

By: thedesp
WriterAndroidWindows
on 2 August 2018 - 10:43 #1063728 Reply to:1063667
thedesp's picture

ใช้พวกแอพแบบ Google Authenticator น่าจะดีกว่า
ลูกค้าใช้ mobile banking ได้ต้องลงแอพอื่นได้อยู่แล้ว

By: gnamsai on 2 August 2018 - 11:11 #1063736 Reply to:1063728
gnamsai's picture

ผมว่าดูในแอพตัวเองไปเลยน่าจะดีกว่าเหมือน facebook , steam

By: lew
FounderJusci's WriterMEconomicsAndroid
on 2 August 2018 - 11:23 #1063739 Reply to:1063736
lew's picture

แอปตัวเองมันก็ต้อง login มาจากที่อืนอีกทีครับ อย่าง Facebook นี่ก็มาจาก SMS (ถ้าเปิด 2FA ไว้)

ส่วน Steam นี่เป็นบริษัทที่ security practice ค่อนข้างแย่ บัญชีแต่ละคนมูลค่ามหาศาล แต่เพิ่งทำ HTTPS ทั้งเว็บไม่นานมานี้, OTP ก็ใช้ผ่านอีเมลทั้งที่ไม่ได้ช่วยเพิ่มความปลอดภัย


lewcpe.com, @public_lewcpe

By: nitpum on 3 August 2018 - 12:24 #1063955 Reply to:1063739
nitpum's picture

Steam ใช้ Steam Guard ได้ครับ ดูผ่านแอพเหมือน Google Authenticator เลยครับ


เว็บไซต์ส่วนตัว: nitpum.com :D

By: lancaster
Contributor
on 2 August 2018 - 14:27 #1063781 Reply to:1063728
lancaster's picture

+1 ไม่ต้องบังคับทุกคนหรอก แต่คนที่อยากได้ความปลอดภัยสูงๆหรือไม่สะดวกจะใช้ sms ก็ควรจะมีตัวเลือกนี้นะ

By: Holy
ContributorAndroidWindowsIn Love
on 2 August 2018 - 13:54 #1063774 Reply to:1063667
Holy's picture

ยังมีเรื่องความสะดวกของผู้ใช้งานด้วยครับ ถ้าธนาคารแจก HW Token แล้วเราต้องพกติดตัวไปตลอดเพื่อทำธุรกรรม หรือบางทีวางทิ้งไว้ในบ้านแล้วหาไม่เจอเวลาจะใช้ สรุปแล้วทำธุรกรรมไม่ได้ น่าจะสร้างปัญหา(ในมุมผู้ใช้)มากกว่าที่จะชอบครับ สุดท้ายจะกลายเป็นไล่ลูกค้าส่วนใหญ่ เหลือแต่คนที่ต้องการความปลอดภัยสูงๆ เท่านั้น ฝั่งธนาคารเลยใช้การ Limit Loss ด้วยวงเงินแทน

By: lew
FounderJusci's WriterMEconomicsAndroid
on 2 August 2018 - 14:39 #1063788 Reply to:1063774
lew's picture

ปัญหาคือ "คนที่ต้องการความปลอดภัยสูงๆ" ธนาคารก็ไม่เปิดตัวเลือกให้ ช่วงหลังหลายธนาคารที่เคยให้ก็ยกเลิกหมด

ผมไม่คิดว่ามีข้ออ้างอื่นนอกจจากประหยัดต้นทุนครับ


lewcpe.com, @public_lewcpe

By: Holy
ContributorAndroidWindowsIn Love
on 2 August 2018 - 16:58 #1063834 Reply to:1063788
Holy's picture

คงไม่ได้เป็นข้ออ้างอะไรหรอกครับ ก็ประหยัดต้นทุนตรงๆ เลย เพราะ Demand ไม่คุ้มต้นทุน และ Loss Data ที่เกิดก็น้อยมาก

คงต้องให้คนไทยตื่นตัวเรื่อง Cyber Security กันเยอะๆ มี Demand ตรงนี้มากพอ บางแบงก์ก็คงกลับมาเพิ่ม Option อีกรอบเองครับ (หวังว่า)

By: lew
FounderJusci's WriterMEconomicsAndroid
on 2 August 2018 - 18:26 #1063848 Reply to:1063834
lew's picture

อันนี้ผมว่าเป็นความอ่อนแอของการกำกับดูแลของ BoT ครับ พอ loss น้อยพอธนาคารก็ไม่ทำได้ ทั้งที่เป็น best practice

เงินหายสักล้านสองล้านทำเรื่องขอคืนสักเดือนธนาคารแทบไม่เสียอะไร เสียหน้านิดหน่อย แต่ถ้าเป็นฝั่งลูกค้านี่ชีวิตสะดุดเป็นสัปดาห์ หรือเป็นเดือน ไม่ต้องทำอย่างอื่นเลย


lewcpe.com, @public_lewcpe

By: Holy
ContributorAndroidWindowsIn Love
on 3 August 2018 - 09:56 #1063916 Reply to:1063848
Holy's picture

อันนี้คงแยกเป็นสองเรื่องครับ ถ้าเรื่องปรับมาตรฐานให้เป็น Best Practice แบบนี้ธปท. จะบังคับ สง. ได้ก็คือต้องเขียนลงในประกาศเลย เช่น "สง. ต้องมีเสนอบริการให้ลูกค้าสามารถเลือกยืนยันตัวตนด้วยวิธี XXX" ซึ่งกรอบมันจะแคบและไม่ยืดหยุ่น อีกอย่างคือประกาศแต่ละครั้งมันไม่สามารถระบุเป็นราย สง. ได้ ถ้าประกาศให้เหมือนกันหมดพวก สง. เล็กๆ มีลูกค้ารายย่อยน้อยแต่ต้องลงทุนระบบเท่าแบงก์ใหญ่ก็คงโวยวายกันแน่นอน

ส่วนอีกเรื่องคือการตรวจสอบข้อผิดพลาด จนถึงลูกค้าได้เงินคืน ผมเห็นด้วยว่าปัจจุบัน SLA มันนานเกินไป ก็หวังอยู่ว่าผู้ออกนโยบายจะรู้สึกเหมือนกันแล้วปรับให้มันเร็วขึ้นครับ

By: lew
FounderJusci's WriterMEconomicsAndroid
on 3 August 2018 - 11:11 #1063941 Reply to:1063916
lew's picture

จริงๆ อย่างท่า NIST นี่ก็ดีนะครับ "สามารถใช้ SMS ต่อไปโดยต้องเสนอทางเลือกอื่นด้วย" แล้วที่เหลือจะไปเลือกท่ายากง่าย software OTP ก็ได้ ถูกหน่อย ใครเทพก็เลือก U2F ก็ได้ ตามแต่ใครจะสะดวก


lewcpe.com, @public_lewcpe

By: impascetic
Android
on 2 August 2018 - 14:49 #1063796 Reply to:1063661

ก็อิงตาม demand แหละครับ คนใช้งานส่วนน้อยที่ตระหนักเรื่องความปลอดภัยระดับนั้น ก็เลยเลือกที่จะไม่ลงทุนกับอะไรที่มันไม่คุ้มค่า ยังไงพวกนี้ก็เป็นภาคธุรกิจอยู่ดีอ่ะนะ

ผมเห็นด้วยกับหลายๆท่านที่ควรจะมีเปิดให้เลือกว่าจะใช้การยืนยันตัวตนระบบไหน ใครไม่ซีเรียสอยากใช้งานง่ายๆก็ใช้แบบเดิมไป

By: big50000
AndroidSUSEUbuntu
on 3 August 2018 - 12:53 #1063960 Reply to:1063661
big50000's picture

. . . . //จิ้มตู้ ATM พลางกดดูกระทู้


โควตาคอมเมนต์ก็น้อยเกิ๊นนนน~