Tags:
Node Thumbnail

บริษัท Voxox ผู้ให้บริการสื่อสารที่มีสำนักงานอยู่ในรัฐแคลิฟอร์เนียถูกค้นพบว่าไม่ได้ล็อกรหัสผ่านเซิร์ฟเวอร์ฐานข้อมูลไว้ เปิดให้ใครก็ได้เข้าใช้งานและเก็บข้อความ SMS ได้ทันทีในระดับเกือบเรียลไทม์

Sébastien Kaul นักวิจัยความปลอดภัยระบุว่า เขาพบเซิร์ฟเวอร์นี้จาก Shodan เสิร์ชเอนจินที่ค้นหาฐานข้อมูลและอุปกรณ์ที่เข้าถึงได้จากสาธารณะ และเซิร์ฟเวอร์นี้ถูกผูกเข้ากับซับโดเมนของ Voxox ด้วย

Kaul ระบุว่าเซิร์ฟเวอร์เก็บข้อมูล SMS นี้รันอยู่บนเซอร์วิส Elasticsearch ของ Amazon และคอนฟิกให้ใช้ Kibana เป็น front-end จึงทำให้ข้อมูลที่เก็บไว้ใน Elasticsearch เปิดอ่านได้อย่างง่ายดาย รวมถึงการค้นหาข้อมูลก็ทำได้ง่าย ๆ ด้วย ซึ่งประเด็นนี้สำคัญต่อความปลอดภัยอย่างมาก เนื่องจากข้อความเหล่านี้ถ้าเป็นรหัส OTP ที่ใช้ยืนยันตัวตนแบบสองปัจจัย แฮกเกอร์ก็เก็บข้อมูลได้ไม่ยากนัก เพราะบริษัทอย่าง Voxox นั้นเป็นเสมือนเกตเวย์ซึ่งจะแปลงข้อความเหล่านี้เป็นข้อความตัวอักษร และส่งไปยังเครือข่ายโทรศัพท์เพื่อส่งไปยังโทรศัพท์ของผู้ใช้อีกที

TechCrunch รายงานว่า ตอนนี้ฐานข้อมูลของ Voxox ที่ค้นพบนั้นออฟไลน์ไปแล้ว แต่จนถึงช่วงที่ปิดฐานข้อมูล พบว่ามีข้อความตัวอักษรไม่ต่ำกว่า 26 ล้านข้อความ และแต่ละข้อความก็มีรายละเอียดค่อนข้างครบ ไม่ว่าจะเป็นเบอร์โทรศัพท์ผู้รับ, ข้อความ, ลูกค้าของ Voxox ที่ส่งข้อความ และ shortcode ที่ใช้งาน

จากการตรวจสอบแบบคร่าว ๆ พบว่ามีบริการดัง ๆ ที่ได้รับผลกระทบจำนวนมาก ไม่ว่าจะเป็น Badoo, Fidelity Investments, Booking.com, Amazon, KakaoTalk, Viber, HQ Trivia, Microsoft, Yahoo, Huawei ID และยังมีข้อมูลการแจ้งนัดหมายจากโรงพยาบาลหรือสถานพยาบาลหลายแห่งด้วย

Kevin Hertz ผู้ร่วมก่อตั้งและซีทีโอของ Voxox ได้กล่าวถึงเหตุการณ์นี้ว่า ตอนนี้ทางบริษัทกำลังตรวจสอบการรั่วไหลของข้อมูล และทำตามนโยบายการรั่วไหลของข้อมูล รวมถึงกำลังประเมินผลกระทบด้วย ส่วน Dylan Katz นักวิจัยความปลอดภัยระบุว่าเขากังวลว่ามีโอกาสที่ข้อมูลเหล่านี้จะถูกใช้ในทางที่ผิดไปแล้ว กรณีนี้แตกต่างจากการรั่วไหลข้อมูลหลาย ๆ ครั้ง เนื่องจากข้อมูลเป็นแบบชั่วคราว ข้อมูลออฟไลน์ที่ขโมยออกไปได้นั้นไม่ได้มีประโยชน์มากนัก

หากใครกังวลประเด็นเรื่องความปลอดภัย ในตอนนี้อาจต้องพิจารณาใช้การยืนยันตัวตนสองปัจจัยด้วยแอพแทนการใช้ SMS

ที่มา - TechCrunch

No Description
ตัวอย่างข้อมูล SMS ที่เก็บไว้ด้วย Elasticsearch และเปิดด้วย Kibana

Get latest news from Blognone

Comments

By: gnamsai on 17 November 2018 - 22:05 #1082482
gnamsai's picture

ใช้ 2FA ด้วยแอพ แต่กดลืมรหัสผ่านแล้วกดต่อว่าทำ 2FA หายบลาๆ ระบบจะส่ง SMS มาที่มือถือแทน GG

By: osmiumwo1f
ContributorWindows PhoneWindows
on 19 November 2018 - 14:57 #1082671 Reply to:1082482

ชื่อทั่นช่างเหมาะกับข่าวนี้ยิ่งนัก