Tags:
Node Thumbnail

ช่วงสัปดาห์ที่ผ่านมามีรายงานฐานข้อมูลของ RedMart บริษัทลูกของ Lazada หลุดออกสู่ตลาดใต้ดิน ในรายการเดียวกันปรากฎว่ามีข้อมูลของบริษัทในไทยคือ Eatigo และ Wongnai อยู่ด้วย ล่าสุดทั้งสองบริษัทออกมายืนยันว่าข้อมูลหลุดออกไปจริง และแจ้งผู้ใช้แล้ว

หน้าเว็บตลาดใต้ดินแสดงให้เห็นว่าข้อมูลของ Eatigo มีอีเมล, ค่าแฮชรหัสผ่าน, ชื่อ, หมายเลขโทรศัพท์, เพศ, โทเค็นเฟซบุ๊ก

ขณะที่ข้อมูลของทาง Wongnai มี อีเมล, ค่าแฮชรหัสผ่าน, หมายเลขไอพีที่ใช้ลงทะเบียน, หมายเลขไอดีผู้ใช้เฟซบุ๊กและทวิตเตอร์, วันเกิด, หมายเลขโทรศัพท์, และรหัสไปรษณีย์ โดยทั้งสองบริษัทยืนยันว่าไม่มีข้อมูลบัตรเครดิตหลุดออกไปกับเหตุการณ์ครั้งนี้

ทั้งสองบริษัทส่งอีเมลแจ้งผู้ใช้เพื่อรีเซ็ตรหัสผ่าน และแจ้งเตือนผู้ใช้แล้ว

ข้อมูลเปิดเผย: วงในเป็นบริษัทแม่ของบริษัท บล็อกนัน จำกัด ผู้ดำเนินการเว็บไซต์ Blognone.com

ที่มา - Channel News Asia, Strait Times, Wongnai

No Description

Get latest news from Blognone

Comments

By: zyzzyva
Blackberry
on 1 November 2020 - 09:44 #1183301

ไม่เข้าใจคำว่าค่าแฮชรหัสผ่าน สรุปมันก็คือรหัสผ่านเข้ารหัสที่รอวันถูกถอดรหัสหรือไม่ ซึ่งอาจจะเป็นไปได้ว่ามันถูกถอดแล้ว หรืออาจจะอีกหลายปีข้างหน้าหรือไม่

Update: อ่านข่าวอื่นเพิ่มเพิ่งเห็นว่าเป็นฐานข้อมูลเมื่อ 18 เดือนที่แล้วที่ถูกเจาะ ผมซึ่งเพิ่งสร้างไอดีไม่ถึง 18 เดือนเลยไม่จำเป็นต้องเปลี่ยนรหัสผ่าน (แต่ก็ไม่รู้ส่งอีเมลมาทำไม)

By: tekkasit
ContributorAndroidWindowsIn Love
on 1 November 2020 - 09:51 #1183302 Reply to:1183301
tekkasit's picture

สั้นๆ แฮชรหัสผ่าน ไม่ใช่ตัวรหัสผ่านเองครับ ปกติจะไม่มีทางถอดกลับมาเป็นรหัสผ่านดั้งเดิมได้ครับ

แต่กระนั้นก็ตาม ในแง่ด้านความปลอดภัยไม่ควรไว้วางใจในระบบงานใด ไม่ควรจะใช้รหัสผ่านซ้ำกันครับ คือต่อให้หลุดไปก็เอาไปใช้งานที่อื่นๆไม่ได้ เช่น Facebook, Blognone, Wongnai, Google, ฯลฯ เพราะเราไม่เคยใช้ซ้ำกับบริการอื่นๆ

โดยเฉพาะอย่างยิ่ง email หลัก หรือบริการที่อนุญาต ควรต้องทำ Multi-Factor Authentication เพิ่มขึ้นด้วยครับ

By: ZiiT
ContributorAndroidWindows
on 1 November 2020 - 18:16 #1183349 Reply to:1183301

ผมเห็นแค่ของ Eatigo ว่าเป็นข้อมูลเก่า .. ส่วนฝั่ง Wongnai ไม่มีบอกข้อมูลส่วนนี้เลย

An Eatigo spokesman told ST that the information was from an old database that was last updated in 2018 and is no longer in use.
By: ZiiT
ContributorAndroidWindows
on 1 November 2020 - 18:31 #1183350 Reply to:1183301

ถ้าข้อมูลจากข่าวนี้ถูกต้องว่ารหัส Hash ด้วย MD5 คิดว่าไม่ต้องรออีกหลายปีครับ

https://www.bleepingcomputer.com/news/security/hacker-is-selling-34-million-user-records-stolen-from-17-companies/

By: zyzzyva
Blackberry
on 1 November 2020 - 18:58 #1183351 Reply to:1183350

จริงๆไม่รู้ว่า md5 คืออะไร แต่หลังจากไปหาอ่านมาว่าถูกใช้ในการเข้ารหัสรหัสผ่านอย่างแพร่หลายแม้ว่าจะมีผู้เชี่ยวชาญออกมาเตือนตั้งแต่สิบปีที่แล้วว่ามันไม่ปลอดภัย ผมรู้สึกเสียใจครับ

By: wichate
Android
on 2 November 2020 - 08:13 #1183373 Reply to:1183301

ข้อมูลใหม่ก็อาจจะถูก Hack ไปแล้วก็ได้ (แค่ยังไม่ได้เอาไปขาย)

By: Configuleto
AndroidWindows
on 3 November 2020 - 12:13 #1183644 Reply to:1183301
Configuleto's picture

สรุปมันก็คือรหัสผ่านเข้ารหัสที่รอวันถูกถอดรหัสหรือไม่

hash ถอดย้อนกลับไม่ได้ครับ มองง่ายๆ hashed password คือ ชุดข้อมูลไว้ตรวจสอบ(validate) เมื่อเราเดารหัสมั่วๆ มันจะมีตรงกันบ้างไหม

(อธิบายแบบ oversimplified) วิธีง่ายสุดที่ใช้แพร่หลายคือการ brute force ต้องใช้พลังประมวลผลสูง, สุ่ม string มาซักอันเอาไปเข้า hash function เดียวกัน จากนั้นเอาค่า hashed ที่ได้มาเทียบ collision ว่ามีตรงกันไหมกับฐานข้อมูลที่หลุดออกมา ถ้าตรงก็แสดงว่า string นั้นคือค่าตั้งต้นของ hashed นั้นๆ ... แต่ก็ไม่ได้หมายความว่า string จะเป็น password เสมอไป

ปกติในระบบออกแบบไว้ดี เวลา hash password ต้องใส่ salt (คำลับ) ไปผสมเสมอ เหตุเพื่อถ้า hashed password หลุดแต่ salt ไม่หลุดโอกาศโดนเทียบแล้วย้อนเป็นรหัสผ่านจริงๆได้ก็น้อยลง แต่ก็ไม่แน่เสมอไป บางที salt หลุดด้วยก็จบเลย

ซึ่งอาจจะเป็นไปได้ว่ามันถูกถอดแล้ว หรืออาจจะอีกหลายปีข้างหน้าหรือไม่

ขึ้นอยู่กับ algorithm ที่ใช้ด้วยครับ ถ้าเก่าๆอย่าง md5 ประสิทธิภาพเครื่องในปัจจุบัน เช่า multi cpu บน cloud ช่วยประมวลก็ใช้เวลาไม่นานแล้ว หลักเดือนหรือไม่ถึงสิบปี (md5 มีคำแนะนำให้เลิกใช้มาตั้งแต่ 12+ ปีที่แล้ว)

แต่ค่าที่ถูกถอดออกมาจะใช้รหัสตั้งต้นจริงๆไหมก็ไม่เสมอไป อยู่ที่ระบบออกแบบดีแค่ไหน ปกติเหตุการณ์แบบนี้เกิดขึ้นให้เปลื่ยนรหัสเสมอครับ เพราะไม่รู้ว่าคนมีข้อมูลทำอะไรไปถึงไหนแล้ว

By: xyz123 on 1 November 2020 - 09:49 #1183303
xyz123's picture

เอาจริง ๆ ในยุคนี้ผมเริ่มไม่มั่นใจว่า "ข้อมูลบัตรเครดิต" กับ "ค่าแฮชรหัสผ่าน" ถ้ามันหลุด อันไหนมันร้ายแรงกว่ากัน

By: tekkasit
ContributorAndroidWindowsIn Love
on 1 November 2020 - 09:58 #1183304 Reply to:1183303
tekkasit's picture

โดยทั่วไป ข้อมูลบัตรเดรดิตรั่ว ถ้ารั่วแบบครบ 16 หลัก อาจโดนแอบอ้างเอาไปใช้งานซื้อสินค้าออนไลน์ได้ ซึ่งแย่แน่นอน

ส่วนเรื่อง ค่าแฮชรหัสผ่านหลุด ขึ้นกับความสำคัญของระบบที่หลุด เพราะมันมีความเสี่ยงที่คนร้ายยังมีโอกาศที่จะสวมบัญชีได้ และถ้าระบบสำคัญมากๆ เกี่ยวกับเงินๆทองๆ ก็อาจจะร้ายแรงกว่าก็เป็นได้

By: xyz123 on 1 November 2020 - 11:25 #1183308 Reply to:1183304
xyz123's picture

ข้อมูลบัตรเครดิตที่ส่วนใหญ่ไม่ว่าเราจะเก่งเรื่อง security หรือไม่ก็หลุดแค่หลัก ๆ ก็ใบเดียว(หรือหลาย ๆ ใบก็ไม่น่าเกิน 3 ใบ) ต้องเสียเวลากับธนาคารหลัก ๆ แค่เจ้าเดียว (หรือ 3 เจ้า) dispute ก็รอเวลาหน่อย แต่ส่วนใหญ่ก็น่าจะได้ถ้าเรามีหลักฐานพอ

กับ

แฮชรหัสผ่านที่เราอาจจะเก่งเรื่อง security หน่อย ต้องปกป้องเองเป็นหลักก่อน ใช้รหัสผ่านไม่ซ้ำกันเลย ก็ซวยหน่อย เปลี่ยนรหัสผ่านใหม่ แต่ถ้าไม่เก่ง security ยังใช้ซ้ำบ้าง ก็ต้องลุ้นว่า แฮช นั้นจะแข็งแรง หรือ อ่อนแอ ถ้า dehash กลับมาได้ไวก็โดนใช้กับเว็บอื่น โดนเปลี่ยน password และ/หรือ หาข้อมูลของบัญชีนี้ได้ต่ออีก

อันนี้คือที่ผมกำลังคิดอยู่ แต่ไม่มั่นใจจริง ๆ ว่าคิดเกินความเป็นไปได้ไหม

By: moonoiz on 1 November 2020 - 12:06 #1183318 Reply to:1183303

ปกติแล้วเว็บไซต์ทั่วๆไป เก็บหมายเลขบัตรเครดิตไว้เองได้เหรอครับ
ผมนึกว่าเก็บไว้แค่ไม่เกิน 4 หลัก คู่กับ Token แต่หมายเลขบัตรเครดิตฉบับเต็มอยู่บน Payment Gateway ที่ได้ PCI DCC
แล้วเว็บไซต์ทำหน้าที่ส่ง Token ไปขอตัดยอดเงิน

By: criminals
iPhoneWindows PhoneAndroidUbuntu
on 1 November 2020 - 13:48 #1183327 Reply to:1183318

PCI-DSS ครับ https://en.wikipedia.org/wiki/Payment_Card_Industry_Data_Security_Standard

By: moonoiz on 1 November 2020 - 14:09 #1183331 Reply to:1183327

ขออภัยครับ พิมพ์ผิด T_T

By: s4535065
ContributorSymbian
on 1 November 2020 - 10:16 #1183305

ไม่รู้ว่าจะมีคนของ Wongnai มาอ่านมั้ย
แต่อยากให้ไปรีวิวกระบวนการReset Passwordนะครับ กดตามLinkไปเจอหน้าแรกก็ขอข้อมูลPDPAแบบไม่มีช่องให้กรอกเพื่อไม่อนุญาติอย่างชัดเจน ต้องกดปุ่มดูรายละเอียดถึงจะมีให้เลือก หนักกว่านั้นคือพอResetไปแล้วก็ต้องมายอมรับเงื่อนไข"สิทธิในการเปิดเผยข้อมูลแก่บุคคลที่สาม"อีก
สรุปแล้วกระบวนการนี้เป็นการReset Passwordเพื่อความปลอดภัยของผู้ใช้บริการหรือเป็นการขอเก็บConcent PDPAครับ?

By: GyG on 1 November 2020 - 11:49 #1183316 Reply to:1183305
GyG's picture

+1024
น่าเกลียดมากเลยแบบนี้

By: wongnai
ContributoriPhoneWindows PhoneAndroid
on 1 November 2020 - 22:16 #1183359 Reply to:1183305
wongnai's picture

เรียนคุณ s4535065

ตอนนี้ทางทีมงานได้แก้ไขตามคอมเมนต์เรียบร้อยแล้วครับ


Best Regards,
The Wongnai Team

By: ck4u
iPhoneWindows PhoneBlackberrySymbian
on 2 November 2020 - 01:01 #1183369 Reply to:1183359

ถ้าไม่มีคอมเม้นท์นี้ก็ไม่แก้ไข ทำไมไม่ทำให้ถูกตั้งแต่แรก

By: bosszz
Android
on 1 November 2020 - 10:16 #1183306
bosszz's picture

เห็นว่า Hash ด้วย MD5

By: shikima
Windows PhoneAndroidUbuntu
on 1 November 2020 - 13:07 #1183323 Reply to:1183306

ถ้าไม่ใส่เกลือก็ตารางสายรุ้งกันง่ายๆ เลย

By: big50000
AndroidSUSEUbuntu
on 2 November 2020 - 12:00 #1183401 Reply to:1183323
big50000's picture

กลัวว่าเกลือจะหลุดด้วย

By: tekkasit
ContributorAndroidWindowsIn Love
on 2 November 2020 - 12:02 #1183402 Reply to:1183401
tekkasit's picture

ถ้าหลุดพร้อมเกลือที่ถูกต้อง ใช้ตารางสายรุ้งไม่ได้ครับ

By: crucifier
iPhoneAndroidUbuntu
on 2 November 2020 - 12:12 #1183403 Reply to:1183402

ตารางสายรุ้งคืออะไรครับ

By: hisoft
ContributorWindows PhoneWindows
on 2 November 2020 - 13:59 #1183415 Reply to:1183403
hisoft's picture

Rainbow table ครับ แบบ gen plaintext-hash pair ไว้ล่วงหน้า แล้วก็เอา hash ที่ได้มาไปหาในตารางนี้อีกที

By: crucifier
iPhoneAndroidUbuntu
on 2 November 2020 - 15:20 #1183432 Reply to:1183415

อ๋อออ ขอบคุณครับ เหมือนครั้งนึงเมื่อหลายปีก่อนที่อ้างว่าถอด md5 ได้ ตอนนั้นก็ใช้วิธีนี้เหมือนกัน

By: Iamz
AndroidWindows
on 2 November 2020 - 14:37 #1183426 Reply to:1183401

Salt ไม่ใช่ความลับครับ มีหน้าที่แค่ทำให้ password เดียวกัน hash ออกมาแล้วเป็นคนละค่ากัน ถ้าดูจากค่า hash แล้วจะบอกไม่ได้ว่าใครใช้ password เดียวกันรึเปล่า ถ้าแกะของคนนึงได้ก็ไม่รู้ว่าเอาไปใช้กับคนไหนได้บ้าง

By: Remma
AndroidWindows
on 1 November 2020 - 13:10 #1183324
Remma's picture

ไม่รู้เกี่ยวกันมั้ย แต่ Instagram ผมโดน login ไปสามครั้งติดๆกันเมื่อตอนตีสาม ยิ่งไม่ค่อยได้ใช้เลยจำไม่ได้ว่าตั้งรหัสผ่านซ้ำกับ wongnai ไปรึเปล่า พออ่านข่าวนี้แล้วเข้าไปเช็คเมลล์เจอ

แต่กลับไม่มี mail จาก wongnai แฮะ

By: mbaextra on 1 November 2020 - 13:49 #1183328

คือเรียกว่าได้ข้อมูลส่วนตัวไปหมดเลย!! ถ้าในเว็บมีให้กรอกเลขบัตรปชช.ก็คงโดนไปด้วยอะ เวงกำ พนักงานก็เยอะนิน่าบ.นี้??

แล้วไงต่อครับเนี่ย?? แจ้งให้ทราบถือว่าจบเรื่องแค่นี้นะอะเหรอ??

By: deawx on 1 November 2020 - 14:01 #1183330

สรุป บล้อกนันโดนไหมครับ

By: TeamKiller
ContributoriPhone
on 1 November 2020 - 14:13 #1183332
TeamKiller's picture

คนที่ hack LAZADA กับอันนี้ เจ้าเดียวไหมเนี่ย เกิดใกล้ๆ กันเลย

By: sale99baht
iPhoneAndroidWindows
on 1 November 2020 - 15:41 #1183340

สารภาพมาดีๆ สงสัยเมื่อคืนเที่ยวหนัก โดนแก๊งตบทรัพย์จิ๊กกุญแจไปใช่ไหม 555

By: Azymik on 1 November 2020 - 17:25 #1183347

A: Wongnai ได้แจ้งเตือนผู้ใช้แล้วครับ
B: แจ้งเตือนทางไหนครับ
A: ทาง blognone!!

แซวๆ นะครับ ขอให้จัดการผ่านไปได้ด้วยดีครับ

By: Golflaw
ContributoriPhoneAndroidWindows
on 2 November 2020 - 09:55 #1183383 Reply to:1183347
Golflaw's picture

ผมไม่ได้เมลแจ้งเตือนนะ

ไม่รู้ว่าเกี่ยวกับ log in ด้วย facebook รึเปล่า


A smooth sea never made a skillful sailor.

By: Luzif3r
iPhoneAndroidWindows
on 1 November 2020 - 18:12 #1183348

--- ลบครับ ---

By: rainhawk
AndroidWindows
on 1 November 2020 - 22:59 #1183363
rainhawk's picture

พึ่งได้เมล์เมื่อเช้า เวลา 9.30 น.

By: zionzz on 2 November 2020 - 08:26 #1183374

คือถ้าไม่มีเหตุการ์ณนี้ผมก็จำไม่ได้นะว่าเคยสมัครไว้ พาสเวิร์ดก็เป็นพาสเวิร์ดเก่าที่ไม่ได้ใช้นานมากแล้ว ก็กลับมาคิดนะว่า มันมีเวบที่เราสมัครแล้วลืมว่าเคยสมัครอีกกี่เวบล่ะเนี่ย

By: iDan
ContributorAndroidSUSEUbuntu
on 2 November 2020 - 11:42 #1183398

ประเด็นคือ แล้วจะเปลี่ยน เฟสบุ๊คโทเค็นกับ กูเกิ้ลโทเค็นยังไง? สำหรับคนที่ใช้เฟสบุ๊คล็อคอิน

By: hisoft
ContributorWindows PhoneWindows
on 2 November 2020 - 14:00 #1183416 Reply to:1183398
hisoft's picture

จำเป็นด้วยเหรอครับ?

By: iDan
ContributorAndroidSUSEUbuntu
on 2 November 2020 - 14:18 #1183417 Reply to:1183416

ก็ถ้าตัวโทเค็นหลุดก็หมายถึง แฮกเกอร์ก็สามารถเจาะเข้าบัญชีได้ไม่ใช่หรือครับ?

By: Be1con
ContributorWindows PhoneWindowsIn Love
on 2 November 2020 - 15:08 #1183425 Reply to:1183417
Be1con's picture

ถ้าจำไม่ผิด ถ้ามีหลุดตัว Application Key และ App Secret สามารถ bypass เข้าบัญชีคนอื่นได้ครับ แต่จะจำกัดได้เฉพาะแค่แอปพลิเคชันนั้น ๆ เท่านั้น ซึ่งในข่าวนี้ยังไม่ทราบว่าได้หลุดทั้ง 2 ตัวนี้ด้วยไหม


Coder | Designer | Thinker | Blogger

By: iDan
ContributorAndroidSUSEUbuntu
on 2 November 2020 - 18:12 #1183466 Reply to:1183425

No Description
ถ้าจากที่มา CNA ของ Wongnai หลุดเฉพาะ Facebook และ Twitter ID ครับ แต่ eatigo นี่ Token ด้วยครับ

By: Be1con
ContributorWindows PhoneWindowsIn Love
on 2 November 2020 - 20:20 #1183483 Reply to:1183466
Be1con's picture

ตัว token มัน revoke ไม่ยากครับ ตอนเข้าไปใหม่หลังจากที่ revoke ไปแล้ว token จะเปลี่ยนครับ

ทั้งนี้ ตามหลักแล้ว เว็บต้องแจ้งให้ผู้ใช้ดำเนินการพร้อมบอกวิธีการทำด้วยครับ เพราะไม่ใช่ทุกคนที่รู้เรื่องนี้


Coder | Designer | Thinker | Blogger

By: Ford AntiTrust
ContributorAndroidBlackberryUbuntu
on 2 November 2020 - 14:57 #1183430 Reply to:1183398
Ford AntiTrust's picture

token พวกนี้หลุดปรกติจะเข้าถึง account เหล่านี้ได้จำกัดตาม permission ที่เรา allow ไว้ครับ ไม่มากไปกว่าน้น ฉะนั้นเอาไปถึงขนาดปลอมแปลง facebook login ไม่ได้หรอก วิธีที่แก้ไขก็แค่ไป revoke แล้ว grant ใหม่เท่านั้นก็จบ

By: IDCET
Contributor
on 3 November 2020 - 12:20 #1183649

ความรับผิดชอบและการแจ้งเตือนดีกว่าค่ายความจริงเสียอีก

By: bochaiyadej on 3 November 2020 - 19:11 #1183757

โดนแฮกได้ยังไงอ่ะครับ