ทีมวิจัยจาก vpnMentor พบฐานข้อมูล Elasticsearch ของระบบ eHAC ที่ใช้เก็บข้อมูลโควิดสำหรับผู้เดินทางเข้าออกจากอินโดนีเซีย เปิดสู่อินเทอร์เน็ตโดยไม่มีการป้องกัน รวมฐานข้อมูล 1.4 ล้านชุดกระทบคนประมาณ 1.3 ล้านคน
ข้อมูลประกอบไปด้วยข้อมูลระบุตัวตน เช่น ชื่อ, หมายเลขประจำตัว, หมายเลขโทรศัพท์, เพศ, วันเกิด, ภาพหนังสือเดินทาง, ข้อมูลโรงแรมที่เข้าพัก, โรงพยาบาลที่ตรวจโควิด, ผลการตรวจ
ทาง vpnMentor พบฐานข้อมูลนี้ตั้งแต่วันที่ 15 กรกฎาคมที่ผ่านมา และพยายามติดต่อกระทรวงสาธารณสุขอินโดนีเซียแต่ไม่สำเร็จ จึงแจ้งไปยัง Indonesian CERT และกูเกิลผู้ให้บริการคลาวด์ สุดท้ายทางกระทรวงสาธารณสุขอินโดนีเซียจึงปิดฐานข้อมูลนี้ในวันที่ 24 สิงหาคมที่ผ่านมา
ที่มา - vpnMentor
Comments
รู้สึกว่าหลุดจนเป็นความผิดของ Elastic ล่ะ คงต้องบังคับกำหนด user/password ตั้งแต่ตอน install แล้วมั้งเนี่ย
ผมว่าการ default password ตอนติดตั้ง มันควรจัดเป็น bad design ได้แล้วนะ
ขนาด windows ยังมีให้กำหนด password ได้เลย
การตั้ง password ของ Windows Server เข้าขั้นหงุดหงิดครับ ตั้งยากแค่ไหนมันก็บอกใช้ไม่ได้ สุดท้ายตั้งรหัส default แล้วเข้าไปเปลี่ยนเองใน local users จบ
เอาจริงๆ MySQL เมื่อก่อนติดตั้งแรกเริ่มรหัสผ่านก็ไม่มีครับ มาตอนหลังๆ ตอนติดตั้งถึงมี wizard ให้ config root password
Elasticsearch จริงๆ ถ้าทำตามคำแนะนำควรจะมีแหละ แต่ก็นะ คำแนะนำมันไม่ได้บังคับให้ทำนี่ซิ
ซอฟต์แวร์ระดับเซิร์ฟเวอร์นี่จริงๆ มันก็พอจะเถียงได้ว่าคนติดตั้งควรจะรู้ดีกว่านี้ (ต่างจากพวก consumer เช่นเราท์เตอร์ที่ค่อนข้างชัดเจนแล้วว่าเป็นความรับผิดชอบผู้ผลิต) แต่เอาเข้าจริงพวกอ่าน tutorial มาทำ production เลยก็เยอะมาก ถึงจุดนึงมันก็คงความรับผิดชอบของผู้ผลิตล่ะครับ ว่าตั้งค่าเริ่มต้นมายังไง
แต่ Elasticsearch ที่คิดตั้งใหม่ๆ ผมเข้าใจว่ามี password แบบ random ให้แล้วนะครับ
lewcpe.com, @wasonliw
อาเซียนร่วมใจเสียจริง...
พวกเอา db มาปล่อยออก public ip ตรงๆ เลยเนี่ย หาเหตุผลไม่เจอจริงๆ ว่าจะทำท่านี้กันทำไม
มันไม่ง่ายเลยที่จะทำ GIF ให้มีขนาดน้อยกว่า 20kB