HP ใส่บัญชีซัพพอร์ตไว้ใน StoreOnce ทุกเครื่อง

By: lew
FounderJusci's WriterMEconomicsAndroid
on 26 June 2013 - 11:54 Tags:
Topics: 
HP
Security
Storage
Node Thumbnail

เว็บ lolware รายงานถึงบัญชี "HPSupport" ที่ถูกใส่ไว้ในสตอเรจเซิร์ฟเวอร์ตระกูล StoreOnce หรือชื่อเดิม D2D เป็นบัญชีผู้ดูแลระบบที่ไม่ได้แจ้งผู้ใช้ไว้ล่วงหน้าว่ามีปัญชีนี้อยู่

รหัสผ่านของบัญชีนี้ถูกเก็บเป็นค่า SHA1 78a7ecf065324604540ad3c41c3bb8fe1d084c50 โดยตอนนี้ยังไม่พบว่าคำก่อนแฮชคืออะไร แต่หลังจากนี้คงมีการแข่งกันแฮ็กรหัสผ่านนี้ในเร็วๆ นี้

ในรายงานระบุว่าผู้ค้นพบได้รายงานปัญหานี้ไปยังเอชพีก่อนหน้านี้แล้วสามสัปดาห์แต่เอชพีไม่ยอมรับว่ามีปัญหา ทำให้ผู้พบปัญหาสามารถแจ้งสู่สาธารณะได้ทันที

ยังไม่ยืนยันว่ามีบัญชีนี้ในสินค้ารุ่นใดบ้าง ระหว่างนี้ผู้ใช้ควรป้องกันล่วงหน้าด้วยการจำกัดการเข้าถึงพอร์ต SSH ของเซิร์ฟเวอร์ให้อยู่ในวงจำกัด

ที่มา - lolware, The Register

Get latest news from Blognone

Comments

By: Be1con
ContributorWindows PhoneWindowsIn Love
on 26 June 2013 - 11:56 #590725
Be1con's picture

หน้า HP ตรงหัวข้อข่าวมีไม้ไต่คู้เกินมาครับ

Coder | Designer | Thinker | Blogger

By: panurat2000
ContributorSymbianUbuntuIn Love
on 28 June 2013 - 07:07 #591466 Reply to:590725
panurat2000's picture

ผู้ดูแลระบบที่ไม่ได้แจ้งผู้ใช้ไว้ล่วงหน้าว่ามีปัญชีนี้อยู่

ปัญชี => บัญชี

By: Fourpoint
Windows PhoneAndroidSymbian
on 26 June 2013 - 12:21 #590735

คนขายทำ backdoor เองซะงั้น จะremote support ก็ต้องขออนุญาตลูกค้าก่อนสิครับ ไม่ใช่แอบใส่มาดื้อๆ

By: lingjaidee
ContributoriPhoneAndroid
on 26 June 2013 - 13:46 #590755
lingjaidee's picture

ถ้าเครื่องธรรมดาก็ว่าแย่แล้ว เจอเซิร์ฟเวอร์เข้าไปอีก -..-

my blog

By: Thitikarn
iPhoneWindows PhoneWindows
on 26 June 2013 - 14:59 #590777

ขอถามหน่อยครับ

"ในรายงานระบุว่าผู้ค้นพบได้รายงานปัญหานี้ไปยังเอชพีก่อนหน้านี้แล้วสามสัปดาห์แต่เอชพีไม่ยอมรับว่ามีปัญหา ทำให้ผู้พบปัญหาสามารถแจ้งสู่สาธารณะได้ทันที"

โดยปกติแล้วถ้าเราพบปัญหาในซอฟท์แวร์ เราต้องแจ้งทางผู้พัฒนาก่อนแล้วจึงแจ้งสู่สาธารณะ อันนี้เป็นกฏหรือว่าเป็นจรรยาบรรณอะไรหรือเปล่าครับ เราจะไม่แจ้งผู้พัฒนาแล้วปล่อยสู่สาธารณะเลยได้ไหมครับ

แล้วจากข่าวที่เอชพีไม่ยอมรับว่ามีปัญหา ถ้าเค้ายอมรับว่ามีปัญหา เราไม่สามารถแจ้งสู่สาธารณะได้ใช่ไหมครับ

By: lew
FounderJusci's WriterMEconomicsAndroid
on 26 June 2013 - 15:12 #590781 Reply to:590777
lew's picture

จริงๆ ไม่มีกฎตายตัวครับ แต่ที่ยอมรับกันคือแนวทางของ US-CERT ระบุให้ติดต่อผู้ให้บริการหรือผู้พัฒนาก่อน และให้เวลาตอบกลับ 45 วัน ถ้าตอบกลับแล้ว อาจจะมีการขอยืดเวลาเพื่อแก้ปัญหาออกไป ก็ต้องให้เวลาตามนั้น (โดยทั่วไปไม่ควรเกิน 45 วันหลังขอยืดเวลา แต่ก็ขึ้นกับกรณี)

ในกรณีที่บอกว่า "ไม่ใช่ปัญหาความปลอดภัย" ในเมื่อไม่ใช่ปัญหาความปลอดภัยก็แจ้งออกสาธารณะได้ครับ เหมือนบั๊กทั่วๆ ไปที่เราไปบ่นที่ไหนก็ได้ ไม่มีแนวทางต้องระวังอะไร

lewcpe.com, @wasonliw

By: anu
Contributor
on 26 June 2013 - 16:43 #590807

รหัสผ่านเต็มกูเกิ้ลแล้วครับ bad....

แก้ตัวไม่แก้ไข เดี๋ยวรู้เลย

By: zephythor
iPhoneAndroidRed HatWindows
on 26 June 2013 - 17:10 #590814

มีในฐานข้อมูล Reverse Lookup เพียบแล้วครับ

b*****5 78a7ecf065324604540ad3c41c3bb8fe1d084c50

hp น่าจะอ่วมแหงมรอบนี้

By: angel13th
Android
on 26 June 2013 - 18:27 #590844
angel13th's picture

www.youtube.com/watch?v=EIyixC9NsLI‎