เว็บไซต์รายงานข่าวไอที Motherboard ออกมาเปิดเผยว่าในช่วงที่ผ่านมา มีบัญชีของผู้ใช้ Uber ถูกแฮก แล้วนำเอาไปขายต่อในเว็บไซต์ตลาดมืดออนไลน์ โดยมีราคาต่อชื่อผู้ใช้งานอยู่ในระดับที่ถูกมาก (ประมาณ 1 เหรียญสหรัฐ) และเริ่มมีผู้ได้รับผลกระทบบ้างแล้ว (1, 2) ซึ่งทาง Motherboard ระบุว่าวิธีการแก้ไขปัญหาของทาง Uber นั้น ถือว่าไม่ดี และแสดงออกถึงการไม่สนใจในประเด็นความปลอดภัย
Motherboard ยกกรณีตัวอย่างของ Isabelle Berner ซึ่งเธออาศัยในสหรัฐอเมริกา แต่ปรากฏว่ามีคนเอาชื่อผู้ใช้ Uber ของเธอไปใช้ที่สหราชอาณาจักร (UK) โดยไม่ได้รับอนุญาต ซึ่งเมื่อเธอเปลี่ยนรหัสผ่าน ก็ถูกล็อคชื่อผู้ใช้งานอีก โดยระหว่างนั้นเธอได้ติดต่อหน่วยบริการและสนับสนุนจากทาง Uber ซึ่งกว่าจะติดต่อกลับมาก็ใช้เวลานานมาก ซึ่งเมื่อได้รับการติดต่อ ทางเจ้าหน้าที่ของ Uber ได้ส่งรหัสผ่านชุดใหม่ให้เธอ ซึ่งรหัสผ่านดังกล่าวส่งมาเป็นข้อความธรรมดาผ่านทางอีเมลและระบบของ Uber แทน ทำให้เธอติดต่อกลับไปใหม่ โดยระบุว่าขอให้ทาง Uber ลบชื่อผู้ใช้งานของเธอไปเลย
Per Thorshiem ซึ่งเป็นผู้ก่อตั้งการประชุมด้านความปลอดภัย Passwords Conference ออกมาระบุว่าการส่งรหัสผ่านเช่นนี้ของ Uber ทำให้สามารถบอกได้ว่าพนักงานหรือบริษัทไม่มีแนวทางหรือมาตรการในการจัดการที่ดีพอ ส่วน George Rosamond ผู้ดูแลระบบที่ดูแลด้านความปลอดภัย ระบุว่าบริษัทเหล่านี้มักจะเน้นนวัตกรรม แต่ในความเป็นจริงกลับใช้โครงสร้างและแนวทางปฏิบัติเดิมๆ
อัพเดต (20/05/2015 14:38) Uber ออกมาปฏิเสธแล้ว โดยระบุว่าเกิดจากผู้ใช้งานเอง (อ่านได้ที่ความเห็นของคุณ tana)
ที่มา - Motherboard
Comments
แค่จะปิด account ยังทำแบบ auto ไม่ได้เลย ต้องเมล์ไปเพื่อให้ปิด แถมบัตรเครดิต add ไปแล้วก็ลบออกไม่ได้ด้วย
บัตรที่ค้างในระบบอยู่ แนะนำให้อายัดและทำบัตรใบใหม่เลยครับ
ไม่เคยใช้ uber นะครับ ถ้าทำแบบนี้ ก็ต้องออกค่าทำบัตรด้วยนะครับ
เข้าว่าทำบัตรใหม่ปลอดภัยกว่า แต่ไม่น่าใช่ทางออกนะครับ
ทางออกไม่มีอะไรดีที่สุดครับ คือเมื่อไม่มั่นใจในระบบที่กำลังเอาข้อมูลบัตรเราไปจัดเก็บไว้ ทางแก้ที่ดีที่สุดคือทำให้ข้อมูลนั้นมันใช้งานไม่ได้ หรือลบออกไปครับ ซึ่งการลบออกไป เป็นทางแก้ไข ในกรณีที่มันหลุดแค่ username/password ของ account นั้น เฉยๆ แต่ถ้าขนาดถูก dump ไปทั้งฐานข้อมูลทางออกที่ดีที่สุด ณ ตอนนี้ เสียเงินทำบัตรใหม่ไม่กี่บาท ไม่ต้องมาปวดหัวตอนเจอปัญหา หรือจะรอหาทางออกอื่นที่หวังว่าคนที่เอาข้อมูลเราไปจัดเก็บไว้แล้วมันคงไม่หลุดเป็นทางออกที่ดี
ส่วนตัวก็เอาที่คิดว่าโอเคครับ ของแบบนี้เตือนได้ แต่สุดท้ายก็ตัวใครตัวมันครับ
อ่านหัวข่าวแล้วผมงงนิดๆ นะครับ
[Motherboard เผย Uber โดนแฮก "แต่"มีมาตรการจัดการที่ไม่ดี]
อ่านตอนแรกนึกว่าโดนแฮคแต่มีการจัดการที่ดี คำว่า"แต่" น่าจะใช้กับกรณีที่ข้อความส่วนหลังขัดแย้งกับส่วนแรกนะครับ ในกรณีที่ไม่ขัดแย้งผมว่าคำอื่นน่าจะดีกว่าเช่น
[Motherboard เผย Uber โดนแฮก "แล้วยัง"มีมาตรการจัดการที่ไม่ดีอีกด้วย]
[Motherboard เผย Uber โดนแฮก "แถมยัง"มีมาตรการจัดการที่ไม่ดีอีก]
ใช้คำว่าและ เป็นคำเชื่อมประโยคน่าจะดูดีกว่า
Motherboard เผย Uber โดนแฮก และมีไม่มีมาตรการจัดการที่ดี
ชะงักตรงคำว่า "แต่" เหมือนกันครับ
เรียบร้อยครับ
I'm ordinary man; who desires nothing more than just an ordinary chance to live exactly what he likes and do precisely what he wants.
uber ตอบผมมาอย่างนี้ครับ
https://twitter.com/9tana/status/600922928562081792
(ขออภัยครับ แปะรูปไม่เป็น)
แล้วบอกว่า user ใช้รหัสผ่านซ้ำกับบริการอื่นๆ เลยทำให้โดนแฮกได้
เคสตัวอย่างในไทย http://pantip.com/topic/33672062
รู้สึกปลอดภัยขึ้นเยอะ
อ่านคร่าว ๆ แล้วนึกถึง CSI Cyber ที่เพิ่งดูเลยครับ ประมาณ EP3 หรือ EP4 นี่แหละ มีใครเคยดูบ้างไหมครับ
ส่งรหัสผ่านเป็น plaintext นี่ค่อนข้างแย่นะในความคิดของผม
ไปว่าเค้าเดี๋ยวก็ส่งมาแบบเข้ารหัส 2048 บิตให้มาเดาคีย์ถอดรหัสเองหรอกครับ:P
ส่งมาเป็น link ที่เป็น link activate account แล้วให้เราไปตั้งรหัสผ่านเองยังดูโอเคกว่านะครับ ระหว่างที่ยังไม่ activate account นั้นจะอยู่ในสถานะ hold ไว้ ไม่สามารถใช้งานได้ ซึ่งน่าจะดีกว่าครับ
ส่งมาแบบนั้นผมยังอุ่นใจกว่าครับ เพราะอย่างน้อยแปลว่า password ถูกเข้ารหัสครับ