Tags:
Topics: 
Node Thumbnail

จากข่าว Dropbox ถูกแฮกตั้งแต่ปี 2012 กระทบผู้ใช้ 68 ล้านบัญชี ตอนนี้มีผู้ปล่อยให้ดาวน์โหลดแล้ว ซึ่งขนาดไฟล์มีขนาดใหญ่ถึง 5GB ตามที่เป็นข่าวก่อนหน้า สิ่งที่น่าสนใจหลังจากมีการปล่อยให้ดาวน์โหลดข้อมูลคือ ทางเพจ Incognito Lab ได้นำข้อมูลมาทำ filter อีเมลที่ลงท้ายด้วย .th พบว่ามีข้อมูลทั้งหมด 23,761 บัญชี โดย 10 อันดับยอดนิยมดังนี้

  1. hotmail.co.th จำนวน 4,449 บัญชี
  2. yahoo.co.th จำนวน 1,974 บัญชี
  3. patana.ac.th จำนวน 1,041 บัญชี
  4. nist.ac.th จำนวน 902 บัญชี
  5. scg.co.th จำนวน 508 บัญชี
  6. truemail.co.th จำนวน 365 บัญชี
  7. loxinfo.co.th จำนวน 312 บัญชี
  8. egat.co.th จำนวน 209 บัญชี
  9. truecorp.co.th จำนวน 105 บัญชี
  10. ais.co.th จำนวน 97 บัญชี

ทางเพจยังเผยว่ายังมีอีกหลายองค์กรที่เป็นของไทยแต่ไม่ได้ใช้งาน .th เช่น กลุ่มธนาคารต่างๆ

ทำให้เห็นได้ว่า พนักงานหลายองค์กรอาจมีการแชร์ข้อมูลภายในบริษัท ผ่านบริการ Public Cloud Service เช่น Dropbox และเจ้าอื่นๆ สิ่งนี้อาจจะนำไปสู่การทำให้ข้อมูลลูกค้า, ความลับบริษัทรั่วไหลได้ หวังว่าข่าวนี้จะช่วยเตือนให้ทุกหน่วยงานตระหนักถึงความสำคัญของการควบคุมการใช้งานบริการ Public Cloud Service ต่อไป

ที่มา - Incognito Lab, thecthulhu

Get latest news from Blognone

Comments

By: Hadakung
iPhoneWindows PhoneAndroidWindows
on 6 October 2016 - 16:50 #945019

แหม่พาดหัวข่าวยังกะเกมแจกฟรี โชคดีไม่เคยคิดจะใช้เลยรอดไป...

By: kadeep
AndroidUbuntuWindows
on 6 October 2016 - 16:53 #945022 Reply to:945019
kadeep's picture

แต่พนักงานธนาคารใช้ และข้อมูลของคุณก็อยู่ในนั้น

By: Jirawat
Android
on 6 October 2016 - 16:56 #945025 Reply to:945022
Jirawat's picture

ชิหายยยยยยยละะ555

By: Hadakung
iPhoneWindows PhoneAndroidWindows
on 6 October 2016 - 17:36 #945035 Reply to:945022

ไม่เป็นไรครับธนาคารมีแบ็คอัพไว้แล้ว:P

ปล. อยากได้เอาไปเลยจ่ายค่าโอนก็หมดแล้ว XD

By: waroonh
Windows
on 6 October 2016 - 18:01 #945042 Reply to:945022

อ้อ ที่บัตรเครดิตโทรมาหาผมบ่อยๆ
ก็เพราะรั่วทางนี้นี่เอง
... ใช่มั้ยครับ?

Siemens C35i> Panasonic GD88, Panasonic X400, T610, W810i, Aino, Arc, Arc S, t2 ultra, z ultra, z3 tables, z5, XA ultra.

By: Hadakung
iPhoneWindows PhoneAndroidWindows
on 6 October 2016 - 19:37 #945055 Reply to:945042

อันนั้นเพราะคุณเซนยินยอมให้ธนาคารขายข้อทูลให้ฝ่ายเครดิตครับ ซึ่งไม่เซนก็เปิดบัญชีไม่ได้....

By: Prince12
iPhoneAndroid
on 7 October 2016 - 13:47 #945207 Reply to:945055
Prince12's picture

เป็นสิ่งที่ไม่เคยอ่าน ฮ่าา

By: Ford AntiTrust
ContributorAndroidBlackberryUbuntu
on 6 October 2016 - 18:02 #945043 Reply to:945022
Ford AntiTrust's picture

bot.or.th ก็มีครับ

By: gotobanana
iPhoneAndroidBlackberrySymbian
on 6 October 2016 - 16:55 #945024
gotobanana's picture

หลาบเลยแบบนี้

By: Higps
iPhoneWindows
on 6 October 2016 - 17:20 #945030

แย่เลย แล้วเพิ่งมาบอกเนี่ยนะ
แล้วจะยังให้อัพเกรดเป็น Business อีก

By: vaLVE
iPhoneWindowsIn Love
on 6 October 2016 - 17:21 #945031
vaLVE's picture

อันดับ 3 และ 4 เป็นสถาบันการศึกษา (โรงเรียนนานาชาติ) ???

อันนี้น่าจะเป็นอาจารย์ให้เด็ก ๆ สมัครใช้เพื่อประกอบการเรียนการสอน

น่าสนใจมากว่า เด็ก ๆ นำมาประยุกต์ใช้อย่างไรนะครับ

By: Ford AntiTrust
ContributorAndroidBlackberryUbuntu
on 6 October 2016 - 17:58 #945041
Ford AntiTrust's picture

ข้อมูลที่หลุดมากกว่า 60 ล้านรายการ เป็นอีเมล และตัวรหัสผ่านนั้นถูกแฮชไว้ด้วย sha1 หรือ blowfish

By: EThaiZone
ContributorAndroidUbuntuWindows
on 6 October 2016 - 18:10 #945047
EThaiZone's picture

เท่าที่ทดสอบ เคสอีเมล์ผมโดนเป็น sha1

ทดสอบเข้ารหัส sha1 กับรหัสผ่านมั้งหมดแล้วเทียบกับใน DB แล้ว ทดสอบหลายแบบ และตรวจโดยเข้า sha1 ตรวจจนครบ 1 ล้านรอบ ก็ยังไม่ตรง เลยเข้าใจว่าที่หลุดมานี้น่าจะมี salt อยู่แล้ว

แต่ถ้ามีเจ้าของอีเมล์กับรหัสผ่านจริง จำนวนเยอะๆ ก็อาจมีการแกะ salt ออกมาได้เหมือนกัน

อนาคตแฮกเกอร์คงไล่สมัคร acc ผีไว้สักหลายพันหรือหลายหมื่น แล้วค่อยแฮกมาเอา DB จากนั้นก็น่าจะเป็นการสุ่มยิง salt ออกมาแทน


มันไม่ง่ายเลยที่จะทำ GIF ให้มีขนาดน้อยกว่า 20kB

By: stan
ContributoriPhoneAndroidUbuntu
on 6 October 2016 - 18:13 #945048 Reply to:945047
stan's picture

ไม่รู้ว่า dropbox ใช้เก็บ password ระบบ hash salt pepper หรือเปล่า

By: EThaiZone
ContributorAndroidUbuntuWindows
on 7 October 2016 - 16:35 #945245 Reply to:945048
EThaiZone's picture

เราไม่รู้อะไรเลยนี้สิครับ 55+


มันไม่ง่ายเลยที่จะทำ GIF ให้มีขนาดน้อยกว่า 20kB

By: pd2002 on 6 October 2016 - 19:11 #945051 Reply to:945047

bcrypt ก็ยากหน่อย

By: MrNonz
ContributoriPhoneRed HatUbuntu
on 6 October 2016 - 21:28 #945075 Reply to:945047

ถ้าแบบนี้เราสามารถกระจาย salt ออกเป็นหลายๆ ตัวได้ไหมครับ? เพื่อให้ข้อมูลสำหรับการ decrypt ย้อนกลับไปทำได้ยากขึ้น?

By: wichate
Android
on 6 October 2016 - 21:38 #945079 Reply to:945075

ใช้ salt แบบ dinamic ไปเลยครับ เช่นเอาบางส่วนของค่า hash ตัว username มาเป็น salt

By: Jaddngow
AndroidUbuntuWindows
on 6 October 2016 - 21:36 #945078 Reply to:945047
Jaddngow's picture

สรุปคือ น่าจะปลอดภัยหรือเปล่าครับ มีชื่อผมอยู่ในนั้นด้วย แต่ก็แก้pass ไปแล้วล่ะครับ

By: pd2002 on 7 October 2016 - 01:08 #945115 Reply to:945078

อยู่ใน bcrypt หรือ sha1 ครับ ถ้าตัวแรกก็น่าจะสบายใจได้

By: EThaiZone
ContributorAndroidUbuntuWindows
on 7 October 2016 - 16:36 #945239 Reply to:945047
EThaiZone's picture

มาถอนคำพูดนะครับ ถ้าเป็น sha1 อาจโดนแกะด้วยวิธี RainbowCrack ได้ครับ แต่นั้นคือกับกรณีถ้าดันไม่มี salt นะ เพราะเราก็ไม่รู้ว่ามันจะยังไง ไม่รู้ว่า salt มีไหม มีใส่ pepper เพิ่มหรือเปล่า มันไม่รู้อะไรเลยนี้สิ -*-

ลาก๋อยยย (ยังไม่ได้เทสจริงจัง แต่เสียงก็เปลี่ยนๆ ไปเถอะครับ ทุกเว็บอย่าใช้ซ้ำกัน)


มันไม่ง่ายเลยที่จะทำ GIF ให้มีขนาดน้อยกว่า 20kB

By: natong on 6 October 2016 - 21:44 #945083

ตรวจได้ที่ไหน

By: MrNonz
ContributoriPhoneRed HatUbuntu
on 6 October 2016 - 22:45 #945098

No Description

โดเมนที่ลงท้ายด้วย .th ผมดึงออกมาได้ 23830 นะครับ

By: Virusfowl
ContributorAndroidSymbianWindows
on 9 October 2016 - 03:19 #945482
  • plublic => public

@ Virusfowl

I'm not a dev. not yet a user.