Tags:
Node Thumbnail

ผู้เขียนได้สมัครบริการของบริษัท Jaymart ผ่านเว็บไซต์ Jaymart.co.th เพื่อเข้าใช้บริการ Enjoy Card/ประกันตัวเครื่องมือถือ และรับสิทธิพิเศษอื่นๆ

โดยหลังจากสมัครสมาชิกเรียบร้อย ระบบได้ส่งอีเมลยืนยันการดำเนินการสำเร็จ พร้อมบอกรายละเอียดชื่อสมาชิกพร้อมรหัสผ่านที่ระบุไว้

alt="Jaymart Register"

alt="Member Register"

หลังจากสังเกตว่ามีการเปิดเผยรหัสผ่านในอีเมลที่ดำเนินการสมัคร ผู้เขียนได้ทำการทดลองขอรหัสผ่านใหม่ ด้วยการกดปุ่ม "ลืมรหัสผ่าน" และกรอกอีเมลที่ใช้เป็นชื่อสมาชิก ผลปรากฎว่าระบบของเว็บไซต์ Jaymart.co.th ได้ส่งรายละเอียดอีเมลพร้อมด้วย "รหัสผ่านเดิม" ครบถ้วน

alt="Forgot Password E-mail"

เมื่อพบว่าเว็บไซต์ Jaymart.co.th เก็บรหัสผ่านแบบไม่เข้ารหัส ผู้เขียนได้พยายามดำเนินการเปลี่ยนรหัสผ่าน แต่ก็ดำเนินการไม่สำเร็จ

ทั้งนี้ ผู้เขียนได้ดำเนินการส่งข้อกังวลดังกล่าวไปยังอีเมลทีมงาน webmaster@jaymart.co.th และ CustomerService2@jaymart.co.th แล้ว เป็นเวลา 30 วัน ก่อนเขียนข่าวนี้

ที่มา - ค้นพบด้วยตนเอง

Get latest news from Blognone

Comments

By: lew
FounderJusci's WriterMEconomicsAndroid
on 7 December 2017 - 09:38 #1022541
lew's picture

ถ้าไม่ใช่เว็บหลักๆ ที่คนใช้เยอะมากๆ เราคงไม่รายงานข่าวแนวนี้ขึ้นหน้าแรกนะครับ (เว็บขนาดเล็กไม่ทำตาม best practice มีเยอะมากๆ) กรณีของ Jaymart เองผมเข้าใจว่าไม่ใช่เว็บ e-commerce ขนาดใหญ่ของไทย (ไม่น่าติด top 10) เลยขอไม่เอาขึ้นหน้าแรกครับ


lewcpe.com, @wasonliw

By: Zatang
ContributoriPhoneAndroid
on 7 December 2017 - 10:15 #1022553

jib ก็ด้วย สมัครไปจะซื้อของ ส่งเมลยืนยันชื่อ และรหัสกลับมาเฉย


อคติทำให้คนรับเหตุผลด้านเดียว

By: Architec
ContributorWindows PhoneAndroidWindows
on 8 December 2017 - 13:01 #1022790

มีหลักฐานอะไรที่บอกว่าไม่มีการเข้ารหัสผ่านที่ตัว db ?

By: PowerBerry
Android
on 8 December 2017 - 21:10 #1022881

ผมเจอในเว็บผู้ให้บริการโดเมนกับโฮสติ้ง ที่เค้าบอกว่าเป็นอันดับต้นๆ ของประเทศไทย ตัวอย่างลูกค้าระดับบิ๊กๆ แนวหน้าชั้นนำมีแทบจะทุกวงการของประเทศไทย ค่าบริการก็เรียกว่าแทบจะแพงสุดในทุกจ้าวแล้วมั้ง กดกู้พาสส่งพาสเข้ามาในเมล์แบบตรงๆ เท่านี้ยังไม่พอ ผมคุยกับทีมซัพพอร์ททางหน้าเว็บไซต์เพื่อข้อแก้ข้อมูลบางอย่างในโดเมนปรากฏว่าแก้ให้เฉยโดยที่ไม่ขอข้อมูลยืนยันตัวตนอะไรทั้งสิ้น ตอนนี้ย้ายออกหมดทุกโดเมนยกเว้นพวกที่นามสกุลไทยที่ย้ายไม่ได้

By: hisoft
ContributorWindows PhoneWindows
on 8 December 2017 - 21:46 #1022888 Reply to:1022881
hisoft's picture

เข้าใจว่าคงเจอเจ้าเดียวกันมานะครับ ห่ะๆๆ