โอ้นี่หรือคือบริษัทไอที Ascend Commerce (iTrueMart) แถลงระบุว่าการเข้าถึง S3 แบบเปิดสาธารณะเป็นการแฮก
17 April 2018
By: lew
Blognone
วันนี้ทางทรูมูฟเข้าชี้แจงต่อกสทช. นายสืบสกล สกลสัตยาทร ผู้จัดการทั่วไปของบริษัท Ascend Commerce ผู้ให้บริการเว็บ iTrueMart (ปัจจุบันคือ WeMall) ก็ชี้แจงข้อมูลที่หลุดออกมา
ข้อความแถลงดังนี้ (พยายามตรงคำต่อคำ มีไม่ชัดเจนบ้างดูเพิ่มเติมในที่มา) "ถ้าไม่ใช่ผู้เชี่ยวชาญ ไม่สามารถเข้าถึงได้ ในกรณีนี้ผู้เชี่ยวชาญความจริงเขาไม่มีสิทธิ์ในการที่จะเข้าถึงสตอเรจตัวนี้ ได้ใช้เครื่องมือพิเศษ ซึ่งในบล็อกของเขาเองก็เขียนไว้ชัดเจนว่าตัวทูลเพิ่งสามารถใช้งานได้เมื่อต้นปีที่ผ่านมานี่เอง ทูลตัวนี้ทำให้ข้อมูลบน S3 ทั้งที่เป็นข้อมูลปกปิดกลับถูกเปิดเผยได้ทั้งหมด ต้องใช้ทูลถึง 3 ตัวถึงจะเข้าถึงข้อมูลได้ทั้งหมด ซึ่งข้อมูลที่เข้าถึงเป็นข้อมูลของลูกค้าทรูมูฟเอชที่สมัครหรือซื้อซิมพร้อมเครื่องมือถือผ่านช่องทาง iTrueMart เท่านั้น ในโฟลเดอร์มีเฉพาะไฟล์ที่เป็นสำเนาบัตรประชาชนของลูกค้าจำนวนทั้งหมด 11,400 ราย ในแง่ของข้อมูลอื่นๆ ที่ถูกแฮกไปไม่มีนอกจากนี้ มีเฉพาะสำเนาบัตร ไม่มีกระทั่งว่าเขาใช้เบอร์มือถืออะไร ซึ่งข้อมูลทั้งหมดตรงนี้ได้ถูก เ่ออ. อย่างที่เราทราบเรื่องเมื่อวันที่ 11 เมษายนที่ผ่านมา และทีมงานได้ปิดรูโหว่ตรงนี้ทันทีอย่างที่นาย Merrigan แจ้งในบล็อกของเขาก็คือวันที่ 12 เมษายนรูโหว่ได้ถูกปิดไปเมื่อเวลาหนึ่งทุ่ม เรายังไม่ได้นิ่งนอนใจแค่นั้น เรายังเพิ่มมาตรการต่างๆ ในการที่จะรักษาความปลอดภัยตรงนี้ให้แข็งแรงขึ้น เพราะต้องยอมรับว่า Cyber Security ในโลกยุคปัจจุบันก้าวหน้าอย่างรวดเร็วมาก มีทูล มีเครื่องมือใหม่ๆ ให้แฮกเกอร์ ให้คนที่เป็นพวก security agency ทั้งหลายใช้อย่างรวดเร็ว อันนี้ก็เป็นบทเรียนนึง อันนี้เป็นช่องทางของ iTureMart เท่านั้น"
ที่มา - SeeMe
ต่อจากนี้คือความเห็นและข้อมูลเพิ่มเติมของผม (lew ผู้เขียนข่าว)
ผมไม่ทราบว่าการชี้แจงของคุณสืบสกล เป็นการจงใจเบี่ยงประเด็นเพื่อลดความเสียหาย หรือถูกวิศวกรในบริษัทชี้แจงมาเช่นนี้จริงๆ และคุณสืบสกลก็เชื่อตามนั้น อย่างไรก็ตาม คำชี้แจงดูจะชี้นำให้ประชาชนเข้าใจผิดได้
ประเด็นแรกเครื่องมือทั้งสามตัวที่กล่าวถึงนั้นไม่ใช่เครื่องมือที่ทำให้ข้อมูลปิดลับสามารถอ่านได้แต่อย่างใด เครื่องมือเหล่านั้นเป็นเครื่องมือค้นหา AWS S3 bucket และลองตรวจสอบดูว่าคนทั่วไปสามารถอ่านข้อมูลภายในได้หรือไม่ แม้ว่าเครื่องมือที่สแกนแบบใช้งานง่ายเช่นนี้จะเพิ่งมีขึ้นมาในช่วงต้นปีที่ผ่านมา แต่การที่วิศวกรทำงานผิดพลาด เผลอเปิดข้อมูลออกสู่สาธารณะนั้นมีรายงานมาตั้งแต่ปี 2013 โดย Rapid7
วิศวกรจำนวนหนึ่งอาจจะเข้าใจผิดว่าการตั้งชื่อ bucket ให้แปลกเข้าไว้ คงไม่มีใครมาเห็น อย่างไรก็ตามความปลอดภัยก็น่าจะใกล้เคียงกับผู้ใช้ที่อยากคุยเรื่องส่วนตัวแล้วไปตอบกันในเว็บบอร์ดร้างๆ ที่ไม่ค่อยมีใครใช้ ที่สุดท้ายก็ข้อมูลหลุดได้อยู่ดี
ประเด็นที่สอง กระบวนการเข้าถึงข้อมูลทั้งหมดที่มีรายงานออกมาไม่ใช่การแฮก คุณ Merrigan แจ้ง bucket ที่เปิดสู่สาธารณะเท่านั้น คลาวด์สตอเรจทุกเจ้าล้วนเปิดให้ตั้งค่าปิดข้อมูลสำหรับผู้ใช้ที่ได้รับอนุญาตเท่านั้น (อ่าน FAQ เพิ่มเติมโดยคุณ Merrigan)
ประเด็นที่สาม ปัญหาไม่ใช่เครื่องมือที่พัฒนาไปรวดเร็ว แต่เป็นแนวทางทำงานภายในที่ต้องแก้ไข เครื่องมืออาจจะทำให้ปัญหามองเห็นในวงกว้างได้มากขึ้น หลังจากนี้คนไทยก็อาจจะใช้เครื่องมือเหล่านี้ตรวจสอบว่ามีการเปิดเผยข้อมูลของบริษัทในไทยบ้างหรือไม่ ชื่อบริษัทไทยอาจจะถูกกรองคำสำคัญเพื่อตรวจหา bucket กันมากขึ้น จากเดิมที่คุณ Merrigan มาพบ bucket ของ iTrueMart เพียงเพราะจำนวนไฟล์มากผิดสังเกต
สิ่งที่ Ascend ควรตอบคำถามคือเหตุใด bucket นี้จึงถูกตั้งค่าเป็นสาธารณะ มันถูกตั้งมาตั้งแต่เมื่อใด ด้วยเหตุผลอะไรนอกจากนี้ที่บริษัทอ้างว่ามีข้อมูลหลุดออกมาเพียง 11,400 รายการโดยไม่มีข้อมูลอื่น ก็ควรชี้แจงว่าไฟล์ใน bucket ทั้งหมด 45,736 นั้นเป็นไฟล์ประเภทใดบ้าง
ooo
ข่าวทรูวันนี้ควรทำความเข้าใจสองสามอย่าง— Wason Liwlompaisan (@public_lewcpe) April 17, 2018
1. "มันไม่ใช่การแฮก" ทาง iTrueMart เผลอเปิดข้อมูลให้ดาวน์โหลดได้จากเว็บ แม้ URL จะแปลกสักหน่อย แต่คนทั่วไปเข้าถึงได้
2. ไม่มีเครื่องมือพิเศษ
3. เป็นความผิดพลาดของเจ้าหน้าที่ iTureMart ข้อมูลประเภทนี้ไม่ควรเข้าถึงได้โดยคนทั่วไป
กสทช. ในฐานะหน่วยงานกำกับดูแล ควร— Wason Liwlompaisan (@public_lewcpe) April 17, 2018
1. ส่งผู้ตรวจสอบเข้าตรวจไฟล์ทั้งหมด ยืนยันจำนวนผู้เสียหาย
2. ขีดเส้นตายการแจ้งเตือนผู้ใช้ทั้งหมด กำหนดกรอบหากติดต่อไม่ได้ ต้องส่งจดหมายแจ้งก็ต้องทำ
3. ตรวจสอบข้อความภายในที่ทรูระบุว่าได้รับแจ้งวันที่ 11 เมษา แต่นักวิจัยระบุว่า 8 มีนาค
การทำข้อมูลหลุดเกิดขึ้นได้ ความเสียหายหลายครั้งก็ใหญ่หลวง แต่มันไม่ใช่การถูกแฮก— Wason Liwlompaisan (@public_lewcpe) April 17, 2018
เหมือนพนักงานไปเบิกเงินแล้วเผลอทำเงินหล่นหาย ความเสียหายเท่ากัน แต่มันไม่ใช่การถูกปล้น
ooo