ทำคุณบูชาโทษ!!! TrueMove H เข้าชี้แจง กสทช. โบ้ยโดน Niall Merrigan แฮ๊คข้อมูล!!! ด้าน Niall โต้ ไม่ได้แฮ๊ค แต่บ้านไม่ล๊อคประตู หมาแมวที่ไหนก็เข้าได้!!!
หลังจากที่เมื่อวานทาง TrueMove H เข้าพบ กสทช. เพื่อชี้เเจงกรณีเกี่ยวกับข้อมูลบัตรประชาชนลูกค้าหลุดเป็นจำนวนมากบน Cloud แบบไม่มีการป้องกันหรือเข้ารหัสข้อมูลใดๆ และได้นักวิจัยด้านความปลอดภัย Niall Merrigan ที่ตรวจพบปัญหานี้แจ้งเตือนให้ทำการแก้ไข (อ่านข่าวก่อนหน้าได้ที่โพสนี้)
https://m.facebook.com/story.php?story_fbid=2036863399903160&id=1594566494132855
ซึ่งทาง TrueMove H ได้ชี้แจงว่า ข้อมูลนี้คนทั่วไปไม่มีทางรู้วิธีเข้าถึงข้อมูล และอ้างว่าโดนเเฮ๊คระบบ
ด้าน Niall จึงออกมาชี้เเจงผ่านเว็บไซต์www.certsandprogs.com ว่างานของตัวเขานั้นคือการเฝ้าระวัง สำรวจ ตรวจสอบ การสร้าง Buckets บนคลาวด์เซอร์เวอร์ของ AWS Amazon S3 เป็นประจำอยู่แล้ว โดยทาง Niall นั้นจะมีโปรแกรม Bot ที่เรียกว่า "s3 - ncdu" คอยวิ่งตรวจสอบไฟล์ในระบบของ Amazon S3 และรอบนี้เจ้าโปรแกรมของเขา ก็ไปเจอกับ Bucket ที่ทาง iTrueMart สร้างขึ้นมา โดยที่มีการเปิด Public เอาไว้ (ซึ่งหลายๆเว็บไซต์ได้อธิบายไว้เเล้วว่าการเปิด Public บน Amazon S3 นั้นมีขั้นตอนที่ยุ่งยากพอสมควร ไม่มีทางที่จะเผลอเปิดไว้ได้ น่าจะเกิดจากความประมาทในขั้นตอนการตั้งค่าแต่แรก) และ Niall ยังบอกว่าคนทั่วไปก็สามารถค้นหาข้อมูลนี้เจอบน Google ได้อย่างสบายๆ
หลังจากนั้น Bot ตัวนี้ก็ตรวจสอบสารบัญ(Index) ของ Bucket นี้และเเจ้ง Niall กลับมาว่ามีไฟล์มากกว่า 1 หมื่นรายการ ขนาด 32 GB ที่ไร้การป้องกัน โดยที่ตัวเขา(Niall) ได้เข้าไปทำการสุ่มเปิดไฟล์ตัวอย่าง 4 ไฟล์ขึ้นมาทดสอบว่าไม่มีการป้องกันใดๆกับข้อมูลที่มีความเสี่ยงสูงนี้ และเเนบตัวอย่างเพื่อติดต่อประสานงานไปยัง True โดยทันทีตั้งแต่ต้นเดือนมีนาคม และกว่า True จะตอบรับลงมือแก้ไขก็ปาเข้าไป 11 เมษายนแล้ว ส่วนไฟล์หรือประวัติต่างๆตัวเขาได้ทำการลบทิ้งในทันทีที่ส่งเรื่องเสร็จ ไม่มีเหลือเก็บไว้
(เอาจริงๆ Common sense ถ้าคนมันจะแฮ๊คข้อมูล มันจะใจดีขนาดส่งอีเมล์ไปแจ้งเตือน True ทำไมว่าไฟล์ไม่ได้เข้ารหัสไว้นะ??)
ทำให้ Niall ตัดพ้อว่า True กล่าวเกินความเป็นจริง เพราะการแฮ๊ค(Hack) นั้นแปลว่าไฟล์หรือ Bucket นั้นๆต้องมีการจำกัดสิทธิการเข้าถึงข้อมูล(Private) ไว้ ไม่ใช่เปิดสาธารณะ(Public) ซึ่งกรณีหลัง ใครต่อใครก็สามารถเข้าถึงข้อมูลได้หมด ไม่ต้องใช้เครื่องมือพิเศษใดๆเลยทั้งสิ้น
ด้าน TrueMove H และ Ascend Corp (ผู้ดูแลรับผิดชอบ iTrueMart) หลังจากที่ได้เข้าพบกสทช. เพื่อชี้แจงปัญหาแล้ว ก็มีมาตรการต่างๆที่จะช่วยทำให้ผู้ที่อาจได้รับผลกระทบจากเหตุการณ์นี้ออกมา โดยเบื้องต้นได้ทำการจำกัดการเข้าถึงข้อมูลชุดดังกล่าวเป็นที่เรียบร้อย และจะมีการแจ้งเตือนผ่าน SMS ไปยังลูกค้าที่อยู่ในข้อมูลชุดนี้ ว่ามีความเสี่ยงเกิดขึ้น พร้อมกับรับปากว่าจะดูแลลูกค้าทุกคนหากเกิดปัญหาใดๆจากข้อมูลที่หลุดไป แน่นอนว่ายังไม่มีมาตรการใดๆที่ชัดเจนออกมาเป็นทางการหรือลายลักษณ์อักษร ส่วนด้าน กสทช.ก็จะพิจารณาเกี่ยวกับคดีนี้ต่อไป
Source : CertsandProgs.com
Article By : โลก IT วันนี้
โลกไอทีวันนี้
...
บทสัมภาษณ์ Niall Merrigan จากเว็บไซต์ CertsandProgs
https://www.certsandprogs.com/2018/04/faq-i-true-mart-data-leak.html
ooo
‘ทรูมูฟ เอช’ แถลงการณ์ น้อมรับคำสั่ง “กสทช.” พร้อมดูแลผู้เสียหาย และสร้างมาตรการป้องกัน https://t.co/tsnthdcF9N— Khaosod Online (@KhaosodOnline) April 20, 2018