O2 ทำภาพ MMS ของลูกค้าหลุดสู่เว็บนับร้อยภาพ

By: lew

on 19 July 2008 - 16:36 Tags:

Topics:

Security

Privacy

United Kingdom

ข่าวภาพหลุด คลิปหลุดนี่ใช่ว่าจะมีเฉพาะในบ้านเราเสมอไป เมื่อ O2 ผู้ให้บริการโทรศัพท์มือถือรายใหญ่ในอังกฤษเปิดบริการส่ง MMS ผ่านเว็บโดยไม่ได้ตรวจสอบอย่างละเอียดพอ ส่งผลให้ข้อมูลรูปภาพ MMS ของลูกค้าที่ใช้บริการดังกล่าวหลุดเข้าสู่เว็บและสามารถค้นหาจากกูเกิลได้โดยง่าย

รูโหว่นี้เกิดขึ้นเมื่อผู้ใช้ส่งภาพ MMS ล้มเหลว เช่นส่งหมายเลขปลายทางไปผิดเบอร์ ทาง O2 จะอีเมลกลับมาพร้อมกับ URL ของภาพที่ส่งไป โดยไม่มีการตรวจสอบผู้ใช้แต่อย่างใด แม้ว่าโดยปรกติแล้วการส่ง URL ลับเช่นนี้จะสามารถทำได้ และเสิร์ชเอจินต์ทั้งหลายจะไม่สามารถวิ่งเข้าไปยังหน้าเว็บเหล่านี้ได้ เนื่องจากไม่มีจุดเริ่มต้นที่ลิงก์ไปยังภาพเหล่านี้ แต่ด้วยเหตุผลบางอย่างก็มีภาพจำนวนมากหลุดเข้าไปอยู่ในกูเกิลกันแล้ว

สำหรับบ้านเรา กระทรวงไอซีทีถ้าได้ทำงานอื่นนอกจากบล็อคเว็บกับเข็น 3G แล้ว ควรหาทางให้ราชการเลิกเอาข้อมูลส่วนตัวของประชาชนขึ้นเว็บเป็น Excel ทั้งกระบุงกันโดยเร็วครับ

ที่มา - MailChannels

Hiring! บริษัทที่น่าสนใจ

Bangkok Bank

Bangkok Bank is one of Southeast Asia's largest regional banks, a market leader in business banking

CP Axtra Public Company Limited

Makro PRO is an exciting new digital venture by the iconic Makro.

ttb bank

“Transform the future of banking and unlock a new world of possibilities with us”

Comments

By: tekkasit

on 19 July 2008 - 17:13 #59160

พิสูจน์แล้วครับ ง่ายมาก คุณลองพิมพ์เลขบัตรประจำตัวประชาชนของคุณลงไปดูสิ X-XXXX-XXXXX เป็นแบบนี้ก็พอ ไม่ต้องทั้งหมดหรอก นี่ผมก็สามารถหาข้อมูลประชาชนไทย โดยหาจากรหัสบัตรประจำตัวประชาชนได้ผ่านทาง Google

โอ นี่มันบ้าอะไรกันนี่ ข้อมูลพวกนี้กลายเป็นข้อมูลสาธารณะรึเนี่ย

By: meddlesome on 19 July 2008 - 17:18 #59165 Reply to:59160

ของผมไม่เห็นมีเลยครับ

meddlesome.tech.blog

By: pawinpawin

on 19 July 2008 - 17:22 #59166 Reply to:59165

ของผมก็ไม่มีนะครับ ไม่ว่าจะมีขีด หรือไม่มีขีด ก็ไม่พบอยู่ดี

By: kohsija

on 19 July 2008 - 17:33 #59167 Reply to:59160

ผมลองของผมก็ไม่เจอนะครับ ของคุณรั่วคนเดียวหรือเปล่า

Kohsija

By: fatro

on 19 July 2008 - 17:53 #59169 Reply to:59160

ยืนยันว่ารั่วจริงครับ แบบตั้งใจด้วย ของผมมาจากกระทรวงต่างประเทศ เป็นทั้ง PDF และ html รายชื่อผู้ขอใช้สิทธินอกราชอณาจักร มันเป็นข้อมูลสาธารณะแล้วจริงๆ

แถมยังอำนวยความสะดวก

เพื่อความสะดวกในการพิมพ์โปรด click ขวาที่ชื่อไฟล์ - Save Target As...
Open File ที่ Save ไว้ เลือกเมนู File-> Page Setup
เลือกชนิดกระดาษ Orientation - Landscape และ Margins 0.826 ทั้ง 4 ด้าน
ปรับขนาดอักษรเป็นขนาดกลาง View->Text Size -> Medium
- OK - แล้วสั่ง Print

-*-

By: tekkasit

on 19 July 2008 - 22:02 #59200 Reply to:59160

คือต้องอธิบายครับ ผมไม่ได้หมายความว่า ข้อมูลรหัสประจำตัวผมทั้ง 13 หลักปรากฎบน Google

แต่ผมหมายถึงว่า ข้อมูลหมายเลขบัตรฯของคนไทยบางส่วน (ที่ไม่ใช่ผม) สามารถหาได้ทาง Google ด้วยการพิมพ์รหัสประจำตัวฯของตัวเอง 10 หลักในรูปแบบข้างต้น ดังตัวอย่าง ครับ

By: kohsija

on 21 July 2008 - 14:52 #59285 Reply to:59200

หาได้บางคนจริงๆด้วยครับ

Kohsija

By: ABZee on 20 July 2008 - 03:06 #59218 Reply to:59160

แต่ผมสงสัยว่า หมายเลขประจำตัวประชาชนมันถือเป็นข้อมูลส่วนตัวหรือเปล่า ชื่อและนามสกุลก็เช่นกัน อย่างที่ตรวจดูจาก google ผมพบว่าหมายเลขประจำตัวประชาชนนั้นมันเช่ื่อมไปยังเอกสารราชการบางชนิด ทำให้รู้ชื่อและนามสกุลของเจ้าของหมายเลขได้

กรณีที่หมายเลขและชื่อนามสกุลนั้นโยงเข้าหากันได้แบบนี้ผมเห็นว่ามันไม่เป็นข้อมูลส่วนตัวซะทีเดียวนะครับ เป็นแค่ข้อมูลระบุเฉยๆว่าคนคนนี้คือใคร แต่ไม่ได้มีข้อมูลส่วนตัวเช่นหมายเลขโทรศัพท์หรือที่อยู่ออกมา ส่วนทางการเองก็ต้องการแสดงข้อมูลให้ประชาชนตรวจสอบด้วยอีกต่อหนึ่ง

PoomK

By: tekkasit

on 21 July 2008 - 18:22 #59309 Reply to:59218

ข้อมูลเลขบัตรประจำตัวประชาน, วันเดือนปีเกิด, ที่อยู่ ข้อมูลพวกนี้สามารถใช้บ่งบอกตัวตนคุณได้ เขาอาจลักลอบนำข้อมูลพวกนี้ไปใช้ประโยชน์ได้นะครับ

โดยหลักความปลอดภัยแล้ว ควรจะส่งข้อมูลให้ถึงบุคคลอื่นๆใ้ห้น้อยที่สุดเท่าที่จำเป็นนะครับ ไม่ใช่แพร่กันง่ายๆอย่างนี้ โดยเสมือนปราศจากความพยายามในการป้องกันข้อมูลจำพวกนี้ไม่ให้ถึงบุคคลที่ไม่เกี่ยวข้อง

By: lancaster

on 19 July 2008 - 17:12 #59161

ย่อหน้าสุดท้ายนี่ ผมว่าควรเริ่มจากใน ม.เกษตร ก่อนเลย

กะอีแค่ robots.txt นี่มันยากนักหนารึไง

By: mokin

on 19 July 2008 - 18:04 #59171

เห็นด้วยกับประโยคท้ายอย่างมากเลยครับ

อย่าท้อแท้ที่จะเรียนรู้ และจงเป็นครูสอนผู้อื่นต่อ

By: doktup

on 19 July 2008 - 21:12 #59199 Reply to:59171

เห็นด้วยอีกแรงคับ เหอ ๆๆ คิดได้งัย

//ควรหาทางให้ราชการเลิกเข้าข้อมูลส่วนตัวของประชาชนขึ้นเว็บเป็น Excel ทั้งกระบุงกันโดยเร็วครับ

By: HyBRiD

on 19 July 2008 - 20:51 #59192

หึๆๆ ผมหาเบอร์โทรนิสิตทั้งภาควิชาได้แล้วกัน

NERD GOD

By: Bongbank

on 19 July 2008 - 20:55 #59196

ใครเอาชื่อ-สกุล ผม (หรืออีเมล์ผม) ไปเซิดใน google เนี้ย เจอทั้งเลขบัตรประชาชน บัญชีธนาคาร รูปถ่าย เบอร์โทรศัพท์เลย นะ - -" เคยแกล้งให้น้องรหัสมันหาข้อมูลพี่รหัสอย่างผมไง มันหาได้อย่างง่านเลยล่ะจาก google นี่ล่ะ ที่จริง การทำเว็บเด๋วนี้ ต้องทำให้ฉลาดของ google หน่อย ไม่งั้นตัว spider มันตามจับไว้ซะเต็มเลย ยิ่ง cache ของ google เนี้ย ถึงเว็บไหนจะลบไปแล้ว แต่ cache ก็ใหญ่พอที่จะดูอะไรได้พอสมควรเลยล่ะ

By: scalopus

on 20 July 2008 - 05:20 #59223

เรื่องเทคนิคการ Search ไม่ได้ดุแค่ link จากเว็บไซต์อื่นเพียงอย่างเดียวครับ มี Reference ก็ใช้ได้เหมือนกัน อย่างเช่น เข้าไปที่หน้าหนึ่ง แล้วไปยังอีกหน้าหนึ่งต่อ หน้าหลังจะมี Reference เก็บมาจากหน้าแรก รวมถึงเทคนิคอื่นๆด้วย เช่นการเก็บ index เป็น list รายชื่อไฟล์ทั้งหมดใน directory ถึงได้มี robot.txt ขึ้นมาให้ระบุเป็นมารยาทว่า crawler เข้าไปค้นที่ไหนได้บ้าง

ข้อมูลของไทยรั่วมานานแล้ว และรั่วเยอะมากด้วย แต่มันก็ไม่ใช่แค่ไทยหรอก มันก็รั่วกันหมดนั่นแหละ เพราะ Privacy ที่คน upload ข้อมูลขึ้นเว็บ ไม่ได้เห็นความสำคัญ หรือไม่ได้คิดจะถามผู้ใช้ก่อน.

Warun.in.th

By: ipats

on 20 July 2008 - 05:55 #59225

อยากรู้ว่าเหตุผลบางอย่างคืออะไรจัง

ปัจจุบัน เว็บหลายเว็บ กระทั่งเว็บรูปภาพโดยตรงอย่าง flickr ก็ใช้วิธี url ลับ กับภาพ private (ถ้าจำไม่ผิดการเซ็ต public/private แค่บอกว่าไม่ต้องเอาไปโชว์ใน photo stream กับผล search นะ ถ้ารู้ url ใครๆ ก็ดูได้)

หรือแม้จะเป็น gmail feed, calendar api ฯลฯ พวกนี้ก็ใช้ url ที่เจ้าของ (น่าจะ) รู้คนเดียว เลยอยากรู้ว่า O2 ทำให้มันหลุดไปได้ยังไง หรือ search engine ฉลาดเกิน ถ้าอย่างงั้น วิธีสร้าง url ลับๆ แบบนี้ จะยังปลอดภัยไหม?

---------- iPAtS

iPAtS

By: lancaster

on 20 July 2008 - 12:55 #59234 Reply to:59225

ผมว่าอย่างน้อยถ้าใส่ meta noindex nofollow น่าจะช่วยได้พอสมควรนะ

Main menu