วันนี้หลังทางทรูเข้าพบกสทช. เพื่อชี้แจงปัญหาข้อมูลรั่วไหล นายฐากร ตัณฑสิทธิ เลขาธิการกสทช. ระบุว่าทางกสทช. มีแนวคิดจะสร้างศูนย์ข้อมูลเองเพื่อให้ผู้ให้บริการทุกรายมาเก็บข้อมูลไว้ที่เดียวกัน เพื่อสร้างความน่าเชื่อถือจากการเก็บข้อมูลโดยหน่วยงานของรัฐ
ตัวบริการ AWS S3 ที่เป็นต้นตอของข้อมูลรั่วครั้งนี้ ได้รับรองมาตรฐาน จำนวนหนึ่ง เช่น AICPA SOC 1/2/3, PCI-DSS Level 1, ISO 9001/27001/27017/27018, HIPAA BAA
ที่มา - สำนักข่าวอิศรา, Post Today
Get latest news from Blognone
Follow @twitterapi
Blognone Jobs Premium
Cloudnone
- NVIDIA จะไปหยุดที่ตรงไหน ทำไมครองโลกดาต้าเซ็นเตอร์ | Cloudnone EP.22
- ถึงคลาวด์เคราะห์: ทำอย่างไรเมื่อบริการคลาวด์ที่ใช้ถูกยกเลิก | Cloudnone EP. 21
- รู้จักอาชีพ Site Reliability Engineer สำคัญยังไง? | Cloudnone EP. 20
- อธิบาย CrowdStrike ทางเทคนิค ทำไมถึงทำพีซีจอฟ้าเป็นล้านๆ เครื่อง | Cloudnone EP.19
- Kubernetes [Part 2] ยี่ห้อไหนดี งานไหนต้องใช้ แล้วเลือกยังไง? | Cloudnone EP.18
Comments
เข้าทางเลย กระเป๋าตุงอีกแล้ว
+1
รวยเบย
ไม่มีที่ไหนปลอดภัยหรอกครับ แต่อยู่ที่ความรับผิดชอบของเจ้าหน้าที่
AWS หากมีปัญหาเขาแก้เร็วครับไม่เหมือน ทลู แจ้งเป็นเดือนกว่าจะแก้
หาแดกอีกแล้ว
ขออภัยที่ไม่สุภาพ แต่มันเป็นเรื่องจริง
เรื่องใช้เงินนี่ กสทช.ถนัดมากแต่เรื่องทำงานอย่างห่วย เรื่องsmsกินตังค์ชาวบ้านโวยมากี่ปีแล้วไม่ทำ นี่กผ้เพิ่งออกมาตรการใหม่ถ้าไม่ใช่เพราะเขาโวยสื่อจะทำไหม
ทรูบอกว่ามีคน hack เข้าไปยัง aws s3 ต้องใช้เครื่องมือระดับสูง ผมอยากรู้เหมือนกันว่ามีคนลงทุนลงแรงเจาะเข้าไปเพื่อจะเอาข้อมูลภาพสแกนบัตรประชาชน ซึ่งตอนเจาะเข้าไปได้ รู้ได้ยังไงว่ามันมีข้อมูลอะไรอยู่
แล้วอีกอย่างระบบของ s3 เจาะง่ายขนาดนั้นเลย?
ถ้าโดนจริง เขาคงอยู่เฉยๆ แบบนี้ไม่ออกมาพูดอะไรเลยเหรอ
เครื่องมือที่เขาพูดถึง https://github.com/eth0izzle/bucket-stream
เอาไว้สแกนหา public bucket ของ s3
เค้าคงคิดว่า แค่ไม่มีใครรู้ url ก็ถือว่าปลอดภัยแล้วมั้ง
ตามนั้นครับ ส่วนที่บอกว่า โดนแฮก ผมว่าน่าจะเป็นคำ PR ของฝั่งทรูมากกว่าว่าเธอว์ๆเราโดนเจาะนะ แต่จริงๆแล้วลืม(หรือตั้งใจ?)ตั้งให้เป็น Private
Mekokung's Story บล็อกส่วนตัวที่ย้ายไป Blogger แล้วนะ
ถ้าหากว่าไม่ใช่การ "hack" แต่เป็นเพราะเปิดเป็น Public เอง
อยากรู้ว่า กรณีนี้ สามารถฟ้อง "นําเข้าสู่ระบบคอมพิวเตอร์ซึ่งข้อมูลคอมพิวเตอร์ ที่บิดเบือนหรือปลอม ไม่ว่าทั้งหมดหรือบางส่วน หรือข้อมูลคอมพิวเตอร์อันเป็นเท็จ โดยประการที่น่าจะเกิดความเสียหายแก่ประชาชน"
ได้หรือไม่ ถ้าได้กรณีนี้ ใครสามารถฟ้องได้ ประชาชนผู้เสียหาย คนค้นพบ หรือ หน่อยงานรัฐ ครับ
เงื่อนไขไม่ครบครับ ข้อมูลที่เจอไม่ได้บิดเบือน ไม่ได้ปลอม ไม่ได้เป็นเท็จ
#ชาวท่าแซะท่านหนึ่ง
ไม่ใช่ตัวเอง config ผิดหรือ?
กสทช.ครับ
ไม่ทราบว่าพูดก่อนคิดรึยัง
หรือจริงๆไม่มีความรู้เลยคิดได้แค่นี้
ดีครับ สร้างทั้งงานและผลงานและบริการซัพพอร์ตกันอีกยาวๆ
นี่สินะเรียกว่าพลิกวิกฤตเป็นโอกาส
permission ตั้งต้นมันเป็น private
admin ดันตั้งให้เป็น public เอง
เคสนี้ User Error เห็นๆ
ไม่ใช่เกิดจาก hacker
จริงๆ ควรจะสร้าง platform มากกว่าครับ
ไม่ใช่ปล่อยให้ค่ายเก็บตามบุญตามกรรม
แต่จะไป host บนไหนก็อีกเรื่อง
AWS ก็เป็นทางเลือกที่ดี
+1
ฮาการแซะของเว็บนี้ 555
ไว้ที่ EGA ก็ได้นะ หน่วยงานรัฐใช้ฟรีด้วยมั้ง
Cloud นี้อาจารย์ ม.เทคโนโลยีแห่งหนึ่งเคยกล่าวไว้ว่ามันกากมาก ยังไม่พอมหาลัยใช้เลยครับ จะเอามาให้ทั่วประเทศใช้จะรอดไหมนะ...
ปล. AWS เขา Tier 3-4 เราสร้างเองมีปัญญาตั้งงบหมื่นล้านไปตั้งต่างประเทศได้หรอ...
ทรูมี Supernap ที่เป็นระดับ Tier 3/4 อยู่นี่ครับ
ไหนๆทรูก็ไม่ผิด ไม่มีปัญหาด้านความปลอดภัยอยู่แล้ว ก็เอา Cloud ไปตั้งบน Supernap ซะเลย หึหึ
หรือว่าร่วมมือกันตั้งแต่ต้น เพื่อหาข้ออ้างว่า S3 ไม่ปลอดภัย
แล้วปิดด้วยโฆษณาของตัวเอง
ผมอยากจะเก็บข้อมูลของตัวเองให้ปลอดภัย ทำยังไงดีครับ ใครก็ได้แนะนำผมที OTL
เสรี จนเละ
พ่ อ ง
พลิกวิกฤตเป็นโอกาส จิตใจเหี้ยมโหดมาก
oxygen2.me, panithi's blog
Device: ThinkPad T480s, iPad Pro, iPhone 11 Pro Max, Pixel 6
ผมไม่รู้จะคอมเมนท์อะไรดีเลยครับ
หวังว่าจะไม่ใช้ mysql พอร์ท 3306 เปิด root โจ่งแจ้ง
น่ากลัวจะพัง
ปกป้อง | เฟสบุ๊ก | ทวิตเตอร์
โอย สบายใจสองข่าวรวดเลย
เทคโนโลยีไม่ผิด คนใช้มันในทางที่ผิดนั่นแหละที่ผิด!?!
เข้าป่าดีกว่า
The Last Wizard Of Century.
รัฐจะทำเองนี่ไม่สบายใจเลย มีปัญหาก็คงต้องรอวันราชการเปิด
พูดไม่ออกเลย
..: เรื่อยไป
Password 1234
เปิดดูได้ในไฟล์ โฟลเดอร์นอกสุด
ใช้บริการของรัฐรู้สึกปลอดภัยน้อยกว่าใช้บริการจากบริษัทใหญ่ๆ ของต่างประเทศอีก
รู้สึกเชื่อมือเมืองนอกมากกว่า NBTC เสียอีก
ว๊าว!!