By: lew 
on 1 November 2020 - 09:16
Tags:
Topics:
ช่วงสัปดาห์ที่ผ่านมามีรายงานฐานข้อมูลของ RedMart บริษัทลูกของ Lazada หลุดออกสู่ตลาดใต้ดิน ในรายการเดียวกันปรากฎว่ามีข้อมูลของบริษัทในไทยคือ Eatigo และ Wongnai อยู่ด้วย ล่าสุดทั้งสองบริษัทออกมายืนยันว่าข้อมูลหลุดออกไปจริง และแจ้งผู้ใช้แล้ว
หน้าเว็บตลาดใต้ดินแสดงให้เห็นว่าข้อมูลของ Eatigo มีอีเมล, ค่าแฮชรหัสผ่าน, ชื่อ, หมายเลขโทรศัพท์, เพศ, โทเค็นเฟซบุ๊ก
ขณะที่ข้อมูลของทาง Wongnai มี อีเมล, ค่าแฮชรหัสผ่าน, หมายเลขไอพีที่ใช้ลงทะเบียน, หมายเลขไอดีผู้ใช้เฟซบุ๊กและทวิตเตอร์, วันเกิด, หมายเลขโทรศัพท์, และรหัสไปรษณีย์ โดยทั้งสองบริษัทยืนยันว่าไม่มีข้อมูลบัตรเครดิตหลุดออกไปกับเหตุการณ์ครั้งนี้
ทั้งสองบริษัทส่งอีเมลแจ้งผู้ใช้เพื่อรีเซ็ตรหัสผ่าน และแจ้งเตือนผู้ใช้แล้ว
ข้อมูลเปิดเผย: วงในเป็นบริษัทแม่ของบริษัท บล็อกนัน จำกัด ผู้ดำเนินการเว็บไซต์ Blognone.com
ที่มา - Channel News Asia, Strait Times, Wongnai
Get latest news from Blognone
Follow @twitterapi
Cloudnone
- AWS มาไทย ย้ายเลยดีไหม อะไรยังมาไม่ครบบ้าง? | Cloudnone Ep. 23
- NVIDIA จะไปหยุดที่ตรงไหน ทำไมครองโลกดาต้าเซ็นเตอร์ | Cloudnone EP.22
- ถึงคลาวด์เคราะห์: ทำอย่างไรเมื่อบริการคลาวด์ที่ใช้ถูกยกเลิก | Cloudnone EP. 21
- รู้จักอาชีพ Site Reliability Engineer สำคัญยังไง? | Cloudnone EP. 20
- อธิบาย CrowdStrike ทางเทคนิค ทำไมถึงทำพีซีจอฟ้าเป็นล้านๆ เครื่อง | Cloudnone EP.19
Comments
ไม่เข้าใจคำว่าค่าแฮชรหัสผ่าน สรุปมันก็คือรหัสผ่านเข้ารหัสที่รอวันถูกถอดรหัสหรือไม่ ซึ่งอาจจะเป็นไปได้ว่ามันถูกถอดแล้ว หรืออาจจะอีกหลายปีข้างหน้าหรือไม่
Update: อ่านข่าวอื่นเพิ่มเพิ่งเห็นว่าเป็นฐานข้อมูลเมื่อ 18 เดือนที่แล้วที่ถูกเจาะ ผมซึ่งเพิ่งสร้างไอดีไม่ถึง 18 เดือนเลยไม่จำเป็นต้องเปลี่ยนรหัสผ่าน (แต่ก็ไม่รู้ส่งอีเมลมาทำไม)
สั้นๆ แฮชรหัสผ่าน ไม่ใช่ตัวรหัสผ่านเองครับ ปกติจะไม่มีทางถอดกลับมาเป็นรหัสผ่านดั้งเดิมได้ครับ
แต่กระนั้นก็ตาม ในแง่ด้านความปลอดภัยไม่ควรไว้วางใจในระบบงานใด ไม่ควรจะใช้รหัสผ่านซ้ำกันครับ คือต่อให้หลุดไปก็เอาไปใช้งานที่อื่นๆไม่ได้ เช่น Facebook, Blognone, Wongnai, Google, ฯลฯ เพราะเราไม่เคยใช้ซ้ำกับบริการอื่นๆ
โดยเฉพาะอย่างยิ่ง email หลัก หรือบริการที่อนุญาต ควรต้องทำ Multi-Factor Authentication เพิ่มขึ้นด้วยครับ
Hash: ไม่รู้ว่ามันคืออะไรแต่มันใช่ - Blognone.com
ผมเห็นแค่ของ Eatigo ว่าเป็นข้อมูลเก่า .. ส่วนฝั่ง Wongnai ไม่มีบอกข้อมูลส่วนนี้เลย
ถ้าข้อมูลจากข่าวนี้ถูกต้องว่ารหัส Hash ด้วย MD5 คิดว่าไม่ต้องรออีกหลายปีครับ
https://www.bleepingcomputer.com/news/security/hacker-is-selling-34-million-user-records-stolen-from-17-companies/
จริงๆไม่รู้ว่า md5 คืออะไร แต่หลังจากไปหาอ่านมาว่าถูกใช้ในการเข้ารหัสรหัสผ่านอย่างแพร่หลายแม้ว่าจะมีผู้เชี่ยวชาญออกมาเตือนตั้งแต่สิบปีที่แล้วว่ามันไม่ปลอดภัย ผมรู้สึกเสียใจครับ
ข้อมูลใหม่ก็อาจจะถูก Hack ไปแล้วก็ได้ (แค่ยังไม่ได้เอาไปขาย)
hash ถอดย้อนกลับไม่ได้ครับ มองง่ายๆ hashed password คือ ชุดข้อมูลไว้ตรวจสอบ(validate) เมื่อเราเดารหัสมั่วๆ มันจะมีตรงกันบ้างไหม
(อธิบายแบบ oversimplified) วิธีง่ายสุดที่ใช้แพร่หลายคือการ brute force ต้องใช้พลังประมวลผลสูง, สุ่ม string มาซักอันเอาไปเข้า hash function เดียวกัน จากนั้นเอาค่า hashed ที่ได้มาเทียบ collision ว่ามีตรงกันไหมกับฐานข้อมูลที่หลุดออกมา ถ้าตรงก็แสดงว่า string นั้นคือค่าตั้งต้นของ hashed นั้นๆ ... แต่ก็ไม่ได้หมายความว่า string จะเป็น password เสมอไป
ปกติในระบบออกแบบไว้ดี เวลา hash password ต้องใส่ salt (คำลับ) ไปผสมเสมอ เหตุเพื่อถ้า hashed password หลุดแต่ salt ไม่หลุดโอกาศโดนเทียบแล้วย้อนเป็นรหัสผ่านจริงๆได้ก็น้อยลง แต่ก็ไม่แน่เสมอไป บางที salt หลุดด้วยก็จบเลย
ขึ้นอยู่กับ algorithm ที่ใช้ด้วยครับ ถ้าเก่าๆอย่าง md5 ประสิทธิภาพเครื่องในปัจจุบัน เช่า multi cpu บน cloud ช่วยประมวลก็ใช้เวลาไม่นานแล้ว หลักเดือนหรือไม่ถึงสิบปี (md5 มีคำแนะนำให้เลิกใช้มาตั้งแต่ 12+ ปีที่แล้ว)
แต่ค่าที่ถูกถอดออกมาจะใช้รหัสตั้งต้นจริงๆไหมก็ไม่เสมอไป อยู่ที่ระบบออกแบบดีแค่ไหน ปกติเหตุการณ์แบบนี้เกิดขึ้นให้เปลื่ยนรหัสเสมอครับ เพราะไม่รู้ว่าคนมีข้อมูลทำอะไรไปถึงไหนแล้ว
เอาจริง ๆ ในยุคนี้ผมเริ่มไม่มั่นใจว่า "ข้อมูลบัตรเครดิต" กับ "ค่าแฮชรหัสผ่าน" ถ้ามันหลุด อันไหนมันร้ายแรงกว่ากัน
โดยทั่วไป ข้อมูลบัตรเดรดิตรั่ว ถ้ารั่วแบบครบ 16 หลัก อาจโดนแอบอ้างเอาไปใช้งานซื้อสินค้าออนไลน์ได้ ซึ่งแย่แน่นอน
ส่วนเรื่อง ค่าแฮชรหัสผ่านหลุด ขึ้นกับความสำคัญของระบบที่หลุด เพราะมันมีความเสี่ยงที่คนร้ายยังมีโอกาศที่จะสวมบัญชีได้ และถ้าระบบสำคัญมากๆ เกี่ยวกับเงินๆทองๆ ก็อาจจะร้ายแรงกว่าก็เป็นได้
ข้อมูลบัตรเครดิตที่ส่วนใหญ่ไม่ว่าเราจะเก่งเรื่อง security หรือไม่ก็หลุดแค่หลัก ๆ ก็ใบเดียว(หรือหลาย ๆ ใบก็ไม่น่าเกิน 3 ใบ) ต้องเสียเวลากับธนาคารหลัก ๆ แค่เจ้าเดียว (หรือ 3 เจ้า) dispute ก็รอเวลาหน่อย แต่ส่วนใหญ่ก็น่าจะได้ถ้าเรามีหลักฐานพอ
กับ
แฮชรหัสผ่านที่เราอาจจะเก่งเรื่อง security หน่อย ต้องปกป้องเองเป็นหลักก่อน ใช้รหัสผ่านไม่ซ้ำกันเลย ก็ซวยหน่อย เปลี่ยนรหัสผ่านใหม่ แต่ถ้าไม่เก่ง security ยังใช้ซ้ำบ้าง ก็ต้องลุ้นว่า แฮช นั้นจะแข็งแรง หรือ อ่อนแอ ถ้า dehash กลับมาได้ไวก็โดนใช้กับเว็บอื่น โดนเปลี่ยน password และ/หรือ หาข้อมูลของบัญชีนี้ได้ต่ออีก
อันนี้คือที่ผมกำลังคิดอยู่ แต่ไม่มั่นใจจริง ๆ ว่าคิดเกินความเป็นไปได้ไหม
ปกติแล้วเว็บไซต์ทั่วๆไป เก็บหมายเลขบัตรเครดิตไว้เองได้เหรอครับ
ผมนึกว่าเก็บไว้แค่ไม่เกิน 4 หลัก คู่กับ Token แต่หมายเลขบัตรเครดิตฉบับเต็มอยู่บน Payment Gateway ที่ได้ PCI DCC
แล้วเว็บไซต์ทำหน้าที่ส่ง Token ไปขอตัดยอดเงิน
PCI-DSS ครับ https://en.wikipedia.org/wiki/Payment_Card_Industry_Data_Security_Standard
ขออภัยครับ พิมพ์ผิด T_T
ไม่รู้ว่าจะมีคนของ Wongnai มาอ่านมั้ย
แต่อยากให้ไปรีวิวกระบวนการReset Passwordนะครับ กดตามLinkไปเจอหน้าแรกก็ขอข้อมูลPDPAแบบไม่มีช่องให้กรอกเพื่อไม่อนุญาติอย่างชัดเจน ต้องกดปุ่มดูรายละเอียดถึงจะมีให้เลือก หนักกว่านั้นคือพอResetไปแล้วก็ต้องมายอมรับเงื่อนไข"สิทธิในการเปิดเผยข้อมูลแก่บุคคลที่สาม"อีก
สรุปแล้วกระบวนการนี้เป็นการReset Passwordเพื่อความปลอดภัยของผู้ใช้บริการหรือเป็นการขอเก็บConcent PDPAครับ?
+1024
น่าเกลียดมากเลยแบบนี้
เรียนคุณ s4535065
ตอนนี้ทางทีมงานได้แก้ไขตามคอมเมนต์เรียบร้อยแล้วครับ
Best Regards,
The Wongnai Team
ถ้าไม่มีคอมเม้นท์นี้ก็ไม่แก้ไข ทำไมไม่ทำให้ถูกตั้งแต่แรก
เห็นว่า Hash ด้วย MD5
ถ้าไม่ใส่เกลือก็ตารางสายรุ้งกันง่ายๆ เลย
กลัวว่าเกลือจะหลุดด้วย
ถ้าหลุดพร้อมเกลือที่ถูกต้อง ใช้ตารางสายรุ้งไม่ได้ครับ
ตารางสายรุ้งคืออะไรครับ
Rainbow table ครับ แบบ gen plaintext-hash pair ไว้ล่วงหน้า แล้วก็เอา hash ที่ได้มาไปหาในตารางนี้อีกที
อ๋อออ ขอบคุณครับ เหมือนครั้งนึงเมื่อหลายปีก่อนที่อ้างว่าถอด md5 ได้ ตอนนั้นก็ใช้วิธีนี้เหมือนกัน
Salt ไม่ใช่ความลับครับ มีหน้าที่แค่ทำให้ password เดียวกัน hash ออกมาแล้วเป็นคนละค่ากัน ถ้าดูจากค่า hash แล้วจะบอกไม่ได้ว่าใครใช้ password เดียวกันรึเปล่า ถ้าแกะของคนนึงได้ก็ไม่รู้ว่าเอาไปใช้กับคนไหนได้บ้าง
ไม่รู้เกี่ยวกันมั้ย แต่ Instagram ผมโดน login ไปสามครั้งติดๆกันเมื่อตอนตีสาม ยิ่งไม่ค่อยได้ใช้เลยจำไม่ได้ว่าตั้งรหัสผ่านซ้ำกับ wongnai ไปรึเปล่า พออ่านข่าวนี้แล้วเข้าไปเช็คเมลล์เจอ
แต่กลับไม่มี mail จาก wongnai แฮะ
คือเรียกว่าได้ข้อมูลส่วนตัวไปหมดเลย!! ถ้าในเว็บมีให้กรอกเลขบัตรปชช.ก็คงโดนไปด้วยอะ เวงกำ พนักงานก็เยอะนิน่าบ.นี้??
แล้วไงต่อครับเนี่ย?? แจ้งให้ทราบถือว่าจบเรื่องแค่นี้นะอะเหรอ??
สรุป บล้อกนันโดนไหมครับ
คนที่ hack LAZADA กับอันนี้ เจ้าเดียวไหมเนี่ย เกิดใกล้ๆ กันเลย
สารภาพมาดีๆ สงสัยเมื่อคืนเที่ยวหนัก โดนแก๊งตบทรัพย์จิ๊กกุญแจไปใช่ไหม 555
A: Wongnai ได้แจ้งเตือนผู้ใช้แล้วครับ
B: แจ้งเตือนทางไหนครับ
A: ทาง blognone!!
แซวๆ นะครับ ขอให้จัดการผ่านไปได้ด้วยดีครับ
ผมไม่ได้เมลแจ้งเตือนนะ
ไม่รู้ว่าเกี่ยวกับ log in ด้วย facebook รึเปล่า
A smooth sea never made a skillful sailor.
--- ลบครับ ---
พึ่งได้เมล์เมื่อเช้า เวลา 9.30 น.
คือถ้าไม่มีเหตุการ์ณนี้ผมก็จำไม่ได้นะว่าเคยสมัครไว้ พาสเวิร์ดก็เป็นพาสเวิร์ดเก่าที่ไม่ได้ใช้นานมากแล้ว ก็กลับมาคิดนะว่า มันมีเวบที่เราสมัครแล้วลืมว่าเคยสมัครอีกกี่เวบล่ะเนี่ย
ประเด็นคือ แล้วจะเปลี่ยน เฟสบุ๊คโทเค็นกับ กูเกิ้ลโทเค็นยังไง? สำหรับคนที่ใช้เฟสบุ๊คล็อคอิน
จำเป็นด้วยเหรอครับ?
ก็ถ้าตัวโทเค็นหลุดก็หมายถึง แฮกเกอร์ก็สามารถเจาะเข้าบัญชีได้ไม่ใช่หรือครับ?
ถ้าจำไม่ผิด ถ้ามีหลุดตัว Application Key และ App Secret สามารถ bypass เข้าบัญชีคนอื่นได้ครับ แต่จะจำกัดได้เฉพาะแค่แอปพลิเคชันนั้น ๆ เท่านั้น ซึ่งในข่าวนี้ยังไม่ทราบว่าได้หลุดทั้ง 2 ตัวนี้ด้วยไหม
Coder | Designer | Thinker | Blogger
ถ้าจากที่มา CNA ของ Wongnai หลุดเฉพาะ Facebook และ Twitter ID ครับ แต่ eatigo นี่ Token ด้วยครับ
ตัว token มัน revoke ไม่ยากครับ ตอนเข้าไปใหม่หลังจากที่ revoke ไปแล้ว token จะเปลี่ยนครับ
ทั้งนี้ ตามหลักแล้ว เว็บต้องแจ้งให้ผู้ใช้ดำเนินการพร้อมบอกวิธีการทำด้วยครับ เพราะไม่ใช่ทุกคนที่รู้เรื่องนี้
Coder | Designer | Thinker | Blogger
token พวกนี้หลุดปรกติจะเข้าถึง account เหล่านี้ได้จำกัดตาม permission ที่เรา allow ไว้ครับ ไม่มากไปกว่าน้น ฉะนั้นเอาไปถึงขนาดปลอมแปลง facebook login ไม่ได้หรอก วิธีที่แก้ไขก็แค่ไป revoke แล้ว grant ใหม่เท่านั้นก็จบ
ความรับผิดชอบและการแจ้งเตือนดีกว่าค่ายความจริงเสียอีก
ความล้มเหลว คือจุดเริ่มต้นสู่ความหายนะ มีผลกระทบมากกว่าแค่เสียเงิน เวลา อนาคต และทรัพยากรที่เสียไป - จงอย่าล้มเหลว
โดนแฮกได้ยังไงอ่ะครับ