เพจ ExploitWareLabs เผยแพร่ฐานข้อมูล Firebase หลุดต่อสาธารณะ คาดเป็นข้อมูลพนักงานไปรษณีย์ไทย

By: lew

on 4 February 2021 - 20:06 Tags:

Topics:

Data Breach

Security

เพจ ExploitWareLabs รายงานถึงฐานข้อมูล Firebase จากบัญชี thaipost2-8a5f4 เป็นข้อมูล json ขนาดใหญ่ มีข้อมูลผู้ใช้นับพันราย

ข้อมูลมีชื่อ-นามสกุล, ค่าแฮชรหัสผ่าน, หมายเลขโทรศัพท์, วันเกิด, ชื่อผู้ใช้ (หลายบัญชีดูเหมือนเป็นเลขบัตรประชาชน จากชุดข้อมูลความเป็นไปได้คือระบบนี้เป็นแอปพลิเคชั่นภายในของทางไปรษณีย์ไทยเอง และอาจจะคอนฟิกสิทธิเข้าถึงฐานข้อมูลผิดพลาดจนทำให้กลายเป็นการเปิดต่อสาธารณะ

ทางเพจ ExploitWareLabs ระบุว่าผู้พบฐานข้อมูลคือ Hoang Ang Thai

ที่มา - ExploitWareLabs

No Description

ภาพโดย madartzgraphics

Hiring! บริษัทที่น่าสนใจ

Thai Credit Guarantee Corporation (TCG)

เป็นศูนย์กลางเชื่อมโยงเงินทุนและโอกาสให้แก่ SMEs เพื่อการเติบโตอย่างยั่งยืน (SMEs’ Gateway)

KBTG - KASIKORN Business-Technology Group

KBTG - "The Technology Company for Digital Business Innovation"

CLEVERSE

Cleverse is a Venture Builder. Our team builds several tech companies.

Comments

By: Fourpoint

on 4 February 2021 - 21:27 #1197655

ต้องลุ้นว่าฐานข้อมูลอะไร

ถ้าเป็นของลูกค้า น่าสงสัยก็ app track&trace ที่สมัครด้วย ชื่อ เบอร์โทร แต่ไม่มีวันเกิด?

ที่น่ากลัวคือมีwallet@post ที่ข้อมูลอื่นๆครบกว่า มีชื่อ เบอร์โทร วันเกิด รวมไปถึงข้อมูลเลขบัตรประชาชน และเลขlaser ด้านหลังบัตร และตั้งpin หกหลักในการเข้าด้วย และมีเรื่องเงินๆทองๆด้วยน่ะซี ต้องโอนเงินเข้าwallet เพราะผมใช้จ่ายศุลกากรเวลาเจอภาษีนำเข้าผ่านemsประจำ (ที่ขอเลขบัตรประชาชนรวมถึงหลังบัตร คงเพราะไปโยงกับระบบกรมศุลฯ ?)

By: blackdemon

on 4 February 2021 - 23:41 #1197666 Reply to:1197655

ถ้าเป็นของ wallet@post สถานการณ์น่าจะเลวร้ายกว่านั้น เพราะ 2c2p เค้าเป็นคนทำให้ไปรษณีย์

แต่คิดว่าไม่ใช่หรอกน่าจะมาจากสาระพัดแอพ & เว็บที่มีอยู่ในมือของไปรณีย์เป็นร้อยๆโปรเจกมากกว่า

By: R i Z z

on 4 February 2021 - 23:56 #1197668 Reply to:1197655

น่าจะเป็น db ของ elearning ของตัวองก์กรคับ
มีแต่ข้อมูล พนง และเป็นข้อมูลก่อนปรับโครงสร้างองก์กร
ชื่อหน่วยงานเป็นของของเก่า

By: Fourpoint

on 5 February 2021 - 09:34 #1197696 Reply to:1197668

เห็นข่าวล่าสุดคงเป็นของภายในจริงๆ

ที่ทัก เพราะเห็นชื่อfieldข้อมูลตรงกับที่เก็บจากแอพพอดี ในฐานะเป็นผู้ใช้ก็จะหวั่นๆหน่อย

By: geumatee

on 5 February 2021 - 00:30 #1197669

hash password เป็น MD5 ไม่ใส่ salt ถอดออกมาเป็นค่าเดียวกับวันเกิด กับมีบาง node ที่ดูแล้วเข้าใจได้ว่าโดนคนลอง write ข้อมูลลงไปได้ด้วย

By: sian

on 5 February 2021 - 09:11 #1197693

... ชื่อผู้ใช้ (หลายบัญชีดูเหมือนเป็นเลขบัตรประชาชน

ชื่อผู้ใช้ (หลายบัญชีดูเหมือนเป็นเลขบัตรประชาชน)

ตอนนี้ทางไปรษณีย์ไทยออกมาชี้แจงแล้วครับ

By: tontan

on 5 February 2021 - 13:02 #1197723 Reply to:1197693

บอกว่าข้อมูลเก่า แต่มันมีข้อมูลส่วนบุคคลด้วยนะครับ ทั้งเบอร์โทร ชื่อ วันเดือนปีเกิด จะมีมาตราการเยียวยาอะไรไหม หรือปล่อยเรื่องเงียบไปอีก ถ้าพรบ.คุ้มครองข้อมูลส่วนบุคคล บังคับคงมีการฟ้องร้องเกิดขึ้น

บล็อก: wannaphong.com และ Python 3

Main menu