เพจ ExploitWareLabs เผยแพร่ฐานข้อมูล Firebase หลุดต่อสาธารณะ คาดเป็นข้อมูลพนักงานไปรษณีย์ไทย

By: lew

on 4 February 2021 - 20:06 Tags:

Topics:

Data Breach

Security

เพจ ExploitWareLabs รายงานถึงฐานข้อมูล Firebase จากบัญชี thaipost2-8a5f4 เป็นข้อมูล json ขนาดใหญ่ มีข้อมูลผู้ใช้นับพันราย

ข้อมูลมีชื่อ-นามสกุล, ค่าแฮชรหัสผ่าน, หมายเลขโทรศัพท์, วันเกิด, ชื่อผู้ใช้ (หลายบัญชีดูเหมือนเป็นเลขบัตรประชาชน จากชุดข้อมูลความเป็นไปได้คือระบบนี้เป็นแอปพลิเคชั่นภายในของทางไปรษณีย์ไทยเอง และอาจจะคอนฟิกสิทธิเข้าถึงฐานข้อมูลผิดพลาดจนทำให้กลายเป็นการเปิดต่อสาธารณะ

ทางเพจ ExploitWareLabs ระบุว่าผู้พบฐานข้อมูลคือ Hoang Ang Thai

ที่มา - ExploitWareLabs

No Description

ภาพโดย madartzgraphics

Hiring! บริษัทที่น่าสนใจ

Thai Credit Guarantee Corporation (TCG)

เป็นศูนย์กลางเชื่อมโยงเงินทุนและโอกาสให้แก่ SMEs เพื่อการเติบโตอย่างยั่งยืน (SMEs’ Gateway)

LINE Company Thailand

LINE, the world's hottest mobile messaging platform, offers free text and voice messaging + Call

H LAB

Re-engineering healthcare systems through intelligent platforms and system design.

Comments

By: Fourpoint

on 4 February 2021 - 21:27 #1197655

ต้องลุ้นว่าฐานข้อมูลอะไร

ถ้าเป็นของลูกค้า น่าสงสัยก็ app track&trace ที่สมัครด้วย ชื่อ เบอร์โทร แต่ไม่มีวันเกิด?

ที่น่ากลัวคือมีwallet@post ที่ข้อมูลอื่นๆครบกว่า มีชื่อ เบอร์โทร วันเกิด รวมไปถึงข้อมูลเลขบัตรประชาชน และเลขlaser ด้านหลังบัตร และตั้งpin หกหลักในการเข้าด้วย และมีเรื่องเงินๆทองๆด้วยน่ะซี ต้องโอนเงินเข้าwallet เพราะผมใช้จ่ายศุลกากรเวลาเจอภาษีนำเข้าผ่านemsประจำ (ที่ขอเลขบัตรประชาชนรวมถึงหลังบัตร คงเพราะไปโยงกับระบบกรมศุลฯ ?)

By: blackdemon

on 4 February 2021 - 23:41 #1197666 Reply to:1197655

ถ้าเป็นของ wallet@post สถานการณ์น่าจะเลวร้ายกว่านั้น เพราะ 2c2p เค้าเป็นคนทำให้ไปรษณีย์

แต่คิดว่าไม่ใช่หรอกน่าจะมาจากสาระพัดแอพ & เว็บที่มีอยู่ในมือของไปรณีย์เป็นร้อยๆโปรเจกมากกว่า

By: R i Z z

on 4 February 2021 - 23:56 #1197668 Reply to:1197655

น่าจะเป็น db ของ elearning ของตัวองก์กรคับ
มีแต่ข้อมูล พนง และเป็นข้อมูลก่อนปรับโครงสร้างองก์กร
ชื่อหน่วยงานเป็นของของเก่า

By: Fourpoint

on 5 February 2021 - 09:34 #1197696 Reply to:1197668

เห็นข่าวล่าสุดคงเป็นของภายในจริงๆ

ที่ทัก เพราะเห็นชื่อfieldข้อมูลตรงกับที่เก็บจากแอพพอดี ในฐานะเป็นผู้ใช้ก็จะหวั่นๆหน่อย

By: geumatee

on 5 February 2021 - 00:30 #1197669

hash password เป็น MD5 ไม่ใส่ salt ถอดออกมาเป็นค่าเดียวกับวันเกิด กับมีบาง node ที่ดูแล้วเข้าใจได้ว่าโดนคนลอง write ข้อมูลลงไปได้ด้วย

By: sian

on 5 February 2021 - 09:11 #1197693

... ชื่อผู้ใช้ (หลายบัญชีดูเหมือนเป็นเลขบัตรประชาชน

ชื่อผู้ใช้ (หลายบัญชีดูเหมือนเป็นเลขบัตรประชาชน)

ตอนนี้ทางไปรษณีย์ไทยออกมาชี้แจงแล้วครับ

By: tontan

on 5 February 2021 - 13:02 #1197723 Reply to:1197693

บอกว่าข้อมูลเก่า แต่มันมีข้อมูลส่วนบุคคลด้วยนะครับ ทั้งเบอร์โทร ชื่อ วันเดือนปีเกิด จะมีมาตราการเยียวยาอะไรไหม หรือปล่อยเรื่องเงียบไปอีก ถ้าพรบ.คุ้มครองข้อมูลส่วนบุคคล บังคับคงมีการฟ้องร้องเกิดขึ้น

บล็อก: wannaphong.com และ Python 3

Main menu