เพจ ExploitWareLabs รายงานถึงฐานข้อมูล Firebase จากบัญชี thaipost2-8a5f4 เป็นข้อมูล json ขนาดใหญ่ มีข้อมูลผู้ใช้นับพันราย
ข้อมูลมีชื่อ-นามสกุล, ค่าแฮชรหัสผ่าน, หมายเลขโทรศัพท์, วันเกิด, ชื่อผู้ใช้ (หลายบัญชีดูเหมือนเป็นเลขบัตรประชาชน จากชุดข้อมูลความเป็นไปได้คือระบบนี้เป็นแอปพลิเคชั่นภายในของทางไปรษณีย์ไทยเอง และอาจจะคอนฟิกสิทธิเข้าถึงฐานข้อมูลผิดพลาดจนทำให้กลายเป็นการเปิดต่อสาธารณะ
ทางเพจ ExploitWareLabs ระบุว่าผู้พบฐานข้อมูลคือ Hoang Ang Thai
ที่มา - ExploitWareLabs
ภาพโดย madartzgraphics
Comments
ต้องลุ้นว่าฐานข้อมูลอะไร
ถ้าเป็นของลูกค้า น่าสงสัยก็ app track&trace ที่สมัครด้วย ชื่อ เบอร์โทร แต่ไม่มีวันเกิด?
ที่น่ากลัวคือมีwallet@post ที่ข้อมูลอื่นๆครบกว่า มีชื่อ เบอร์โทร วันเกิด รวมไปถึงข้อมูลเลขบัตรประชาชน และเลขlaser ด้านหลังบัตร และตั้งpin หกหลักในการเข้าด้วย และมีเรื่องเงินๆทองๆด้วยน่ะซี ต้องโอนเงินเข้าwallet เพราะผมใช้จ่ายศุลกากรเวลาเจอภาษีนำเข้าผ่านemsประจำ (ที่ขอเลขบัตรประชาชนรวมถึงหลังบัตร คงเพราะไปโยงกับระบบกรมศุลฯ ?)
ถ้าเป็นของ wallet@post สถานการณ์น่าจะเลวร้ายกว่านั้น เพราะ 2c2p เค้าเป็นคนทำให้ไปรษณีย์
แต่คิดว่าไม่ใช่หรอกน่าจะมาจากสาระพัดแอพ & เว็บที่มีอยู่ในมือของไปรณีย์เป็นร้อยๆโปรเจกมากกว่า
น่าจะเป็น db ของ elearning ของตัวองก์กรคับ
มีแต่ข้อมูล พนง และเป็นข้อมูลก่อนปรับโครงสร้างองก์กร
ชื่อหน่วยงานเป็นของของเก่า
เห็นข่าวล่าสุดคงเป็นของภายในจริงๆ
ที่ทัก เพราะเห็นชื่อfieldข้อมูลตรงกับที่เก็บจากแอพพอดี ในฐานะเป็นผู้ใช้ก็จะหวั่นๆหน่อย
hash password เป็น MD5 ไม่ใส่ salt ถอดออกมาเป็นค่าเดียวกับวันเกิด กับมีบาง node ที่ดูแล้วเข้าใจได้ว่าโดนคนลอง write ข้อมูลลงไปได้ด้วย
ชื่อผู้ใช้ (หลายบัญชีดูเหมือนเป็นเลขบัตรประชาชน)
ตอนนี้ทางไปรษณีย์ไทยออกมาชี้แจงแล้วครับ
บอกว่าข้อมูลเก่า แต่มันมีข้อมูลส่วนบุคคลด้วยนะครับ ทั้งเบอร์โทร ชื่อ วันเดือนปีเกิด จะมีมาตราการเยียวยาอะไรไหม หรือปล่อยเรื่องเงียบไปอีก ถ้าพรบ.คุ้มครองข้อมูลส่วนบุคคล บังคับคงมีการฟ้องร้องเกิดขึ้น
บล็อก: wannaphong.com และ Python 3