จากกรณี LastPass โดนแฮ็กครั้งใหญ่ สาเหตุมาจากวิศวกร DevOps ที่เข้าถึงระบบ 1 ใน 4 ราย ถูกแฮ็กเครื่องส่วนตัว ผ่านช่องโหว่ของโปรแกรมตัวหนึ่งที่ไม่ระบุชื่อ ทำให้เกิดความกังวลในแวดวงความปลอดภัยไซเบอร์ว่าเป็นช่องโหว่ที่รู้กันเฉพาะแฮ็กเกอร์หรือไม่ เพราะมันอาจถูกใช้ไปเจาะระบบอื่นๆ ต่อได้อีก

ตอนนี้มีเฉลยออกมาแล้วว่าโปรแกรมที่ทำให้โดนแฮ็กคือ Plex ซอฟต์แวร์ media server ชื่อดัง แต่กลับเป็นช่องโหว่เก่าที่ออกแพตช์ตั้งแต่ปี 2020 แล้ววิศวกรรายนี้ดันไม่ยอมอัพเดตเอง

PCMag อ้างว่าได้ข้อมูลวงในยืนยันว่าช่องโหว่ในเคสนี้คือ CVE-2020-5741 ที่บริษัท Plex เผยแพร่ข้อมูลต่อสาธารณะและออกแพตช์พร้อมกันในเดือนพฤษภาคม 2020 หากนับตั้งแต่เวอร์ชันนั้นมา Plex ออกอัพเดตต่อเนื่องมาแล้วอีกราว 75 เวอร์ชัน ซึ่งแปลว่าวิศวกรรายนี้ไม่เคยอัพเดตเลย ส่วนสาเหตุว่าทำไมไม่อัพเดตนั้นไม่มีปรากฏ

ฝั่ง LastPass เองก็ยอมรับกับ PCMag ว่าช่องโหว่ในเคสนี้เป็นช่องโหว่ของ Plex จริง และได้แจ้งไปยัง Plex แล้ว

ที่มา - PCMag