เฮ้อ มัวแต่ไปพัฒนาระบบป้องกันบน PS3 ปล่อยให้เว็บโดน SQL Injection แค่คำสั่งเดียวก็ง่อย

ไอ้พวกนี้ก็เล่นไม่เลิกซะด้วย

ไม่ว่าจะทำเพื่ออะไรก็ตาม แต่รู้ว่าทำให้คน 1 ล้านคนเดือดร้อน พร้อม ๆ กัน เป็นสิ่งที่ไม่น่าทำเลย

โพสต์ข้อมูลลงบน The Pirate Bay ...ไม่ไหวๆ

unencrypted password

OMG Sony!!

ตามลิงค์ที่มา โพสลง mediafire ด้วย แต่โดน remove ไปแล้ว

มันเป็นอีกสาเหตุรึเปล่าที่เค้าจะจ้องปิด piratebay กันเนี่ย

ผมสงสัยน่ะครับ เลยไปตามโหลดข้อมูลที่ทางกลุ่มเผยแพร่มา พบว่าทางกลุ่มไม่ได้เผยแพร่แค่ข้อมูลที่แฮกได้เช่น username password หรือ coupon code อย่างเดียว

แต่ยังบอกช่องโหว่ที่ไม่ได้มีการทำ filter ไว้ เลยเป็นจุดที่สามารถ inject code ได้ (ถ้ารู้ sql) รวมถึงยังมีการบอก layout ของ table ด้วย ว่า table ไหนมี fields อะไรบ้าง

สรุปน่ะครับ ... ชิบหายจริงๆ นั้นแหละ แต่ถ้า Sony โหลดไฟล์นี้ไปอ่านดีๆ แก้แค่ไม่ถึง 2-3 นาที ก็อุดช่องโหว่นี้ได้แล้ว แค่...

if(!is_int($_GET['id'])) die('Bla bla...');

เพิ่มเท่านี้แหละ จุดที่กลุ่มนี้บอกก็จะแฮกไม่ได้ เท่านี้คนอื่นที่โหลดไฟล์ไปก็จะแฮกในจุดนี้ไม่ได้ ก็ช่วยให้ข้อมูลหลุดอีกน้อยลง

ไม่ไหวจะเคลียร์ โซหนี้

คือเรื่อง sql injection (แบบพื้นฐานมากๆ) นี่ว่าแรงแล้วเจอรหัสผ่านไม่ได้เข้ารหัสนี่แบบ - -*
ขนาดเว็บโง่ๆที่ nobody อย่างผมทำยังเข้ารหัสไว้เลย

ผมว่าได้อย่างเสียอย่าง

ได้อย่างตรงที่ว่า บริษัทต่างๆที่มีการเก็บข้อมูลบนเว็บหรือบนคลาวด์จะได้มีการระมัดระวังมากขึ้น ดูแลข้อมูลของลูกค้ามากขึ้น

เสียอย่าง(แรง)ตรงที่ว่า มูลค่าของข้อมูลที่หลุดไปนั้นมหาศาล ความน่าเชื่อถือของระบบออนไลน์ของโซนี่หายเรียบ ความคิดที่จะเปิดร้านขายแอปของตัวเองนี่เลิกไปเลย อาจจะพาลไปถึง PSN ที่มีการซื้อขายเกมออนไลน์ด้วย

ตอนแรกผมก็สงสารโซนี่นะ แต่พอทราบว่าโซนี่เก็บข้อมูลลูกค้าแบบไม่ Encrypt แล้วยังหละหลวมในการป้องกันแบบนี้ ผมสนับสนุนให้ฟ้องโซนี่เรื่องข้อมูลรั่วไหลให้เป็นเคสตัวอย่างครับ

"รหัสผ่านของผู้ใช้แบบไม่เข้ารหัส"+"ถูกเจาะได้ง่ายๆ ด้วย SQL injection เพียงคำสั่งเดียว"
ใครเป็นคนทำเว็บหว่า

ถึงขนาดโดน SQL injection นี่ผมว่าแย่มากเลยนะ ขนาดเป็ด ๆ อย่างผมยังใส่ใจกับเรื่องนี้เป็นอย่างแรกเลย
Sony ครับให้ความสำคัญกับลูกค้ามากกว่านี้หน่อยเถอะ

อัพเดตเพิ่ม ช่องโหว่ Sony จัดการแล้ว

ตอนนี้เข้าไม่ได้ ทำให้ไม่รู้จริงว่า Sony ใช้อะไรในกาารทำส่วนนั้น เพราะส่วนที่ผมสงสัยคือ Sony ใช้ user pass ของ database เดียวกันทั้งเว็บเลยไหม แล้วให้สิทธิ์เข้าถึงทั้งหมด เพราะถ้าเป็นอย่างนั้นก็ไม่ต่างอะไรกับ Root บน Database แล้วก็... จินตนาการต่อเอาเอง

แปลกใจว่ามีโจรโทรมาขู่แล้ว แต่ทำไมยังไม่สำรวจรั้วบ้านและเก็บกุญแจตัวเองให้ดี

ไม่น่าเชื่อว่าระบบความปลอดภัยจะง่อยขนาดนี้

มองอีกมุมนะ คือการทำ security audit มันยุ่งยากหน่อย เพราะต้องใช้พวกที่เชี่ยวชาญมารีวิวโค้ด, เว็บเฟรมเวิร์ก ว่ามันผิดกฎตรงไหนบ้าง ดังนั้น (อันนี้พยายามคิดเข้าข้าง) ถ้าระบบไหนไม่ได้เก็บข้อมูลสำคัญ เช่นข้อมูลบัตรเครดิต เค้าอาจจะหย่อนๆไปมั้ง

ปล. ดูหนังดูละครแล้วย้อนดูตัว แล้วเว็บระบบราชการไทยล่ะ ไม่อยากจะคิด

โชว์หนี้

คงมีคนหลายๆ คนในโซนี่ที่นอนฝันร้ายไปตลอดปี T_T

ผ่าน UAT มาได้ไง

บอกได้คำเดียวเละเป็น*&$%@#

ก็สงสารโซนี่ แต่เก็บรหัสผ่านผู้ใช้โดยไม่เข้ารหัสนี้ก็รับไม่ได้เหมือนกันนะครับ

สุดท้าย Sony คงต้องจ่ายค่ายกระดับมาตรฐานระบบความปลอดภัยให้ บ.ฝรั่งอีกอยู่ดี ถ้าไม่ยอมจ่ายเดี๋ยวก็ถูกเจาะอีก สู้เขาไม่ไหวก็จ่ายไป - -"

ตอนแรกๆก็สงสาร แต่พอเจอเคสนี้เข้าไป ตอนนี้เปลี่ยนเป็นสมน้ำหน้าละ

ทำอย่างกับข้อมูลลูกค้าไม่สำคัญ - -

คดีพลิกอีกแล้ว - - ลูกขุน รุมสมน้ำหน้า โชหนี้ อีกแล้ว

ค่อนข้างเชื่อว่าเรื่องนี้เกี่ยวข้องกับเรื่องคดีคุณ geohot ครับ

เพราะคิดว่าคนที่ลงมือทำ(LulzSec)นั้น น่าจะคิดว่า Sony กระทำกับคุณ geohot เกินกว่าเหตุไปครับ และคิดว่าคงมีอีกหลายๆคนที่คิดว่าเกินกว่าเหตุจริง