Tags:
Topics: 
Node Thumbnail

เมื่อคืนวันศุกร์ที่ผ่านมานี้ ทวิตเตอร์ออกมาประกาศว่าพวกเขาโดนแฮ็ค และผู้ใช้ทวิตเตอร์กว่า 250,000 คนอาจจะโดนขโมยข้อมูลส่วนตัว โดยข้อมูลที่โดนขโมยไปได้แก่ username, อีเมล, และรหัสผ่านที่โดนเข้ารหัสไว้แล้ว (encrypted passwords)

ทวิตเตอร์ยืนยันว่าการเข้าขโมยข้อมูลในครั้งนี้ถือว่าเป็นการแฮ็คที่ไม่ง่าย น่าจะเป็นฝีมือของกลุ่มที่เข้าใจการเจาะข้อมูลเป็นอย่างดี และเชื่อว่าการเข้าขโมยข้อมูลในครั้งนี้หลาย ๆ บริการ บริษัท และองค์กรอื่น ๆ น่าจะโดนโจมตีด้วยเช่นกัน

อย่างไรก็ตาม ทวิตเตอร์ไม่ได้เผยรายละเอียดว่ากลุ่มแฮ็คเกอร์ได้ใช้วิธีเจาะข้อมูลอย่างไร แต่ได้บอกเพียงแค่ว่าการโจมตีในครั้งนี้เป็นการใช้ช่องโหว่ที่ถูกเผยแพร่ต่อสาธารณะชนของ Java ซึ่งก่อนหน้านี้หลาย ๆ บริษัท และหน่วยงานความปลอดภัยได้ออกมาเตือนผู้ใช้อินเทอร์เน็ตทั่วไปแล้ว ให้ปิด Java บนคอมพิวเตอร์ของตัวเองเพื่อความปลอดภัย

เช่นกัน ก่อนหน้านี้แอปเปิลก็ได้สั่งปิด Java บนคอมพิวเตอร์ที่บริษัทขายไว้ก่อนล่วงหน้าแล้ว และล่าสุดเมื่อวันพฤหัสบิดีที่ผ่านมาก็ได้สั่งบล็อคการใช้งาน Java 7 Web Plug-in อีกครั้ง

ทวิตเตอร์ยืนยันว่ารหัสที่ถูกขโมยไปในครั้งนี้ได้ถูกเข้ารหัสไว้แล้ว (hashed) อีกทั้งยังมีการเพิ่มตัวเลขที่ถูกสุ่มเข้าไปหลังจากรหัสผ่านที่ถูกเข้ารหัสแล้ว (salted) เพื่อทำให้การแกะรหัสยากขึ้น แต่นี่ก็ไม่ได้หมายความว่ารหัสผ่านที่โดนขโมยไปจะไม่สามารถถูกแกะได้

ที่มา - The New York Times

Get latest news from Blognone

Comments

By: nostalgias
ContributoriPhoneAndroid
on 2 February 2013 - 09:45 #536483
nostalgias's picture

Java อีกแล้ว ... #จาวาพรุนส์

By: T3NNIIZ
AndroidUbuntuWindows
on 2 February 2013 - 09:50 #536485

Java ตามเคย

By: komkit0710
Windows PhoneSUSEWindows
on 2 February 2013 - 09:56 #536491

แสดงว่า twitter ไม่ปิด java?

By: itpcc
ContributoriPhoneRed HatUbuntu
on 2 February 2013 - 10:02 #536493 Reply to:536491
itpcc's picture

อาจจะปิดไม่ได้มากกว่าครับ

<

p>// จาวาเฟล


บล็อกส่วนตัวที่อัพเดตตามอารมณ์และความขยัน :P

By: komkit0710
Windows PhoneSUSEWindows
on 2 February 2013 - 10:34 #536501 Reply to:536493

รู้ว่ากระจกบ้านแตกแต่ไม่เปลี่ยน กลับจุดธูปภาวนาอย่าโดนขโมยของ ก็สมควรครับ

By: icez
ContributoriPhoneAndroidRed Hat
on 2 February 2013 - 10:49 #536504 Reply to:536501

ฝั่ง server ใช้ java อยู่เพียบ จะปิดยังไงได้ครับ?

By: tuckclub on 2 February 2013 - 13:08 #536556 Reply to:536501

เห็นเมื่อเช้า ตอนแรกนึกว่าคุณเล่นมุกซะอีกครับ เลยไม่ได้ตอบ

คือ Twitter เค้าใช้ Java ในฝั่ง server ครับ ประมาณว่าเขียนโค้ด Java เพื่อติดต่อฐานข้อมูล, สร้าง HTML เพื่ออส่งมาแสดงผลใน browser ของเรา ซึ่งโค้ดพวกนี้เมื่อคอมไพล์แล้วก็ต้องรันบน JVM

รวมถึง Twitter เก็บข้อมูลไว้ใน Hadoop ครับ (เป็นฐานข้อมูลจำพวก NoSQL, เป็น distributed data storage, เป็น distributed data processing framework) ซึ่งสร้างขึ้นมาจาก Java อีกเช่นกัน

ดังนั้น ถ้า Twitter จะปิดการใช้งาน JVM ในตอนนี้ ก็ต้องหาเทคโนโลยีอื่นมาใช้แทนครับ หรือไม่ก็อาจจะถึงขั้นต้องปิดเว็บ twitter.com ไปเลย

By: raining on 2 February 2013 - 13:44 #536564 Reply to:536556

ฝั่ง server กับ ปลั๊กอิน Java มันคนละเรืื่องกันนะครับ ช่องโหว่ที่มันเป็นข่าวเรื่อยมาหลายเดือนในช่วงนี้มันเจาะผ่านปลั๊กอินที่ทำงานบนเบราว์เซอร์ นะครับ หรือผมเข้าใจอะไรผิด ??? มันไม่เกี่ยวกับการปิด jvm เลย มันแต่ต้องดูว่า twitter website หรือว่า client ต่่าง ๆ ตัวไหนที่มีการทำงานโดยต้องอาศัย ปลั๊กอิน Java

By: tuckclub on 2 February 2013 - 14:50 #536578 Reply to:536556

น่าจะเป็นผมที่เข้าใจผิดไปเองครับ USA Today บอกไว้ว่า

One expert said that the Twitter hack probably happened after an employee's home or work computer was compromised through vulnerabilities in Java, a commonly used computing language whose weaknesses have been well publicized.

และ Oracle บอกไว้ว่า CVE-2013-0422 ไม่ได้กระทบในฝั่งเซิร์ฟเวอร์

ขอโทษที่ทำให้สับสนครับ

By: LazarusSP1
ContributoriPhone
on 2 February 2013 - 10:30 #536499

จาวาเร็วส์

By: hydrojen
iPhoneRed HatWindows
on 2 February 2013 - 10:34 #536500
hydrojen's picture

แพะๆๆ

By: Architec
ContributorWindows PhoneAndroidWindows
on 2 February 2013 - 10:57 #536507 Reply to:536500

ทีนี้เว็บใครโดนเจาะโทษ Java ไว้ก่อนสินะ

//แบะ แบะ

By: Rdfaiz
iPhoneAndroidWindowsIn Love
on 2 February 2013 - 10:55 #536506
Rdfaiz's picture

เอ๊ะ ทำไมพอผมจะแชร์ลิ้งก์ข่าวนี้ในเฟซแล้วมันดันขึ้นเป็นอีกข่าวนึงหว่า

By: HudchewMan
ContributorAndroidWindowsIn Love
on 2 February 2013 - 11:38 #536522
HudchewMan's picture

โดน!!

แบบนี้ต้องเปลี่ยนรหัสผ่านกันเพื่อความปลอดภัยก่อนสินะ


~ HudchewMan's Station & @HudchewMan~

By: Be1con
ContributorWindows PhoneWindowsIn Love
on 2 February 2013 - 12:03 #536534
Be1con's picture

เร็วส์ เร็วส์ เร็วส์


Coder | Designer | Thinker | Blogger

By: Soul_Master
Windows Phone
on 2 February 2013 - 12:25 #536545

สงสัยว่า Hashed + Salted Password มันจะถูกแกะได้ยังไง? ถ้า Salt ที่เพิ่มเป็นคำสุ่มที่ยาวเพียงพอ

By: Onewings
Windows
on 2 February 2013 - 14:47 #536576 Reply to:536545

ถ้าเจาะ Password ได้ก็น่าจะได้ Salt ไปด้วยนะครับส่วนวิธีแกะไม่แน่ใจไม่ได้ศึกษา

By: AmidoriA
UbuntuWindows
on 2 February 2013 - 17:46 #536611 Reply to:536576
AmidoriA's picture

ผมคิดว่าว่า เจาะอย่างนี้น่าจะได้ไปแต่ข้อมูลใน DB นะครับ ประมาณว่า Query ไปได้ แต่พวก Salt น่าจะอยู่ในตัวของโค้ดมากกว่านะครับ ไม่งั้นก็ไม่ควรเข้ารหัสแล้วดีกว่าครับ :P

By: foizy
AndroidUbuntuWindows
on 3 February 2013 - 22:27 #536912 Reply to:536611

Salt/Pepper มีประโยชน์หลักๆ แค่ทำให้ไม่สามารถ Rainbow Table มาใช้ช่วยในการถอดรหัสได้ เพราะปัจจุบันนี้ Rainbow Table นี่ในใต้ดิน อาจจะใหญ่ไปถึงระดับ 10 หลักไปแล้ว ... Salt จะเก็บใน DB แบบไม่เข้ารหัสซะส่วนมาก เพราะเป็นสตริงที่แค่เอาไปแปะกับรหัสผ่านก่อน Hash .. ส่วน Pepper ก็คง Hardcoded ไว้ซักที่

ถ้าตั้ง Password ที่รวมกับ Salt/Pepper แล้วสั้นกว่าค่าที่ใน Rainbow Table มี ก็น่าจะโดนแกะได้ในพริบดา

ข้อสมมติก็คือ
1. Salt ยาวพอ --> แก้ปัญหา Rainbow Table
2. แต่เนื่องจากคงได้ Salt ไปอยู่แล้ว ก็ยังสามารถทำ Brute Force ได้ ... ถ้ารหัสผ่านสั้นๆ แป๊ปเดียวก็ออกแล้วมั๊งครับ

By: lancaster
Contributor
on 3 February 2013 - 02:45 #536723 Reply to:536545

มันยากขึ้น(เยอะ) แต่ก็มีโอกาสแกะได้ไงครับ

ไม่มีคำว่าเป็นไปไม่ได้ในวงการนี้

By: gosol
AndroidWindows
on 2 February 2013 - 12:26 #536546
gosol's picture

ใครๆก็โทษจาว่า

By: menu_dot on 2 February 2013 - 14:28 #536571

ผมก็โดนไป สอง ID ต้องเปลื่ยน password เลย

By: Go-Kung
iPhoneWindows PhoneAndroidBlackberry
on 2 February 2013 - 15:40 #536583

หลังโดน Oracle ซื้อไปนี่ Java มีข่าวแนวๆนี้บ่อยนะ

By: pakoros
Windows PhoneAndroidWindows
on 2 February 2013 - 15:51 #536586

แชร์ใน Face แล้วดันไปขึ้นอีกข่าวครับ ???

By: khajochi
WriteriPhoneIn Love
on 2 February 2013 - 16:26 #536595
khajochi's picture

ดูเหมือนคนจะโทษ Java แฮะ แต่ผมว่ากรณีแฮ็ค Twitter ควรจะโทษทTwitter มากกว่านะ


แฟนพันธุ์แท้สตีฟจ็อบส์ | MacThai.com

By: HOCKER
Red HatSUSEUbuntuWindows
on 2 February 2013 - 18:12 #536613 Reply to:536595

ผมว่าตบมือข้างเดียวไม่ดังนะครับ ทุกๆ อย่างน่าจะมีส่วนคิดเป็นร้อยละอาจจะไม่เท่ากันแต่ก็รวมกันได้ผลเช่นนี้...

By: Virusfowl
ContributorAndroidSymbianWindows
on 2 February 2013 - 16:36 #536597
  • และล่าสุดเมื่อวันพฤหัสบิดีที่ผ่านมาก็ได้สั่ง << พฤหัสบดี สระอิเกินมาครับ

สรุปทุกคนควรเปลี่ยนพาสใช่ไหมเนี่ย ยิ่งมีหลายบัญชีอยู่ จำพาสกันมึนเลย T_T


@ Virusfowl

I'm not a dev. not yet a user.

By: super_lw
ContributorAndroidUbuntuWindows
on 2 February 2013 - 16:45 #536601
super_lw's picture

เราจะโดนมั้ยนะ กลัวคนอื่นเอาทวีตในแท็ก #sexplus ไปเปิดเผยจัง :P


Educational Technician

By: kingrpg
AndroidWindows
on 2 February 2013 - 16:47 #536602

ซวยแล้วเรา -*-

By: TheOne
iPhoneWindows Phone
on 2 February 2013 - 16:59 #536606
TheOne's picture

เครื่องพนักงาน Twitter ติดตั้ง Java Web Plug-in อย่างนั้นเองสินะ

By: Priesdelly
ContributorAndroidWindows
on 3 February 2013 - 01:43 #536714
Priesdelly's picture

เปลี่ยนอีกแล้วสินะ

By: zhocker
iPhoneWindows PhoneAndroidUbuntu
on 3 February 2013 - 04:03 #536737
zhocker's picture

จาวาเฟลส์ เอ้ย!! นั้นมันจาวาเร็วส์ :P