ระบบ Single Sign-On ของ 3BB ส่งรหัสผ่านตัวจริงให้ทางอีเมล

By: MrNonz
ContributoriPhoneRed HatUbuntu
on 1 February 2016 - 10:58 Tags:
Topics: 
Security
Thailand
3BB
Node Thumbnail

ระบบ Single Sign-On ของ 3BB คือ ระบบสำหรับจัดการบริการต่างๆ ของผู้ใช้งาน 3BB ผ่านการใช้ Username และ Password

มีผู้ประสงค์ไม่ออกนามแจ้งว่าระบบ Forgot Password ของระบบ SSO นี้ จะทำการส่งรหัสผ่านตัวจริงให้ผ่านทางอีเมลที่ได้ลงทะเบียนไว้

ทางผู้เขียนข่าวจึงได้ทดสอบการทำงานของระบบดังกล่าวที่ Forgot Password

No Description

และตรวจสอบ Inbox ของอีเมลที่กรอกลงไปจากรูปภาพข้างต้น จึงได้รับอีเมลจาก contact@3bb.co.th ในหัวข้อว่า "Forgot 3BB SSO Password"

No Description

เนื้อหาภายในอีเมลที่ได้รับนั้น ประกอบไปด้วย อีเมล, รหัสผ่านตัวจริง ที่ได้ลงทะเบียนไว้ ในเรื่องของความปลอดภัยแล้ว หากท่านใดใช้บริการ SSO ของ 3BB ควรเปลี่ยนรหัสผ่านให้แตกต่างจากบริการอื่นๆ เพื่อความปลอดภัยของตัวผู้ใช้งานเองครับ

ที่มา :: ผู้ประสงค์ไม่ออกนาม

Get latest news from Blognone

Comments

By: panurat2000
ContributorSymbianUbuntuIn Love
on 1 February 2016 - 12:03 #880168
panurat2000's picture

อีเมล์ => อีเมล

By: MrNonz
ContributoriPhoneRed HatUbuntu
on 1 February 2016 - 12:22 #880176 Reply to:880168

ขอบคุณครับ

By: lew
FounderJusci's WriterMEconomicsAndroid
on 1 February 2016 - 13:18 #880197 Reply to:880168
lew's picture

ผมไม่ได้เป็นลูกค้า 3BB นะครับ เลยตรวจสอบไม่ได้ แต่การลงที่มาเป็นผู้ไม่ประสงค์ออกนามเช่นนี้คงยอมรับไม่ได้นะครับ คุณเจอเอง เป็นคนรู้จักโดยตรงกับคุณหรือใครคงต้องระบุให้ชัดกว่านี้ครับ

lewcpe.com, @wasonliw

By: kswisit
ContributoriPhoneAndroidIn Love
on 1 February 2016 - 15:26 #880283 Reply to:880197

งั้นใส่เป็นพบด้วยตัวเองก็คงไม่เป็นไรมั้งครับงานนี้ - -a

^
^
that's just my two cents.

By: zhocker
iPhoneWindows PhoneAndroidUbuntu
on 1 February 2016 - 17:05 #880326 Reply to:880197
zhocker's picture

ผมใช้ของ 3BB อยู่ ตะกี้ลอง Forgot Password ดู
Password นี่มาเป็น Plain Text เลยครับ

By: lew
FounderJusci's WriterMEconomicsAndroid
on 1 February 2016 - 17:10 #880328 Reply to:880326
lew's picture

เอาข่าวขึ้นตามการยืนยันนะครับ

lewcpe.com, @wasonliw

By: Anjue
ContributorAndroidBlackberryUbuntu
on 1 February 2016 - 17:17 #880330 Reply to:880328

เพิ่งเห็นข่าวแนวนี้บน Blognone ครั้งแรก

By: Ford AntiTrust
ContributorAndroidBlackberryUbuntu
on 1 February 2016 - 17:53 #880340 Reply to:880330
Ford AntiTrust's picture

Starbucks Thailand ก็เคยลงข่าวไว้นะครับ

By: N1tyRei
AndroidSymbianWindows
on 1 February 2016 - 20:08 #880396 Reply to:880197
N1tyRei's picture

No Description
ทดสอบกดลืมพาสเวิร์ดเมื่อกี้เลยครับ ลากคลุมรหัสผ่านได้เลย
มันเป็นตั้งแต่ให้บริการแรกๆแล้วครับ รู้สึกเหมือนเคยแจ้งไปก็ยังไม่แก้ไขเลย

By: -Rookies-
ContributorAndroidWindowsIn Love
on 1 February 2016 - 12:17 #880173

อูยยยย แสดงว่า 3BB เก็บรหัสของเราโดยไม่เข้ารหัสอะไรเลย ช่างดึงดูดแฮกเกอร์ยิ่งนัก

เทคโนโลยีไม่ผิด คนใช้มันในทางที่ผิดนั่นแหละที่ผิด!?!

By: X CroSs
iPhoneWindows PhoneAndroidWindows
on 1 February 2016 - 17:24 #880334 Reply to:880173

อาจจะเข้ารหัสไว้ แต่เป็นแบบสามารถถอดออกมาเป็น plaintext ได้ ไม่ได้ใช้แบบ hash

By: -Rookies-
ContributorAndroidWindowsIn Love
on 2 February 2016 - 10:39 #880587 Reply to:880334

ถ้าอย่างนั้นก็เปลี่ยนเป็นประเด็นคาวมเป็นส่วนตัวแทน

เทคโนโลยีไม่ผิด คนใช้มันในทางที่ผิดนั่นแหละที่ผิด!?!

By: Ford AntiTrust
ContributorAndroidBlackberryUbuntu
on 2 February 2016 - 13:03 #880689 Reply to:880334
Ford AntiTrust's picture

คำแนะนำตาม Open Web Application Security (OWASP) ก็มีบอกครับว่าควรใช้ hash และทำงานร่วมอะไรบ้าง ผมขอยกมาอ้างอิงแล้วกันครับ

Rule - Store a one-way and salted value of passwords

Use PBKDF2, bcrypt or scrypt for password storage. For more information on password storage , please see the Password Storage Cheat Sheet.

By: Elysium
ContributorWindows PhoneSymbianWindows
on 1 February 2016 - 19:14 #880366
Elysium's picture

แถมสมัครแล้วไม่มีวิธียกเลิกอัตโนมัติด้วย หน้าเว็บมีแค่เปลี่ยนพาสเวิร์ดอย่างเดียว เปลี่ยนเมลก็ยังไม่ได้

คนขี้ลืม | คนบ้าเกม | คนเหงาๆ

By: shadow
iPhoneAndroidRed HatSUSE
on 1 February 2016 - 21:23 #880425
shadow's picture

มีใครแจ้ง 3BB ไปบ้างรึยังครับ

By: PH41
ContributorAndroidUbuntuWindows
on 1 February 2016 - 21:43 #880433
PH41's picture

เป็นเรื่องที่ยอมรับไม่ได้

By: Bluetus
iPhone
on 2 February 2016 - 00:00 #880458
Bluetus's picture

โหดมากกกก นึกถึง Starbucks ไทย =[]=