Thai Sites in Cit0Days Databreach

เรื่องมีอยู่ว่า … วันก่อน คุณ Troyhunt (ผู้สร้างเว็บ Have I Been Pwned ที่รวบรวมข้อมูลที่โดนแฮก, Data Breach, เอาไว้ให้เราตรวจสอบว่ามีข้อมูลเราหลุดมาจากการที่เว็บที่เราใช้งานโดนแฮคหรือไม่) ได้เปิดเผยถึงการปล่อยข้อมูลที่ถูกแฮคครั้งใหญ่ มากกว่า 226 ล้านรายการ เป็นขนาดกว่า 13 GB

ซึ่งผมเองก็เป็นหนึ่งในผู้ได้รับผลกระทบจากข้อมูลชุดนี้ .. คราวนี้พอดูลงไปในรายละเอียด ก็พบว่ามีเว็บไซต์มากกว่าสองหมื่นเว็บไซต์ที่โดนแฮกแล้วปล่อยข้อมูลออกมา ซึ่งเราเองไม่สามารถบอกได้ว่าข้อมูลชุดนี้นั้นโดนแฮคมาตั้งแต่เมื่อไหร่ และด้วยข้อมูลที่มากขนาดนี้ คุณ Troyhunt ก็ไม่สามารถบอกได้แบบละเอียดว่าข้อมูลของเรานั้นได้หลุดมาจากเว็บไซต์ไหน ทาง Have I Been Pwned ได้บอกเพียงแค่มีอีเมลคุณอยู่ในชุด Cit0days นี่หรือไม่

ทั้งนี้คุณ Troyhunt ได้เผยแพร่รายการเว็บไซต์ที่อยู่ในชุด Cit0Days นี่ออกมา .. นั่นเป็นที่มาของบล็อกนี้นั่นเอง

ผมได้เอาข้อมูลรายการเว็บไซต์ที่คุณ Troyhunt ปล่อยมา มาทำให้ย่อยง่ายแล้วลองดูผลกระทบที่เกิดกับเว็บไซต์ในไทย

ลองมาดูกัน

เมื่อตัดเว็บไซต์ top level domain (.com/.net.org) ออก เพราะเราบอกไม่ได้ว่าเว็บเหล่านั้นมาจากประเทสอะไร เลยมาดูที่เว็บไซต์ที่เป็น Country domain (เช่น .th) ก็จะพบว่า ทั้งจำนวนเว็บไซต์และปริมาณข้อมูลที่หลุด เราก็อยู่อันดับไม่ไกลมาก

กราฟแสดงจำนวนข้อมูลที่หลุดในโดเมนแต่ละประทศ

กราฟแสดงจำนวนเว็บไซต์ที่โดนแฮกในโดเมนแต่ละประทศ

เมื่อเราลองเจาะมาดูที่โดเมนของประเทศไทย (ที่ลงท้ายด้วย .th) ก็จะพบข้อมูลน่าสนใจมากๆว่า เว็บไซต์หน่วยงานของรัฐ (.go.th) และเว็บไซต์สถาบันการศึกษา (.ac.th) นั้นมีจำนวนเว็บไซต์ที่โดนแฮกเยอะอย่างมีนัยยะสำคัญ สองส่วนนี้รวมกันแล้วเกือบๆ 70% ของข้อมูลทั้งหมด

นอกจากวิเคราะห์เว็บไซต์ตามประเภทเว็บไซต์แล้วนั้น เมื่อเราดูข้อมูลจำนวน records ของเว็บไซต์แต่ละอันนั้น สามารถตั้งข้อสังเกตุเพิมเติมได้ดังนี้

เมื่อดูเว็บไซต์ .go.th ที่มีข้อมูลหลุดจำนวน 10,125 รายการ จะพบว่ามีมากกว่า 10 เว็บเลย ซึ่งมันดูพอเหมาะพอเจาะเกินกว่าจะเป็นความบังเอิญ และเมื่อเราเปิดดูเว็บไซต์แต่ละเว็บ จะพบว่า ทุกๆเว็บในนั้น ใช้ผู้ให้บริการเว็บไซต์เจ้าเดียวกัน (จะเห็นผู้ให้บริการ web hosting อย่างด้านล่างสุดของเว็บไซต์)

… ซึ่งทำให้เกิดความเป็นไปได้ว่า ผู้ให้บริการเว็บไซต์เหล่านี้มีโดนแฮก และข้อมูลของประมาณ 10 โดเมนนี้เป็นข้อมูลชุดเดียวกัน … และอาจจะเป็นไปได้อีกว่า มากกว่า 10 เว็บไซต์นี้ใช้ผู้ให้บริการเจ้าเดียวกัน แต่การโดนแฮกต่างเวลา ทำให้จำนวนข้อมูลที่หลุดแตกต่างกันออกไป

ทั้งนี้ ยังพบอีกว่า เว็บไซต์เหล่านี้เกือบทั้งหมด ไม่มีการเข้ารหัสความปลอดภัยระหว่างผู้ใช้งานและเซอเวอร์ (SSL/TLS)

นอกจาก .go.th แล้วนั้น ข้อมูลเว็บไซต์กลุ่ม .ac.th ก็มีลักษณะแบบเดียวกัน คือ มีผู้ให้บริการ web hosting เจ้าใหญ่ๆ ที่ให้บริการกับรร.ขนาดเล็กจำนวนมาก และข้อมูลที่หลุดออกไปนั้นก็มาจากบริการเว็บไซต์สำเร็จรูปเหล่านี้

ยังมีอีกสิ่งที่ที่คิดว่าควรจะต้องพูดถึง … ในข้อมูลที่หลุดในครั้งนี้ เจ้าของข้อมูล ได้มีการระบุด้วยว่าเว็บไซต์นั้นๆมีการเข้ารหัสความปลอดภัย ของรหัสผ่านหรือไม่ ซึ่งดูได้จากตารางข้างล่าง ในคอลัมน์ Hash ซึ่งจะพบว่า มีเว็บจำนวนมากที่ไม่ได้เข้ารหัสผ่านอย่างปลอดภัย ซึ่งหากผู้ใช้งานมีการใช้งานรหัสผ่านเดียวกันในหลายๆเว็บไซต์ ก็จะทำให้เว็บไซต์อื่นๆนั้นสามารถโดนเข้าถึงได้เช่นกัน

เลยมีคำถามว่า ผู้ให้บริการเว็บไซต์สำเร็จรูปราคาถูกนั้น มีความพร้อมในการให้บริการมากน้อยแค่ไหน รวมถึงมีการรักษาความปลอดภัยเพียงพอหรือไม่ เมื่อกฏหมาย PDPA กำลังจะเริ่มบังคับใช้ จะมีใครออกมารับผิดชอบกับข้อมูลที่หลุดออกไปหรือไม่ ?

นอกจากเรื่องผู้ให้บริการเว็บไซต์สำเร็จรูป .. ก็มีเว็บไซต์อีกส่วนนึงที่คิดว่าควรจะถูกพูดถึง

  • Software park swpark.or.th – ส่วนตัวคิดว่าโดนจากเว็บไซต์นี้ เนื่องจากในอดีตเคยมีการลงทะเบียนเพื่อติดต่อเรื่องการอบรมในหัวข้อ IT ต่างๆ ปัจจุบันพบว่าไม่มีการให้ลงทะเบียนหรือสมัครเข้าใช้งานบนเว็บไซต์แล้ว (แต่ก็ยังไม่มี SSL/TLS อยู่ดี
  • มีเว็บในหมวดความมั่นคงด้วย ซึ่งต้องภาวนาให้เป็นเว็บเวอร์ชันเก่า และปัจจุบันได้แก้ไขแล้ว
  • ต้นทางบล็อกของคุณ Troyhunt มีพูดถึงเว็บไซต์ vcanbuy.com ซึงเป็นเว็บ ecommerce สัญญาติไทยด้วย ไม่แน่ใจว่ามีใครเคยใช้บริการหรือไม่
  • เว็บไซต์สาธารณสุขจังหวัดเชียงใหม่ มีข้อมูลหลุดกว่าแสนรายการ … ซึ่งปัจจุบันเว็บไซต์ก็ยังไม่สามาถใช้งานได้ (503 Service Temporarily Unavailable)

ด้านล่างเป็นข้อมูลเว็บไซต์ที่ลงท้ายด้วย .th ทั้งหมด สามารถลองไถๆดูได้ว่ามีเว็บไหนที่ดูคุ้นเคยบ้างหรือไม่ (สามารถเรียงข้อมูลตามแต่ละคอลัมน์ได้ด้วยการคลิกที่หัวตาราง)

เพิ่มเติมตารางข้อมูลเว็บไซต์ที่มีข้อมูลหลุด 100 อันดับแรก

ลองอ่านเพิ่มเติมว่าคุณ Troyhunt ได้ประมวลผมข้อมูลขุดนี้ยังไงได้ที่ Troy Hunt: Inside the Cit0Day Breach Collection

Post cover photo by Arget on Unsplash

เครื่องมือสำหรับตัดต่อวิดีโออย่างง่ายบน Windows ฉบับของฟรี

เพิ่งจะกลับมาจากไปเที่ยว แล้วทำวิดีโอสั้นๆไว้อวดเพื่อน … พบว่าทุกวันนี้เครื่องมือบน Windows นั้นสามารถตัดต่อวิดีโออย่างง่ายใส่เพลงได้แบบสบายๆเลย มาลองดูกันว่าใช้อะไรทำบ้าง

โปรแกรมตัดต่อวิดีโอ: Video Editor

อันนี้ติดมากับ Windows 10 เลย ไม่แน่ใจว่ามาใน Version ไหน แต่ง่ายเพียงพอที่จะลากวางๆ สามรถ trim, split, ปรับความเร็ว, ใส่ตัวอักษร, ใส่เพลง แล้ว export แบบ 1080 สบายๆ ไม่มีลายน้ำให้กวนใจ

กด start พิมพ์ Video Editor ก็เริ่มใช้งานได้เลย

โปรแกรมเลือกไฟล์: Photos

อันนี้ก็ติดมากับเครื่องอีกนั่นแหล่ะ ข้อดีของตัวนี้คือ มันดูรูปจากหลายๆ sub folder พร้อมๆกันได้ สมมติเรามีกล้อง 2 อัน มีโดรน มีอันที่ก็อบมาจากคนอื่น เอามาดูด้วยโปรแกรมนี้อันเดียวเรียงตามวันเวลาที่ถ่าย จะช่วยให้เลือกรูปหรือวิดีโอได้ง่ายขึ้น

ถ้าสังเกตุดีๆจะเห็นว่าโปรแกรม Video editor กับ Photos มันเหมือนจะเป็นตัวเดียวกัน มีปุ่มบนซ้ายให้เข้าจากกันและกันได้

โปรแกรมช่วยแก้วิดีโอสั่น: Microsoft Hyperlapse Pro

อันนี้ต้องไปดาวโหลดเพิ่ม เหมือนจะเลิกพัฒนาต่อแล้วด้วยมั้ง แต่ยังใช้งานได้ดีอยู่ เป็นโปรแกรมช่วยทำ Hyperlapse จากวิดีโอธรรมดา หรือจะเอา Hyperlapse วิดีโอเข้าไปก็ได้ ช่วยทำให้มันสมูทขึ้น ดูแล้วไม่ค่อยอ๊วกเท่าไหร่

ปล. มีคนแจกคีย์ของเวอร์ชันโปรด้วย search หาเอา ง่ายมาก เข้าใจว่าเค้าเลิกขายแล้ว จะซื้อก็ไม่มีที่ให้ซื้อ !

ดาวโหลดได้ที่นี่ https://www.microsoft.com/en-us/download/details.aspx?id=52379

ข้างล่างนี้แถม …

โปรแกรมทำภาพ Panorama 360: Microsoft Image Composite Editor (ICE)

อันนี้ใช้มานานแล้ว ใช้สมัยซื้อโดรนมาใหม่ๆ เพราะรูป 360 ของโปรแกรมที่มากับโดรนจะโดนย่อ ถ้าอยากได้ความละเอียดเต็มๆต้องเอามาทำเอง

พอเอาเข้าโปรแกรมนี้แล้วเอาไปปรับแต่งขนาด (ให้เป็น 2:1) กับเพิ่มค่า Exif นิดหน่อยให้เฟซบุครู้จัก ก็สามารถโพสรูป 360 แบบเต็มความละเอียดขึ้นเฟซบุคได้แล้ว ไว้เล่าขั้นตอนละเอียดๆอีกทีนะ

ตัวโปรแกรมยังรองรับการทำ Panorama แบบต่างๆ มีฟีเจอร์ช่วยเติมเต็มตำแหน่งแหว่งๆด้วย ถือว่าเป็นโปรแกรมที่ควรมีติดเครื่องไว้เลย

ดาวโหลดได้ที่นี่ https://www.microsoft.com/en-us/research/product/computational-photography-applications/image-composite-editor/

ทำไมถึงไม่ควรร่วมสนุกชิง OSMO Pocket จาก AIS

วันนี้ได้ MMS ว่าให้ร่วมสนุกชิงรางวัล DJI OSMO Pocket จาก AIS Serenade ซึ่งกำลังอยากได้พอดี เลยกดตามลิงค์ไป เจอว่าให้ตอบคำถาม กับรายละเอียดนิดหน่อยก็ได้ลุ้นของรางวัลล่ะ พอเลื่อนลงมาจะกรอกข้อมูล เห็นว่ามีชื่อ-นามกสุล เบอร์โทรศัพท์ และอีเมล เลยขอดูหน่อยว่าเว็บไม่ใช่ Phishing นะ

พอดูเท่านั้นแหล่ะ ชัดเลย … เว็บไม่ได้มีความปลอดภัยใดๆ SSL/TLS ไม่มี !! นี่มันปี 2019 แล้วนะ ในขณะที่ทุกๆคนพยายามส่งเสริมให้ประชาชนระมัดระวังการกรอกข้อมูล การเข้าเว็บ ไม่ให้เป็นเหยื่อของ spam/phishing แต่องค์กรเองไม่ได้มีความใส่ใจด้านนี้เลย

ไม่มี SSL/TLS แล้วยังไง ?

อธิบายง่ายๆคือ ไม่มีแล้วแปลว่า ข้อมูลที่เรากรอกสามารถมองเห็นได้จากอุปกรณ์เน็ตเวิร์คใดๆที่มันวิ่งผ่าน อาจจะเป็น Router ที่บ้านที่ติดมัลแวร์เพราะไม่ได้อัพเดท, เจ้าของหอพักที่เก็บ Log ตามพรบ., เจ้าหน้าที่ใน Mobile Operator ที่เข้าถึง Data log, ป้าในร้านกาแฟที่เปิด sniffing package ของ WiFi ที่ไม่ได้เข้ารหัส (เวอร์มั๊ย)

ต่อให้พยายามฝืนเป็น HTTPS แล้วก็ไม่สำเร็จ

เมื่อเป็นเช่นนี้แล้ว ก็อย่าสงสัยเลย

  • ทำไมเรามี spam เยอะ (กรณีนี้ได้ serenade group ด้วย target ชั้นดี)
  • ทำไมเราถึงโดน Identity Thief เพราะเค้าได้ชื่อ อีเมล เบอร์โทรไปแล้ว เหลืออีกนิดเดียวก็ครบแล้ว

สรุป … ปิดไปครับ อย่าไปลุ้นเลย ไม่ควรกรอกอะไรทั้งนั้น

ปล. เหตุการณ์คล้ายๆกันนี้ก็เคยเกิดกับ Starbucks TH มาก่อนแล้ว …

อย่าพึ่งลงทะเบียนรับของขวัญปีใหม่จาก Starbucks

As of 16:45 BKK Time, เหมือนว่าทาง Starbucks Thailand ได้แก้ไขให้ redirect ไปยังหน้าที่มี SSL เรียบร้อยแล้ว


ช่วงนี้หลายๆคนที่เป็นสมาชิกสตาร์บัคส์น่าจะเริ่มได้รับเมล ให้ลงทะเบียนเพื่อรับของขวัญปีใหม่ 2018 ตามภาพข้างล่าง (สมาชิกแบบโกลด์น่าจะได้เมลหน้าตาต่างไปอีกนิด)

ความน่าเศร้าก็คือ เมื่อคลิกลิงค์เพื่อเลือกสาขาที่จะรับของรางวัลนั้น มันจะเปิดหน้าใหม่ไปที่ http://newyear.starbuckscard.in.th/greenth หรือ /gold ก็ว่าไป แล้วให้กรอก username/password

ถ้าสังเกตดีๆจะเห็นว่า URL ที่เปิดมานั้นไม่ได้เป็น https ซึ่งมันไม่ปลอดภัยที่จะกรอกรหัสใดๆลงไปเลย นี่ไม่ใช่ครั้งแรกที่ Starbucks Thailand ไม่ได้สนใจเรื่องความปลอดภัยขนาดนี้ ทั้งๆที่บริการ Cash card แบบนี้ควรจะต้องถูกดูแลอย่างเข้มงวด ไม่ใช่ทำๆส่งๆไปแบบนี้

 

 

วิธีทางแก้แบบขอไปที คือ แก้ URL เพิ่ม https:// เข้าไปด้วยตัวเอง แลัวจะมีการแจ้งเตือนเพราะว่า Certificates ที่มีนั้นไม่ตรงกับ domain ก็คงทำได้แค่เพียงกด Advance แล้วคลิก Proceed to newyear.starbuckscard.in.th (unsafe) ต่อไป เพื่อยอมให้ใช้ SSL certificate อันนี้ แต่อย่างน้อยก็เข้ารหัส username/password ของเราไว้ เพื่อไม่ให้คนดูแลระบบที่ทำงานหรือระหว่างทางสามารถเห็นรหัสผ่านของเราได้

 

จะได้ตามภาพด้านล่าง แล้วจึงค่อยกรอก username/password ต่อไป

 

ไม่แน่ใจว่ามีใครรู้จักคนดูแลระบบของ Starbucks Thailand หรือไม่ ฝากแจ้งหน่อย เพราะนี่ไม่ใช่ครั้งแรก

 

… ถ้าจะบอกว่าเหมือนให้เด็กฝึกงานทำก็คงไม่ผิด

Scroll to top