Thai Sites in Cit0Days Databreach

เรื่องมีอยู่ว่า … วันก่อน คุณ Troyhunt (ผู้สร้างเว็บ Have I Been Pwned ที่รวบรวมข้อมูลที่โดนแฮก, Data Breach, เอาไว้ให้เราตรวจสอบว่ามีข้อมูลเราหลุดมาจากการที่เว็บที่เราใช้งานโดนแฮคหรือไม่) ได้เปิดเผยถึงการปล่อยข้อมูลที่ถูกแฮคครั้งใหญ่ มากกว่า 226 ล้านรายการ เป็นขนาดกว่า 13 GB

ซึ่งผมเองก็เป็นหนึ่งในผู้ได้รับผลกระทบจากข้อมูลชุดนี้ .. คราวนี้พอดูลงไปในรายละเอียด ก็พบว่ามีเว็บไซต์มากกว่าสองหมื่นเว็บไซต์ที่โดนแฮกแล้วปล่อยข้อมูลออกมา ซึ่งเราเองไม่สามารถบอกได้ว่าข้อมูลชุดนี้นั้นโดนแฮคมาตั้งแต่เมื่อไหร่ และด้วยข้อมูลที่มากขนาดนี้ คุณ Troyhunt ก็ไม่สามารถบอกได้แบบละเอียดว่าข้อมูลของเรานั้นได้หลุดมาจากเว็บไซต์ไหน ทาง Have I Been Pwned ได้บอกเพียงแค่มีอีเมลคุณอยู่ในชุด Cit0days นี่หรือไม่

ทั้งนี้คุณ Troyhunt ได้เผยแพร่รายการเว็บไซต์ที่อยู่ในชุด Cit0Days นี่ออกมา .. นั่นเป็นที่มาของบล็อกนี้นั่นเอง

ผมได้เอาข้อมูลรายการเว็บไซต์ที่คุณ Troyhunt ปล่อยมา มาทำให้ย่อยง่ายแล้วลองดูผลกระทบที่เกิดกับเว็บไซต์ในไทย

ลองมาดูกัน

เมื่อตัดเว็บไซต์ top level domain (.com/.net.org) ออก เพราะเราบอกไม่ได้ว่าเว็บเหล่านั้นมาจากประเทสอะไร เลยมาดูที่เว็บไซต์ที่เป็น Country domain (เช่น .th) ก็จะพบว่า ทั้งจำนวนเว็บไซต์และปริมาณข้อมูลที่หลุด เราก็อยู่อันดับไม่ไกลมาก

กราฟแสดงจำนวนข้อมูลที่หลุดในโดเมนแต่ละประทศ

กราฟแสดงจำนวนเว็บไซต์ที่โดนแฮกในโดเมนแต่ละประทศ

เมื่อเราลองเจาะมาดูที่โดเมนของประเทศไทย (ที่ลงท้ายด้วย .th) ก็จะพบข้อมูลน่าสนใจมากๆว่า เว็บไซต์หน่วยงานของรัฐ (.go.th) และเว็บไซต์สถาบันการศึกษา (.ac.th) นั้นมีจำนวนเว็บไซต์ที่โดนแฮกเยอะอย่างมีนัยยะสำคัญ สองส่วนนี้รวมกันแล้วเกือบๆ 70% ของข้อมูลทั้งหมด

นอกจากวิเคราะห์เว็บไซต์ตามประเภทเว็บไซต์แล้วนั้น เมื่อเราดูข้อมูลจำนวน records ของเว็บไซต์แต่ละอันนั้น สามารถตั้งข้อสังเกตุเพิมเติมได้ดังนี้

เมื่อดูเว็บไซต์ .go.th ที่มีข้อมูลหลุดจำนวน 10,125 รายการ จะพบว่ามีมากกว่า 10 เว็บเลย ซึ่งมันดูพอเหมาะพอเจาะเกินกว่าจะเป็นความบังเอิญ และเมื่อเราเปิดดูเว็บไซต์แต่ละเว็บ จะพบว่า ทุกๆเว็บในนั้น ใช้ผู้ให้บริการเว็บไซต์เจ้าเดียวกัน (จะเห็นผู้ให้บริการ web hosting อย่างด้านล่างสุดของเว็บไซต์)

… ซึ่งทำให้เกิดความเป็นไปได้ว่า ผู้ให้บริการเว็บไซต์เหล่านี้มีโดนแฮก และข้อมูลของประมาณ 10 โดเมนนี้เป็นข้อมูลชุดเดียวกัน … และอาจจะเป็นไปได้อีกว่า มากกว่า 10 เว็บไซต์นี้ใช้ผู้ให้บริการเจ้าเดียวกัน แต่การโดนแฮกต่างเวลา ทำให้จำนวนข้อมูลที่หลุดแตกต่างกันออกไป

ทั้งนี้ ยังพบอีกว่า เว็บไซต์เหล่านี้เกือบทั้งหมด ไม่มีการเข้ารหัสความปลอดภัยระหว่างผู้ใช้งานและเซอเวอร์ (SSL/TLS)

นอกจาก .go.th แล้วนั้น ข้อมูลเว็บไซต์กลุ่ม .ac.th ก็มีลักษณะแบบเดียวกัน คือ มีผู้ให้บริการ web hosting เจ้าใหญ่ๆ ที่ให้บริการกับรร.ขนาดเล็กจำนวนมาก และข้อมูลที่หลุดออกไปนั้นก็มาจากบริการเว็บไซต์สำเร็จรูปเหล่านี้

ยังมีอีกสิ่งที่ที่คิดว่าควรจะต้องพูดถึง … ในข้อมูลที่หลุดในครั้งนี้ เจ้าของข้อมูล ได้มีการระบุด้วยว่าเว็บไซต์นั้นๆมีการเข้ารหัสความปลอดภัย ของรหัสผ่านหรือไม่ ซึ่งดูได้จากตารางข้างล่าง ในคอลัมน์ Hash ซึ่งจะพบว่า มีเว็บจำนวนมากที่ไม่ได้เข้ารหัสผ่านอย่างปลอดภัย ซึ่งหากผู้ใช้งานมีการใช้งานรหัสผ่านเดียวกันในหลายๆเว็บไซต์ ก็จะทำให้เว็บไซต์อื่นๆนั้นสามารถโดนเข้าถึงได้เช่นกัน

เลยมีคำถามว่า ผู้ให้บริการเว็บไซต์สำเร็จรูปราคาถูกนั้น มีความพร้อมในการให้บริการมากน้อยแค่ไหน รวมถึงมีการรักษาความปลอดภัยเพียงพอหรือไม่ เมื่อกฏหมาย PDPA กำลังจะเริ่มบังคับใช้ จะมีใครออกมารับผิดชอบกับข้อมูลที่หลุดออกไปหรือไม่ ?

นอกจากเรื่องผู้ให้บริการเว็บไซต์สำเร็จรูป .. ก็มีเว็บไซต์อีกส่วนนึงที่คิดว่าควรจะถูกพูดถึง

  • Software park swpark.or.th – ส่วนตัวคิดว่าโดนจากเว็บไซต์นี้ เนื่องจากในอดีตเคยมีการลงทะเบียนเพื่อติดต่อเรื่องการอบรมในหัวข้อ IT ต่างๆ ปัจจุบันพบว่าไม่มีการให้ลงทะเบียนหรือสมัครเข้าใช้งานบนเว็บไซต์แล้ว (แต่ก็ยังไม่มี SSL/TLS อยู่ดี
  • มีเว็บในหมวดความมั่นคงด้วย ซึ่งต้องภาวนาให้เป็นเว็บเวอร์ชันเก่า และปัจจุบันได้แก้ไขแล้ว
  • ต้นทางบล็อกของคุณ Troyhunt มีพูดถึงเว็บไซต์ vcanbuy.com ซึงเป็นเว็บ ecommerce สัญญาติไทยด้วย ไม่แน่ใจว่ามีใครเคยใช้บริการหรือไม่
  • เว็บไซต์สาธารณสุขจังหวัดเชียงใหม่ มีข้อมูลหลุดกว่าแสนรายการ … ซึ่งปัจจุบันเว็บไซต์ก็ยังไม่สามาถใช้งานได้ (503 Service Temporarily Unavailable)

ด้านล่างเป็นข้อมูลเว็บไซต์ที่ลงท้ายด้วย .th ทั้งหมด สามารถลองไถๆดูได้ว่ามีเว็บไหนที่ดูคุ้นเคยบ้างหรือไม่ (สามารถเรียงข้อมูลตามแต่ละคอลัมน์ได้ด้วยการคลิกที่หัวตาราง)

เพิ่มเติมตารางข้อมูลเว็บไซต์ที่มีข้อมูลหลุด 100 อันดับแรก

ลองอ่านเพิ่มเติมว่าคุณ Troyhunt ได้ประมวลผมข้อมูลขุดนี้ยังไงได้ที่ Troy Hunt: Inside the Cit0Day Breach Collection

Post cover photo by Arget on Unsplash

โปรโมชันแฟนพันธุ์แท้ 1 แถม 1 ของสตาร์บัคส์ต้องแลกมาด้วยอะไร?

วันนี้สตาร์บัคส์เพิ่งปล่อยโปรโมชันซื้อ 1 แถม 1 จำนวน 4 สิทธิ์/คน เมื่อทำแบบสอบถามแฟนพันธุ์แท้ทางเว็บไซต์ https://starbucksthcampaign.com/games/ โดยจะส่งสิทธิ์ให้ทาง SMS

ดูเผินๆก็น่าสนใจดี .. แต่ก็มีอีกมุมให้หน้าคิด คือ Starbucks ได้อะไรจากแคมเปญนี้ ? เพราะซื้อหนึ่งแถมหนึ่งก็มีมาเรื่อยๆอยู่แล้ว

คิดเล่นๆคือเพียงแค่ Login ด้วย Facebook ประกอบกับการส่งคูปองให้ทาง SMS … Starbucks ก็ได้ Profile ของกลุ่มที่มีโอกาสเป็นลูกค้า โดยได้ทั้ง Facebook Profile (ชื่อ, เพศ, อายุโดยประมาณ, ข้อมูลที่เราตั้งเป็น Public ทั้งหมด), ได้ Email ที่ผูกกับ Facebook Account แถมยังได้เบอร์โทรศัพท์ที่ให้ส่งโปรโมชันมาให้ … โหดดีมั๊ยล่ะ .. ครบเลย

StarbucksLoginCapture

แล้วเราทำอะไรได้บ้าง ?

จริงๆมันก็อาจจะไม่ได้เสียหายอะไรเท่าไหร่ .. แต่ถ้าลองดูให้ละเอียด จะเห็นว่า Facebook ก็ไม่ได้มัดมือชกเราขนาดนั้น … Facebook ยังอนุญาตให้เราแก้ไขข้อมูลที่ส่งไปให้ Starbucks ได้ด้วย อย่างน้อยในกรณีนี้เรายังสามารถเลือกที่จะไม่เปิดเผย email ให้ Starbucks รู้ได้ .. ยังดีกว่าไม่ได้ทำอะไรเลย

StarbucksLoginCapture2

การสร้าง Profile ลูกค้าแบบนี้มีให้เห็นอยู่ทั่วไปทั้งการทำระบบสมาชิก(ทั้งออฟไลน์และออนไลน์) แต่จะสังเกตได้ว่า การพยายามเชื่อมโยงตัวตนของเราระหว่างออฟไลน์(เบอร์โทรศัพท์) และออนไลน์ (email, Facebook) มีให้เห็นตลอดเวลา (บัตร Rabbit ก็เป็นหนึ่งในนั้น)

จริงๆก็แค่อยากให้มองให้ออกว่าเราต้องแลกอะไรไปบ้าง ซึ่งในที่นี้คือข้อมูลส่วนตัวเล็กๆน้อยๆ? เมื่อรู้ว่าต้องแลกด้วยอะไร ทีเ่หลือก็แล้วแต่ความคิดส่วนตัวของแต่ละคน ..

บัยย์

ขอประณามระบบ Email Marketing ของ KTC

วันนี้เที่ยงๆ ได้อีเมลโฆษณาของบัตรเครดิต KTC ก็ไม่ได้เอะใจอะไร จนกระทั่ง …

เหลือไปเห็นช่อง To ของ Email ว่าทำไมมันมีตัวอักษรยาวๆ .. แล้วก็ต้องช็อก !!

 

ข้อมูลของลูกค้าที่ควรจะเป็นความลับ KTC ดันใส่ไว้ในช่อง To ซึ่งส่งผ่าน Server ไหนๆ เค้าก็อ่านได้

เมื่อเจอว่า มันคือ ข้อมูลส่วนตัวเราทั้งหมด ที่อยู่ในช่อง To

ข้อมูลที่ว่า ประกอบด้วย

1. ชื่อ นามสกุล

2. หมายเลขบัตรเครดิต

3. เบอรโทรศัพท์บ้าน

4. เบอร์โทรศัพท์ที่ทำงาน

5. เบอร์โทรศัพท์มือถือ

6. วัน เดือน ปี เกิด

7. ประเภทบัตรเครดิตที่ใช้บริการอยู่

 

คำถามคือ

KTC รู้หรือไม่ว่า กว่าอีเมลจะมาถึงผู้รับ มันต้องผ่านตัวกลางกี่คนต่อกี่คน ?

ข้อมูลที่ KTC ใส่มามันเป็นข้อมูลที่ไม่ควรเปิดเผยไม่ใช่หรือ ?

มันจำเป็นด้วยหรอที่ KTC จะต้องเอาเลขบัตรเครดิต มาใส่ในช่อง To ของอีเมล ?

 

และนี่ก็ไม่ได้เป็น อีเมลฉบับแรก ที่มีข้อมูลลูกค้าใส่มาแบบนี้

เข้าใจว่าข้อมูลทั้งหมดถูกดึงออกมาจากระบบและส่งออกมาอัตโนมัติ แต่ด้วยความที่เป็นสถาบันการเงิน การทำอะไรโดยไม่ไตรตรองแบบนี้สมควรได้รับการตำหนิ ถ้าข้อมูลบัตรเครดิตลูกค้ารั่วออกไปทางอีเมลเหล่านี้ แล้วลูกค้าได้รับความเสียหาย KTC จะรับผิดชอบมั๊ย ???

 

ในเมื่อ KTC เองยังไม่ระวังเรื่องความปลอดภัยขนาดนี้ แล้วจะหวังให้คนใช้มาระวังให้ตลอดก็คงไม่ได้

 

หวังว่าจะแก้ในเร็ววันนะครับ …

 

Scroll to top