อย่าพึ่งลงทะเบียนรับของขวัญปีใหม่จาก Starbucks

As of 16:45 BKK Time, เหมือนว่าทาง Starbucks Thailand ได้แก้ไขให้ redirect ไปยังหน้าที่มี SSL เรียบร้อยแล้ว


ช่วงนี้หลายๆคนที่เป็นสมาชิกสตาร์บัคส์น่าจะเริ่มได้รับเมล ให้ลงทะเบียนเพื่อรับของขวัญปีใหม่ 2018 ตามภาพข้างล่าง (สมาชิกแบบโกลด์น่าจะได้เมลหน้าตาต่างไปอีกนิด)

ความน่าเศร้าก็คือ เมื่อคลิกลิงค์เพื่อเลือกสาขาที่จะรับของรางวัลนั้น มันจะเปิดหน้าใหม่ไปที่ http://newyear.starbuckscard.in.th/greenth หรือ /gold ก็ว่าไป แล้วให้กรอก username/password

ถ้าสังเกตดีๆจะเห็นว่า URL ที่เปิดมานั้นไม่ได้เป็น https ซึ่งมันไม่ปลอดภัยที่จะกรอกรหัสใดๆลงไปเลย นี่ไม่ใช่ครั้งแรกที่ Starbucks Thailand ไม่ได้สนใจเรื่องความปลอดภัยขนาดนี้ ทั้งๆที่บริการ Cash card แบบนี้ควรจะต้องถูกดูแลอย่างเข้มงวด ไม่ใช่ทำๆส่งๆไปแบบนี้

 

 

วิธีทางแก้แบบขอไปที คือ แก้ URL เพิ่ม https:// เข้าไปด้วยตัวเอง แลัวจะมีการแจ้งเตือนเพราะว่า Certificates ที่มีนั้นไม่ตรงกับ domain ก็คงทำได้แค่เพียงกด Advance แล้วคลิก Proceed to newyear.starbuckscard.in.th (unsafe) ต่อไป เพื่อยอมให้ใช้ SSL certificate อันนี้ แต่อย่างน้อยก็เข้ารหัส username/password ของเราไว้ เพื่อไม่ให้คนดูแลระบบที่ทำงานหรือระหว่างทางสามารถเห็นรหัสผ่านของเราได้

 

จะได้ตามภาพด้านล่าง แล้วจึงค่อยกรอก username/password ต่อไป

 

ไม่แน่ใจว่ามีใครรู้จักคนดูแลระบบของ Starbucks Thailand หรือไม่ ฝากแจ้งหน่อย เพราะนี่ไม่ใช่ครั้งแรก

 

… ถ้าจะบอกว่าเหมือนให้เด็กฝึกงานทำก็คงไม่ผิด

Security Risk : หลีกเลี่ยงการล็อกอินเข้าเว็บ starbuckscard ของประเทศไทย

หลายๆคนที่กินสตาร์บัคส์บ่อยๆ น่าจะมีสตาร์บัคส์การ์ดเป็นของตัวเอง เพราะจะได้สะสมดาวเอาไว้รับสิทธิพิเศษนู่นนี่นั่น … อย่างที่เหยื่อการตลาด(อย่างเรา)ควรจะเป็น

แต่การที่เป็นเหยื่อการตลาด ไม่ได้หมายความว่าเราจะต้องเป็นเหยื่อของการขโมยรหัสผ่านด้วยในคนเดียวกัน ..

 

เรื่องของเรื่องคือ เมื่อสักสองสามสี่ห้าปีก่อน สตาร์บัคส์ประเทศไทยได้รื้อระบบสตาร์บัคส์การ์ดที่ใช้ร่วมกับประเทศอื่นๆ แล้วทำของตัวเองขึ้น …

สิ่งที่ตามมาก็คือเปิดให้สมาชิกลงทะเบียนสตาร์บัคส์การ์ดของตัวเองได้ มีแอพเช็คยอดเงิน ตรวจสอบสิทธิพิเศษ บัตรหายก็ขอใหม่ได้เพราะเราผูกกับบัญชีผู้ใช้เราแล้ว (ควรจะ)ออกบัตรใหม่ได้เลย เงินอยู่ครบ

 

ก็เหมือนจะดี .. แต่แน่นอนว่าถ้าดีก็คงไม่บ่น 555+

 

เหตุผลคือ … ณ ไตรมาสสุดท้ายของปี 2016 แต่เว็บ www.starbuckscard.in.th ยังไม่บังคับให้เข้าเว็บแบบเข้ารหัส … เท่านั้นยังไม่พอ หน้าล็อกอินของ starbuckscard เองก็ไม่ได้บังคับให้เข้ารหัสเช่นเดียวกัน

หมายความว่า …. ตอนล็อกอิน … ทุกๆจุดที่ข้อมูลคุณผ่าน จากบ้านถึง server ของ starbucks สามารถเห็น email/password ของคุณได้หมด ตั้งแต่คนดูแลเน็ตเวิร์คที่ทำงาน ยันพนักงานที่ ISP ..

 

starbuckscard1
ตัวเว็บไม่บังคับ SSL ส่วนฟอร์มล็อกอินก็ไม่ระบุ URL เข้ารหัสเช่นกัน

 

ถ้าหากคุณรอดพ้นหน้า Login เข้ามาได้ (ยังไงวะ) … ท่าไม้ตายที่ทำให้มันแย่ได้อีกก็คือ .. การเปลี่ยนพาสเวิร์ด 

ปกติการเปลี่ยนพาสเวิร์ด เป็นการธรรมดามากที่จะต้องตรวจสอบรหัสผ่านเดิมก่อน เพื่อให้มั่นใจว่าเป็นเจ้าของเองจริงๆ ถึงแม้ว่าจะล้อกอินอยู่แล้วก็ตาม ซึ่งเว็บนี้ก็ทำนะ .. ทำฝั่ง Client คือ พี่แกส่งรหัสผ่านมาในหน้าเว็บเลย เวลาเรากรอกรหัสเดิม มันก็รู้ได้เลยโดยไม่ต้องถาม server ให้เหนื่อย … ซึ่งเหมือนเหมือนจะดี แต่มันไม่ !!

โดยปกติเว็บไซต์ควรจะเก็บพาสเวิร์ดของเราแบบเข้ารหัสทางเดียว หมายความว่าคนดูแลเว็บเอ็งก็ไม่(ควรที่จะ)สามารถรู้ได้ว่ารหัสผ่านของเราเป็นอะไร เพื่อที่ว่าเวลาข้อมูลหลุดไปอย่างน้อยผู้ไม่ประสงค์ดีก็จะไม่ได้เอาไปใช้ได้เลย

แต่เว็บนี้นอกจากจะไม่ได้เข้ารหัสทางเดียวแล้ว ยังส่งรหัสผ่านกลับมาที่ Client เพื่อตรวจสอบด้วย ประกอบกับความแย่ของการไม่บังคับเว็บให้เข้ารหัส SSL ผลก็คือ รหัสผ่านของคุณก็วิ่งพล่านไปทั่วระบบเครือข่าย รอใครซักคนมาหยิบเอาไป … ยิ่งถ้าคุณใช้รหัสผ่านและอีเมลเดียวกับบริการอื่นๆแล้วละก้อ …. ความซวยอาจจะมาเยือนได้

starbuckscard2
พาสเวิร์ดในฐานข้อมูลไม่แน่ใจว่ารหัสมั๊ย แต่ส่งกลับมาที่ Client แบบนี้โดนขโมยได้แน่นอน

คำแนะนำ

ถ้าการเลิกใช้ไม่ได้เป็นหนึ่งในทางเลือก ก็แนะนำให้

  1. เข้าเว็บด้วย https เป็นอันดับแรกที่ https://www.starbuckscard.in.th
  2. เปลี่ยนพาสเวิร์ดเป็นอันที่ไม่ซ้ำกับอันอื่นๆ
  3. ถ้าพาสเวิร์ดอันเก่าซ้ำกันบริการอื่นๆ แนะนำให้ไปเปลี่ยนพาสเวิร์ดเหล่านั้นทั้งหมด

ถ้าใครว่างลองแงะแอพบน Android กับ iOS ทีว่าเข้ารหัสด้วยมั๊ย ….

 

จริงๆแอบคาดหวังให้บริการที่เกี่ยวของกับการเงินมีความปลอดภัยมากกว่านี้ … บริการนี้มันเกือบจะเข้าข่ายบัตรเงินสดด้วยซ้ำไป มีหน่วยงานไหนจะต้องตรวจสอบบ้างมั๊ยน้า …

 

ปล. รหัสผ่านด้านบนนี่เอาไปลองได้ 555+

ปล2. อีกเรื่องที่ไม่ชอบคือ ทำไมต้องพิมพ์ชื่อนามสกุลของเราลงในใบเสร็จทุกครั้งที่ซื้อด้วย … privacy ของเราอยู่ที่ไหน !!

ปล3. ถ้าสังเกต code ที่ highlight ในรูปที่สอง จะพบว่าคนพัฒนาเอารหัสผ่านมาใส่ในช่อง input ที่มี type เป็น color !!!!! … มันก็ error เด๊ ….

 

โปรโมชันแฟนพันธุ์แท้ 1 แถม 1 ของสตาร์บัคส์ต้องแลกมาด้วยอะไร?

วันนี้สตาร์บัคส์เพิ่งปล่อยโปรโมชันซื้อ 1 แถม 1 จำนวน 4 สิทธิ์/คน เมื่อทำแบบสอบถามแฟนพันธุ์แท้ทางเว็บไซต์ https://starbucksthcampaign.com/games/ โดยจะส่งสิทธิ์ให้ทาง SMS

ดูเผินๆก็น่าสนใจดี .. แต่ก็มีอีกมุมให้หน้าคิด คือ Starbucks ได้อะไรจากแคมเปญนี้ ? เพราะซื้อหนึ่งแถมหนึ่งก็มีมาเรื่อยๆอยู่แล้ว

คิดเล่นๆคือเพียงแค่ Login ด้วย Facebook ประกอบกับการส่งคูปองให้ทาง SMS … Starbucks ก็ได้ Profile ของกลุ่มที่มีโอกาสเป็นลูกค้า โดยได้ทั้ง Facebook Profile (ชื่อ, เพศ, อายุโดยประมาณ, ข้อมูลที่เราตั้งเป็น Public ทั้งหมด), ได้ Email ที่ผูกกับ Facebook Account แถมยังได้เบอร์โทรศัพท์ที่ให้ส่งโปรโมชันมาให้ … โหดดีมั๊ยล่ะ .. ครบเลย

StarbucksLoginCapture

แล้วเราทำอะไรได้บ้าง ?

จริงๆมันก็อาจจะไม่ได้เสียหายอะไรเท่าไหร่ .. แต่ถ้าลองดูให้ละเอียด จะเห็นว่า Facebook ก็ไม่ได้มัดมือชกเราขนาดนั้น … Facebook ยังอนุญาตให้เราแก้ไขข้อมูลที่ส่งไปให้ Starbucks ได้ด้วย อย่างน้อยในกรณีนี้เรายังสามารถเลือกที่จะไม่เปิดเผย email ให้ Starbucks รู้ได้ .. ยังดีกว่าไม่ได้ทำอะไรเลย

StarbucksLoginCapture2

การสร้าง Profile ลูกค้าแบบนี้มีให้เห็นอยู่ทั่วไปทั้งการทำระบบสมาชิก(ทั้งออฟไลน์และออนไลน์) แต่จะสังเกตได้ว่า การพยายามเชื่อมโยงตัวตนของเราระหว่างออฟไลน์(เบอร์โทรศัพท์) และออนไลน์ (email, Facebook) มีให้เห็นตลอดเวลา (บัตร Rabbit ก็เป็นหนึ่งในนั้น)

จริงๆก็แค่อยากให้มองให้ออกว่าเราต้องแลกอะไรไปบ้าง ซึ่งในที่นี้คือข้อมูลส่วนตัวเล็กๆน้อยๆ? เมื่อรู้ว่าต้องแลกด้วยอะไร ทีเ่หลือก็แล้วแต่ความคิดส่วนตัวของแต่ละคน ..

บัยย์

Scroll to top