หลายๆคนที่กินสตาร์บัคส์บ่อยๆ น่าจะมีสตาร์บัคส์การ์ดเป็นของตัวเอง เพราะจะได้สะสมดาวเอาไว้รับสิทธิพิเศษนู่นนี่นั่น … อย่างที่เหยื่อการตลาด(อย่างเรา)ควรจะเป็น
แต่การที่เป็นเหยื่อการตลาด ไม่ได้หมายความว่าเราจะต้องเป็นเหยื่อของการขโมยรหัสผ่านด้วยในคนเดียวกัน ..
เรื่องของเรื่องคือ เมื่อสักสองสามสี่ห้าปีก่อน สตาร์บัคส์ประเทศไทยได้รื้อระบบสตาร์บัคส์การ์ดที่ใช้ร่วมกับประเทศอื่นๆ แล้วทำของตัวเองขึ้น …
สิ่งที่ตามมาก็คือเปิดให้สมาชิกลงทะเบียนสตาร์บัคส์การ์ดของตัวเองได้ มีแอพเช็คยอดเงิน ตรวจสอบสิทธิพิเศษ บัตรหายก็ขอใหม่ได้เพราะเราผูกกับบัญชีผู้ใช้เราแล้ว (ควรจะ)ออกบัตรใหม่ได้เลย เงินอยู่ครบ
ก็เหมือนจะดี .. แต่แน่นอนว่าถ้าดีก็คงไม่บ่น 555+
เหตุผลคือ … ณ ไตรมาสสุดท้ายของปี 2016 แต่เว็บ www.starbuckscard.in.th ยังไม่บังคับให้เข้าเว็บแบบเข้ารหัส … เท่านั้นยังไม่พอ หน้าล็อกอินของ starbuckscard เองก็ไม่ได้บังคับให้เข้ารหัสเช่นเดียวกัน
หมายความว่า …. ตอนล็อกอิน … ทุกๆจุดที่ข้อมูลคุณผ่าน จากบ้านถึง server ของ starbucks สามารถเห็น email/password ของคุณได้หมด ตั้งแต่คนดูแลเน็ตเวิร์คที่ทำงาน ยันพนักงานที่ ISP ..
ถ้าหากคุณรอดพ้นหน้า Login เข้ามาได้ (ยังไงวะ) … ท่าไม้ตายที่ทำให้มันแย่ได้อีกก็คือ .. การเปลี่ยนพาสเวิร์ด
ปกติการเปลี่ยนพาสเวิร์ด เป็นการธรรมดามากที่จะต้องตรวจสอบรหัสผ่านเดิมก่อน เพื่อให้มั่นใจว่าเป็นเจ้าของเองจริงๆ ถึงแม้ว่าจะล้อกอินอยู่แล้วก็ตาม ซึ่งเว็บนี้ก็ทำนะ .. ทำฝั่ง Client คือ พี่แกส่งรหัสผ่านมาในหน้าเว็บเลย เวลาเรากรอกรหัสเดิม มันก็รู้ได้เลยโดยไม่ต้องถาม server ให้เหนื่อย … ซึ่งเหมือนเหมือนจะดี แต่มันไม่ !!
โดยปกติเว็บไซต์ควรจะเก็บพาสเวิร์ดของเราแบบเข้ารหัสทางเดียว หมายความว่าคนดูแลเว็บเอ็งก็ไม่(ควรที่จะ)สามารถรู้ได้ว่ารหัสผ่านของเราเป็นอะไร เพื่อที่ว่าเวลาข้อมูลหลุดไปอย่างน้อยผู้ไม่ประสงค์ดีก็จะไม่ได้เอาไปใช้ได้เลย
แต่เว็บนี้นอกจากจะไม่ได้เข้ารหัสทางเดียวแล้ว ยังส่งรหัสผ่านกลับมาที่ Client เพื่อตรวจสอบด้วย ประกอบกับความแย่ของการไม่บังคับเว็บให้เข้ารหัส SSL ผลก็คือ รหัสผ่านของคุณก็วิ่งพล่านไปทั่วระบบเครือข่าย รอใครซักคนมาหยิบเอาไป … ยิ่งถ้าคุณใช้รหัสผ่านและอีเมลเดียวกับบริการอื่นๆแล้วละก้อ …. ความซวยอาจจะมาเยือนได้
คำแนะนำ
ถ้าการเลิกใช้ไม่ได้เป็นหนึ่งในทางเลือก ก็แนะนำให้
- เข้าเว็บด้วย https เป็นอันดับแรกที่ https://www.starbuckscard.in.th
- เปลี่ยนพาสเวิร์ดเป็นอันที่ไม่ซ้ำกับอันอื่นๆ
- ถ้าพาสเวิร์ดอันเก่าซ้ำกันบริการอื่นๆ แนะนำให้ไปเปลี่ยนพาสเวิร์ดเหล่านั้นทั้งหมด
ถ้าใครว่างลองแงะแอพบน Android กับ iOS ทีว่าเข้ารหัสด้วยมั๊ย ….
จริงๆแอบคาดหวังให้บริการที่เกี่ยวของกับการเงินมีความปลอดภัยมากกว่านี้ … บริการนี้มันเกือบจะเข้าข่ายบัตรเงินสดด้วยซ้ำไป มีหน่วยงานไหนจะต้องตรวจสอบบ้างมั๊ยน้า …
ปล. รหัสผ่านด้านบนนี่เอาไปลองได้ 555+
ปล2. อีกเรื่องที่ไม่ชอบคือ ทำไมต้องพิมพ์ชื่อนามสกุลของเราลงในใบเสร็จทุกครั้งที่ซื้อด้วย … privacy ของเราอยู่ที่ไหน !!
ปล3. ถ้าสังเกต code ที่ highlight ในรูปที่สอง จะพบว่าคนพัฒนาเอารหัสผ่านมาใส่ในช่อง input ที่มี type เป็น color !!!!! … มันก็ error เด๊ ….
November 8, 2016
RT @iKaew: [Blog] Security Risk : หลีกเลี่ยงการล็อกอินเข้าเว็บ starbuckscard ของประเทศไทย https://t.co/ADLO6Fw6E8
November 8, 2016
นี่ต้องฉีกใบเสร็จทุกครั้งหลังใช้บริการด้วยสินะ ฮาฮ่า
November 8, 2016
ใช่ 555+ ดูโรคจิตมากอ่ะ
November 8, 2016
ทดลองเปลี่ยน pass มันทำไม่ได้ด้วย
ขึ้น password not match ตลอด 55+
November 9, 2016
ต้องแก้ input type เป็น text ก่อนอะ
November 8, 2016
ในน้ำตามีความเงิบซ่อนอยู่
November 8, 2016
ดีแค่ไหนที่ไม่ได้tagด้วยมาว่ากับใคร
November 9, 2016
อันนี้ปัญหาส่วนตัวไก่ละมั้ง 555+
November 8, 2016
นี่ก็ไม่ชอบที่พิมพ์ชื่อลงไปในใบเสร็จ ของหลายๆ ที่เลย ต้องมานั่งฉีกทุกอันที่มีชื่ออยู่ 55
November 8, 2016
Titatitae Tae liked this on Facebook.
November 8, 2016
NamFon Fon liked this on Facebook.
November 8, 2016
Song Intouch liked this on Facebook.
November 8, 2016
Vipas Sutantayawalee liked this on Facebook.
November 8, 2016
Suradech Paul liked this on Facebook.
November 8, 2016
Krittidech Pomuang liked this on Facebook.
November 8, 2016
Nuengkhing Thekhing Naowaratthanakorn liked this on Facebook.
November 8, 2016
Peach Piriyaporn-Changmai liked this on Facebook.
November 8, 2016
Mac Piyawan liked this on Facebook.
November 8, 2016
Ploy Pattaraporn liked this on Facebook.
November 8, 2016
Pongpoj Promwongsakul liked this on Facebook.
November 8, 2016
Natty NaZza liked this on Facebook.
November 8, 2016
Nara Pond liked this on Facebook.
November 8, 2016
Pop Kitipong liked this on Facebook.
November 8, 2016
Mantkiez Ant liked this on Facebook.
November 8, 2016
Jester Da Hybeat liked this on Facebook.
November 8, 2016
Jirat Karnjanapratoom liked this on Facebook.
November 8, 2016
Kamon Laohasukpaisan liked this on Facebook.
November 9, 2016
เงิบบอ่ะ เติมตังไปหลายรอบ “_”
November 9, 2016
Pornvajana Kauwatnakul liked this on Facebook.
November 9, 2016
Ta Tu liked this on Facebook.
November 9, 2016
Mongkol Thongbai liked this on Facebook.
November 9, 2016
Nueng Mana liked this on Facebook.
November 9, 2016
Jomyuth Darly liked this on Facebook.
November 11, 2016
Sittichai Suksamai liked this on Facebook.