นักข่าว BBC พบปัญหาบนบริการ Cloud ทำข้อมูล KPMG และ BBC รั่ว

นักข่าวจาก BBC ได้ค้นพบปัญหาทางด้านความมั่นคงปลอดภัยบนบริการ Cloud อย่าง Huddle ซึ่งทำให้ไฟล์ของผู้ใช้งานจาก KPMG และ BBC หลุดรั่วออกมา และประเด็นนี้ก็มีความน่าสนใจในเชิงเทคนิคอยู่ไม่น้อย

Credit: ShutterStock.com

 

Huddle นั้นเป็นบริการ Office Collaboration สำหรับให้พนักงานภายในองค์กรทำการแลกเปลี่ยนไฟล์และสื่อสารกันได้อย่างมั่นคงปลอดภัย แต่นักข่าว BBC รายนี้ได้ค้นพบปัญหาเมื่อเขาล็อกอินเข้าไปยัง Huddle เพื่อตรวจสอบ Calendar ของเพื่อนร่วมทีม แต่กลับถูก Redirect ไปยัง Account ของผู้ใช้งานรายอื่นซึ่งเป็นพนักงานของ KPMG แทน และสามารถเข้าถึงเอกสารทางด้านการเงินรวมถึงใบ Invoice ของ KPMG ได้

เมื่อเขาแจ้งปัญหานี้ไปยังทีมงานของ Huddle ทีมงานก็ได้อธิบายว่าเมื่อผู้ใช้งานทำการ Sign-in เข้าสู่ระบบ อุปกรณ์ของผู้ใช้งานนั้นจะทำการร้องขอ Authorization Code ซึ่งถ้าหากมีผู้ใช้งาน 2 คนทำการ Sign-in เข้าไปยัง Back-end Server เครื่องเดียวกันบน Cloud ภายในเวลาห่างกันไม่ถึง 20 Millisecond ผู้ใช้งานทั้งสองคนนั้นจะได้รับ Authorization Code เดียวกัน ซึ่งจะทำให้ผู้ใช้งานทั้ง 2 คนทำการยืนยันตัวตนเข้าไปยัง Account ของผู้ใช้งานคนแรก ถึงแม้ว่าผู้ใช้งานคนหลังไม่ควรจะมีสิทธิ์ก็ตาม และในที่นี้ก็ทำให้นักข่าว BBC รายนี้เข้าถึง Account ของพนักงาน KPMG ได้นั่นเอง

Huddle อ้างว่าบั๊กนี้ส่งผลกระทบต่อผู้ใช้งานจำนวนเพียง 6 Session เท่านั้นในช่วงเดือนมีนาคมถึงพฤศจิกายน 2017 ที่ผ่านมาจากจำนวนการ Log-in ทั้งสิ้น 4.96 ล้านครั้ง เรียกได้ว่าโอกาสเกิดขึ้นมีต่ำมาก แต่ Huddle ก็ได้เสริมด้วยว่าก่อนหน้านี้เคยมีผู้ใช้งานจากองค์กรอื่นสามารถ Log-in เข้าไปยัง Account ของ BBC ได้เช่นกัน แต่ไม่มีการเปิดไฟล์หรือเปิดอ่านข้อมูลใดๆ เกิดขึ้น

ล่าสุดทาง Huddle ได้ออกมาประกาศแล้วว่าบั๊กนี้ถูกแก้แล้วเรียบร้อย อย่างไรก็ดี Bill Evan จาก One Identity ที่ทำธุรกิจในสาย IT Security นั้นก็ได้ออกมาให้ความเห็นว่าบั๊กนี้เป็นปัญหาทางด้านความมั่นคงปลอดภัยที่ไม่ควรจะเกิดขึ้นกับบริษัทที่อ้างว่าบริการของตนเองมีความมั่นคงปลอดภัยสูง และลูกค้าของธุรกิจเหล่านี้ก็เป็นองค์กรใหญ่ระดับ KPMG ที่วางใจถึงขั้นนำข้อมูลความลับมาฝากเอาไว้บนบริการนี้เพื่อให้สื่อสารกันได้ง่ายขึ้น แต่เหตุการณ์นี้ก็อาจทำให้เกิดแรงต้านจากฝ่าย IT หรือ Infosec ของ KPMG ได้ ซึ่งเขาเองก็สันนิษฐานอีกว่ากรณีนี้จริงๆ แล้วอาจเป็น Shadow IT ที่เกิดขึ้นใน KPMG ก็เป็นได้เช่นกัน

เป็นบทเรียนว่าบั๊กเล็กๆ ถ้าเกิดกับนักข่าว เรื่องก็อาจไม่เล็กอีกต่อไปนะครับ

 

ที่มา: https://www.infosecurity-magazine.com/news/highly-secure-cloud-tool-huddle/





About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

VMware ออก Reference Architecture แนะนำการใช้งาน VMware Horizon 7 Enterprise Edition

VMware ออกเอกสาร Reference Architecture แนะนำการใช้งาน VMware Horizon 7 Enterprise Edition

5 โปรเจกต์ที่น่าจับตามองสำหรับ Data Science และ Machine Learning บน GitHub เดือนมกราคม 2018

GitHub นั้นถือเป็นเครื่องมือยอดฮิตสำหรับโปรแกรมเมอร์ซึ่งหลักๆ นั้นนำมาใช้เพื่อบริหารจัดการเวอร์ชันของโค้ดในโปรเจกต์ต่างๆ นอกจากนั้นยังสามารถเปิดแชร์ให้ผู้อื่นได้ รวมถึงผู้สนใจสามารถทำการผนวกโค้ด (Forking) เข้ามาในโปรเจกต์ใหม่ของตนเองได้ซึ่งยังสามารถรับการอัปเดตหากเจ้าของต้นฉบับนั้นมีการเปลี่ยนแปลงโค้ด ในหัวข้อนี้เราจะมาพาไปดูโปรเจกต์สำหรับชาว Data Science และ AI เจ๋งๆ ในเดือนมกราคมที่ผ่านมาได้รับชมกัน