Breaking News

Honda อินเดียตั้งค่า AWS S3 พลาด ข้อมูลลูกค้ากว่า 50,000 รายรั่วสู่สาธารณะ

อีกหนึ่งกรณีสำหรับการตั้งค่า AWS S3 Bubket ไม่มั่นคงปลอดภัย เมื่อ Kromtech Security บริษัทที่ปรึกษาด้านความมั่นคงปลอดภัยออกมาเปิดเผยว่า ข้อมูลส่วนบุคคลของลูกค้า Honda ประเทศอินเดียกว่า 50,000 รายสามารถเข้าถึงได้จากสาธารณะ

Credit: HondaCarIndia.com

Kromtech ระบุว่า ข้อมูลลูกค้าที่รั่วออกมานั้น เป็นข้อมูลผู้ใช้ที่ทำการดาวน์โหลดและติดตั้ง Honda Connect ซึ่งเป็นแอปพลิเคชันบนอุปกรณ์พกพาที่พัฒนาโดย Honda Car India สำหรับช่วยให้ผู้ใช้สามารถบริหารจัดการรถยนต์อัจฉริยะของตนได้ รวมไปถึงเชื่อมต่อกับบริการอื่นๆ ของ Honda Car India

จนถึงตอนนี้ Honda Connect ได้เก็บรวบรวมข้อมูลส่วนบุคคลของลูกค้า Honda อินเดียจำนวนมากจากการดาวน์โหลดแอปพลิเคชันมันมากกว่า 1,000,000 ครั้ง ซึ่ง Kromtech ระบุว่า ข้อมูลที่รั่วสู่สาธารณะนั้นประกอบด้วย ชื่อ เพศ เบอร์โทร อีเมล รหัสผ่านบัญชี Car VIN และ Car Connect ID

อย่างไรก็ตาม Kromtech ไม่ใช่คนแรกที่พบว่า AWS S3 Bucket ของ Honda อินเดียตั้งค่าการเข้าถึงผิดพลาด เนื่องจากพบว่าใน S3 Bucket มีไฟล์ที่ชื่อว่า poc.txt อยู่ ไฟล์ดังกล่าวถูกสร้างขึ้นโดยอัตโนมัติโดยนักวิจัยด้านความมั่นคงปลอดภัยที่ชื่อว่า Robbie Wiggins ซึ่งคอยสแกนอินเทอร์เน็ตทั่วโลกเพื่อค้นหาว่ามีใครตั้งค่า AWS S3 Bucket ผิดพลาดบ้าง พร้อมทำการแจ้งเตือนก่อนที่จะถูกผู้ไม่ประสงค์ดีโจมตีหรือขโมยข้อมูล จากการตรวจสอบ Timestamp พบกว่าไฟล์ poc.txt ถูกสร้างขึ้นเมื่อวันที่ 28 กุมภาพันธ์ 2018 หรือก็คือประมาณ 3 เดือนก่อนหน้านี้

Kromtech ได้แจ้งปัญหาที่ค้นพบไปยัง Honda อินเดีย ซึ่งก็ได้ทำการปิดสิทธิ์เข้าถึงจากสาธารณะเป็นที่เรียบร้อย แต่จนถึงตอนนี้ยังไม่ทราบแน่ชัดว่าข้อมูลที่รั่วออกมานี้ถูกใครนำไปใช้ประโยชน์หรือไม่

ที่มา: https://www.bleepingcomputer.com/news/security/honda-india-left-details-of-50-000-customers-exposed-on-an-aws-s3-server/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

LastPass ออกแพตช์ช่องโหว่เสี่ยงถูกขโมย Credential แนะควรอัปเดต

สำหรับผู้ใช้งาน LastPass บน Chrome และ Opera ได้มีการประกาศออกแพตช์ให้ช่องโหว่ที่นำไปสู่การขโมย Credential จึงแนะนำให้ผู้ใช้งานเร่งอัปเดต

Oracle ประกาศออก Autonomous Linux ต้อนรับยุคใหม่ของ Cloud

ที่งาน Oracle OpenWorld ทาง Larry Ellison, CEO ใหญ่ของ Oracle ได้ออกมาประกาศถึง Autonomous Linux ที่เชื่อว่าความเป็นอัตโนมัติคือทางของ Cloud ยุคใหม่ …