เว็บ Microsoft Careers มีช่องโหว่ให้โจมตี Database ได้ Microsoft แก้ไขแล้ว

Chris Vickery นักวิจัยทางด้านความปลอดภัยที่ออกมาเปิดเผยช่องโหว่ต่างๆ มากมาย คราวนี้ได้ออกมาเปิดเผยถึงช่องโหว่บนเว็บไซต์ Microsoft Career ในส่วนที่เป็น Mobile Site ว่ามีการตั้งค่าของ MongoDB ที่ไม่ปลอดภัยเพียงพอ ทำให้ผู้โจมตีสามารถเข้าถึงฐานข้อมูลที่บันทึกอยู่ภายใน MongoDB ได้โดยไม่ต้องมีการยืนยันตัวตนแต่อย่างใด อีกทั้งยังสามารถเขียนข้อมูลลงไปเพื่อทำการแก้ไขได้อีกด้วย ส่งผลให้การส่งข้อมูล HTML ที่สร้างขึ้นมาเพื่อทำการโจมตีโดยเฉพาะประสบความสำเร็จได้ และนำไปสู่การโจมตีแบบ Watering Hole ต่อไป

Credit: ShutterStock.com
Credit: ShutterStock.com

ทาง Chris Vickery ได้ทำการแจ้งไปยังทีมงาน Punchkick ผู้รับผิดชอบงานดูแลระบบนี้ให้กับ Microsoft เพื่อทำการแก้ไขช่องโหว่ไปเรียบร้อยแล้ว และ Punchkick เองก็ไม่ได้ดูแลเพียงเว็บนี้เว็บเดียวเท่านั้น แต่มีเว็บอื่นๆ อีกจำนวนมากด้วย ในขณะเดียวกันงานวิจัยอื่นๆ ก็ชี้ว่าไม่ได้มีแต่ MongoDB เท่านั้นที่มีปัญหาเรื่องการตั้งค่าใช้งานอย่างไม่ปลอดภัย แต่ Redis, CouchDB, Cassandra และ Riak เองก็เช่นกัน

ดังนั้นใครทำงานดูแลพวกระบบเว็บไซต์ ยังไงก็ต้องให้ความสำคัญกับเรื่องความปลอดภัยของข้อมูลสำคัญเหล่านี้เอาไว้เป็นอันดับต้นๆ นะครับ

ที่มา: http://www.networkworld.com/article/3033139/security/database-for-microsoft-careers-mobile-site-was-leaking-data-vulnerable-to-attack.html#tk.rss_all , https://mackeeper.com/blog/post/188-microsoft-careers-site-was-vulnerable-to-attack

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Tenable จับมือ Anthropic เข้าร่วม “Project Glasswing” ยกระดับการป้องกันไซเบอร์ในยุค AI [Guest Post]

การเข้าร่วม Project Glasswing และการได้ร่วมทำงานกับ Claude Mythos Preview ในครั้งนี้ จะช่วยให้ Tenable สามารถสนับสนุนลูกค้าให้เข้าใจพฤติกรรมของโมเดล AI ระดับแนวหน้า (Frontier AI) …

Amazon เตรียมปลดระวาง Mechanical Turk ไม่รับผู้ใช้งานเพิ่มแล้ว

Amazon Web Services (AWS) ได้ยุติการรับลูกค้าใหม่สำหรับบริการที่มีอายุเก่าแก่หลายทศวรรษอย่าง Mechanical Turk เป็นที่เรียบร้อยแล้ว ซึ่งนับเป็นสัญญาณเตือนถึงจุดสิ้นสุดของแพลตฟอร์มตลาดแรงงานแบบคราวด์ซอร์สรุ่นบุกเบิกนี้