ตั้งค่า Apache Web Server ไม่ปลอดภัย ข้อมูลชาวบราซิลกว่า 120 ล้านคนรั่วสู่สาธารณะ

เมื่อเดือนมีนาคม 2018 ที่ผ่านมา นักวิจัยจาก InfoArmor ได้ค้นพบถึงกรณีข้อมูลเลขระบุตัวตนของชาวบราซิลกว่า 120 ล้านคนได้ถูกเปิดเผยสู่สาธารณะจากการตั้งค่า Apache Web Server ที่ไม่ดี นับเป็นข้อมูลของประชาชนเกินกว่าครึ่งหนึ่งของบราซิลเลยทีเดียว

Credit: ShutterStock.com

InfoArmor นั้นพบว่าหน้า index.html ใน Apache Web Server แห่งนี้ถูกเปลี่ยนชื่อเป็น index.html_bkp แทน ทำให้บุคคลภายนอกสามารถเข้าถึงข้อมูลทั้งหมดใน Directory บน Web Server นั้นๆ ได้ ซึ่งด้วยวิธีการนี้เองก็ทำให้บุคคลภายนอกสามารถเข้าถึงข้อมูลสำคัญของประชาชนชาวบราซิลกว่า 120 ล้านรายที่ถูกเก็บอยู่ภายในระบบได้

ข้อมูลดังกล่าวนี้เป็นข้อมูล ID Number ของ Cadastro de Pessoas Físicas (CPFs) ซึ่งเป็นค่า ID ที่ธนาคารกลางของบราซิลได้สร้างขึ้นมาสำหรับประชาชนและผู้เสียภาษีทุกคน

วิธีการแก้ไขปัญหาในกรณีนี้เบื้องต้นสามารถทำได้สองทาง ได้แก่ การไม่เปลี่ยนชื่อไฟล์ index.html หลักเด็ดขาด หรือการตั้งค่าใน .htaccess ให้ดี ซึ่งกรณีนี้ก็ต้องใช้เวลาประมาณ 1 สัปดาห์หลังจากที่ InfoArmor ไม่สามารถติดต่อกับเจ้าของระบบได้ กว่าที่ระบบจะถูกแก้ไข

กรณีนี้ถือว่าสร้างข้อกังขาให้กับผู้คนเป็นอย่างมาก ว่าข้อมูลที่มีความสำคัญสูงระดับนี้ถูกจัดเก็บอยู่บนเครื่อง Server ของหน่วยงานภายนอกและเปิดให้เข้าถึงได้แบบ Online ได้อย่างไร โดยที่ระบบเหล่านี้ขาดความมั่นคงปลอดภัยและไม่ได้ผ่านการทำ Compliance เลย

ที่มา: https://www.infosecurity-magazine.com/news/apache-misconfig-leaks-data-120/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

พบช่องโหว่ HTTP/2 ระดับ Implementation เสี่ยงถูกโจมตีแบบ DoS

Jonathan Looney จาก Netflix และ Piotr Sikora จาก Google ออกมาเปิดเผยถึงช่องโหว่ระดับ Implementation ของ HTTP/2 ซึ่งเป็นโปรโตคอล HTTP …

Firefox ออกแพตช์ช่องโหว่ใน Password Manager

สำหรับผู้ใช้งาน Firefox ทาง Mozilla ได้ทำการแพตช์อุดช่องโหว่ให้ Password Manager ซึ่งสามารถใช้ลัดผ่านการป้องกันของ Master Password ได้