พบช่องโหว่บน PwnedList เสี่ยงข้อมูลล็อกอินรั่วไหลกว่า 866 ล้านรายการ

Bob Hodges วิศวกรระบบจาก Livingston Educational Service Agency รัฐมิชิแกนออกมาเปิดเผยถึงช่องโหว่บนบริการของ PwnedList.com ที่อาจทำให้เกิดการรั่วไหลของข้อมูล Account Credential มากกว่า 866 ล้านรายการ

PwnedList เป็นบริการที่ช่วยให้ผู้ดูแลระบบสามารถตรวจสอบได้ว่าข้อมูลล็อกอิน เช่น Username และ Password ของบริษัทรั่วไหลสู่สาธารณะหรือไม่ เพื่อให้บริษัทแจ้งเตือนผู้ใช้ได้ทันท่วงทีเมื่อระบบถูกเจาะและข้อมูล็อกอินถูกขโมยออกไป

ช่องโหว่ที่ Hodges ค้นพบคือ Parameter Tampering ซึ่งเป็นช่องโหว่ที่ช่วยให้แฮ็คเกอร์สามารถแก้ไข Request เพื่อคอยสอดส่องข้อมูลที่รั่วไหลออกมาจากแต่ละโดเมนได้ Hodges ได้รายงานเรื่องช่องโหว่นี้ต่อไปยัง KrebsonSecurity.com ซึ่งก็ได้ทำการ POC ตามสิ่งที่ Hodges ค้นพบ ผลลัพธ์คือ Krebs (เจ้าของเว็บ) ได้รับข้อมูลการแจ้งเตือนซึ่งระบุว่า Username และ Password ของพนักงาน Apple ถูกแฮ็คไปกว่า 10,000 รายการจนถึงปัจจุบัน โดยที่ตัว Krebs เองไม่ได้มีส่วนเกี่ยวข้องกับ Apple แต่อย่างใด แต่ยังถือว่าโชคดีที่ข้อมูลดังกล่าวไม่ได้ระบุรายละเอียดข้อมูลส่วนบุคคลหรือข้อมูลของ Subscriber

pwnedlist_vulnerability_2

เพื่อแสดงความรับผิดชอบต่อเหตุการณ์ดังกล่าว PwnedList ตัดสินใจออฟไลน์ตัวเอง แล้วแสดงหน้าแถลงการณ์ซึ่งระบุว่าจะปลดระวางบริการในวันที่ 16 พฤษภาคมนี้

pwnedlist_vulnerability_1

ที่มา: http://www.theregister.co.uk/2016/05/03/pwnedlist_pwned/

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Tenable จับมือ Anthropic เข้าร่วม “Project Glasswing” ยกระดับการป้องกันไซเบอร์ในยุค AI [Guest Post]

การเข้าร่วม Project Glasswing และการได้ร่วมทำงานกับ Claude Mythos Preview ในครั้งนี้ จะช่วยให้ Tenable สามารถสนับสนุนลูกค้าให้เข้าใจพฤติกรรมของโมเดล AI ระดับแนวหน้า (Frontier AI) …

[Video] WatchGuard Webinar : Zero Trust Made Simple

ในอดีต การวางระบบ Zero Trust Architecture มักถูกมองว่าเป็น ‘ยาขม’ ของฝ่ายไอทีและองค์กรจำนวนมาก เพราะแนวคิดที่ต้อง ‘ไม่เชื่อใจใคร และต้องตรวจสอบเสมอ’ นั้น มักตามมาด้วยความซับซ้อนยุ่งเหยิงในการบริหารจัดการ ในงาน WatchGuard Webinar ครั้งนี้ท่านจะได้รับชมกับแนวทางที่ทำให้ Zero Trust …