Breaking News

พบช่องโหว่บน PwnedList เสี่ยงข้อมูลล็อกอินรั่วไหลกว่า 866 ล้านรายการ

Bob Hodges วิศวกรระบบจาก Livingston Educational Service Agency รัฐมิชิแกนออกมาเปิดเผยถึงช่องโหว่บนบริการของ PwnedList.com ที่อาจทำให้เกิดการรั่วไหลของข้อมูล Account Credential มากกว่า 866 ล้านรายการ

PwnedList เป็นบริการที่ช่วยให้ผู้ดูแลระบบสามารถตรวจสอบได้ว่าข้อมูลล็อกอิน เช่น Username และ Password ของบริษัทรั่วไหลสู่สาธารณะหรือไม่ เพื่อให้บริษัทแจ้งเตือนผู้ใช้ได้ทันท่วงทีเมื่อระบบถูกเจาะและข้อมูล็อกอินถูกขโมยออกไป

ช่องโหว่ที่ Hodges ค้นพบคือ Parameter Tampering ซึ่งเป็นช่องโหว่ที่ช่วยให้แฮ็คเกอร์สามารถแก้ไข Request เพื่อคอยสอดส่องข้อมูลที่รั่วไหลออกมาจากแต่ละโดเมนได้ Hodges ได้รายงานเรื่องช่องโหว่นี้ต่อไปยัง KrebsonSecurity.com ซึ่งก็ได้ทำการ POC ตามสิ่งที่ Hodges ค้นพบ ผลลัพธ์คือ Krebs (เจ้าของเว็บ) ได้รับข้อมูลการแจ้งเตือนซึ่งระบุว่า Username และ Password ของพนักงาน Apple ถูกแฮ็คไปกว่า 10,000 รายการจนถึงปัจจุบัน โดยที่ตัว Krebs เองไม่ได้มีส่วนเกี่ยวข้องกับ Apple แต่อย่างใด แต่ยังถือว่าโชคดีที่ข้อมูลดังกล่าวไม่ได้ระบุรายละเอียดข้อมูลส่วนบุคคลหรือข้อมูลของ Subscriber

pwnedlist_vulnerability_2

เพื่อแสดงความรับผิดชอบต่อเหตุการณ์ดังกล่าว PwnedList ตัดสินใจออฟไลน์ตัวเอง แล้วแสดงหน้าแถลงการณ์ซึ่งระบุว่าจะปลดระวางบริการในวันที่ 16 พฤษภาคมนี้

pwnedlist_vulnerability_1

ที่มา: http://www.theregister.co.uk/2016/05/03/pwnedlist_pwned/



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

รัฐบาลไต้หวันสั่งแบน Zoom จากประเด็นด้านความมั่นคงปลอดภัย

ไต้หวันสั่งห้ามหน่วยงานรัฐทุกแห่งใช้ Zoom ระบบ Video Conference ยอดนิยมหลังจากมีประเด็นเรื่องความมั่นคงปลอดภัยและความเป็นส่วนบุคคลถูกเปิดเผยออกมาเป็นจำนวนมาก นับเป็นรัฐบาลแรกที่ออกประกาศแบนการใช้ Zoom ในขณะนี้

Fortinet เปิดให้ดาวน์โหลด FortiClient 6.0 แบบ Standalone ฟรี

ในสถานการณ์ที่ COVID-19 กำลังแพร่ระบาดอยู่ในขณะนี้ หลายบริษัทเริ่มมีมาตรการให้พนักงานสามารถทำงานจากที่บ้าน (Work from Home) ได้ เพื่อช่วยยกระดับการรักษาความมั่นคงปลอดภัยของอุปกรณ์คอมพิวเตอร์ของพนักงาน ไม่ว่าจะเป็น Windows, MAC หรือ Linux ให้ดียิ่งขึ้น …