พบช่องโหว่บน PwnedList เสี่ยงข้อมูลล็อกอินรั่วไหลกว่า 866 ล้านรายการ

Bob Hodges วิศวกรระบบจาก Livingston Educational Service Agency รัฐมิชิแกนออกมาเปิดเผยถึงช่องโหว่บนบริการของ PwnedList.com ที่อาจทำให้เกิดการรั่วไหลของข้อมูล Account Credential มากกว่า 866 ล้านรายการ

PwnedList เป็นบริการที่ช่วยให้ผู้ดูแลระบบสามารถตรวจสอบได้ว่าข้อมูลล็อกอิน เช่น Username และ Password ของบริษัทรั่วไหลสู่สาธารณะหรือไม่ เพื่อให้บริษัทแจ้งเตือนผู้ใช้ได้ทันท่วงทีเมื่อระบบถูกเจาะและข้อมูล็อกอินถูกขโมยออกไป

ช่องโหว่ที่ Hodges ค้นพบคือ Parameter Tampering ซึ่งเป็นช่องโหว่ที่ช่วยให้แฮ็คเกอร์สามารถแก้ไข Request เพื่อคอยสอดส่องข้อมูลที่รั่วไหลออกมาจากแต่ละโดเมนได้ Hodges ได้รายงานเรื่องช่องโหว่นี้ต่อไปยัง KrebsonSecurity.com ซึ่งก็ได้ทำการ POC ตามสิ่งที่ Hodges ค้นพบ ผลลัพธ์คือ Krebs (เจ้าของเว็บ) ได้รับข้อมูลการแจ้งเตือนซึ่งระบุว่า Username และ Password ของพนักงาน Apple ถูกแฮ็คไปกว่า 10,000 รายการจนถึงปัจจุบัน โดยที่ตัว Krebs เองไม่ได้มีส่วนเกี่ยวข้องกับ Apple แต่อย่างใด แต่ยังถือว่าโชคดีที่ข้อมูลดังกล่าวไม่ได้ระบุรายละเอียดข้อมูลส่วนบุคคลหรือข้อมูลของ Subscriber

เพื่อแสดงความรับผิดชอบต่อเหตุการณ์ดังกล่าว PwnedList ตัดสินใจออฟไลน์ตัวเอง แล้วแสดงหน้าแถลงการณ์ซึ่งระบุว่าจะปลดระวางบริการในวันที่ 16 พฤษภาคมนี้

ที่มา: http://www.theregister.co.uk/2016/05/03/pwnedlist_pwned/