Breaking News

Uber เลิกใช้ GitHub สำหรับโค้ดภายในแล้ว หลังเกิดเหตุข้อมูลรั่วไหลครั้งใหญ่ที่เป็นข่าวเมื่อปี 2017

Uber ได้ออกมาประกาศว่าเลิกใช้งาน GitHub สำหรับโค้ดที่ไม่ใช่โครงการ Open Source ของบริษัทแล้ว หลังจากที่ได้ออกมายอมรับถึงกรณี Data Breach ครั้งรุนแรงไปเมื่อปี 2017 ที่ผ่านมา

 

Credit: Uber

 

ทาง Uber ได้ยอมรับว่าที่ผ่านมานั้นได้ใช้งาน GitHub โดยไม่มีการทำ Multifactor Authentication ใดๆ จนเป็นสาเหตุหลักในการเกิดปัญหาข้อมูลของผู้ขับขี่และผู้ใช้งานรั่วไหลในครั้งนี้ โดยผู้ร้ายนั้นได้รับ AWS S3 Credential ของทาง Uber จากโค้ดบน GitHub นี้ ทำให้สามารถเข้าถึงข้อมูลดังกล่าวได้ ซ้ำร้ายทางผู้บริหารคนก่อนก็ยังได้จ่ายเงินค่าไถ่ให้กับผู้ที่ขโมยข้อมูลออกไป จนกลายเป็นเรื่องราวใหญ่โตเมื่อปี 2017 ที่ผ่านมา

หลังจากที่ Uber ทราบเป็นการภายในว่าข้อมูลของผู้ขับขี่และลูกค้ารั่วไหลออกไป ก็ได้มีการเปิดใช้งาน Multifactor Authentication ทันที พร้อมเปลี่ยน Credential ของ AWS เพื่อป้องกันไม่ให้ถูกเข้าถึงข้อมูลได้ซ้ำสอง ซึ่งทาง Uber ก็ได้ระบุว่าการรับมือครั้งนี้เกิดขึ้นภายในเวลาเพียง 24 ชั่วโมงหลังจากทราบเรื่องเท่านั้น และนโยบายของ Uber จึงหันไปสู่การเลิกใช้ GitHub สำหรับโค้ดส่วนอื่นๆ ทั้งหมดนอกเหนือจากโครงการ Open Source

นอกจากนี้ John Flynn ผู้ดำรงตำแหน่ง Chief Information Security แห่ง Uber ก็ยังได้ออกมาระบุด้วยว่าถึงแม้โครงการ Bug Bounty นั้นจะไม่สามารถช่วยรับมือได้ในกรณีที่ผู้โจมตีต้องการจะเรียกค่าไถ่จากธุรกิจ แต่ก็ถือว่ายังเป็นวิธีการหนึ่งที่จะช่วยรับประกันความปลอดภัยของข้อมูลลูกค้าที่มีอยู่ได้มากขึ้น อีกทั้งเขายังสำทับด้วยว่าการเรียกค่าไถ่นั้นไม่สมควรได้รับเงินค่าไถ่เลย

ส่วนทาง GitHub นั้นออกมาให้ความเห็นต่อกรณีนี้ว่า กรณีดังกล่าวไม่ใช่ความผิดพลาดด้าน Security ของ GitHub แต่ก็ไม่สามารถให้ข้อมูลต่อสื่อได้มากกว่านี้เพราะจะกระทบด้านความเป็นส่วนตัว โดยทาง GitHub นั้นแนะนำว่าไม่ควรทำการเก็บ Access Token, Password, Authentication Key หรือ Encryption Key เอาไว้ในโค้ดเลย ซึ่งถ้าหากต้องมีการนำข้อมูลเหล่านี้มาใช้ภายในโค้ดจริงๆ ก็ควรจะต้องหาวิธีการอื่นๆ เพื่อเสริมความมั่นคงปลอดภัยเพิ่มเติมด้วย

 

ที่มา: https://www.theregister.co.uk/2018/02/07/uber_quit_github_for_custom_code_after_2016_data_breach/




About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Azure ประกาศฟีเจอร์ตรวจจับ Fileless Attack ด้วย Security Center เข้าสู่สถานะ GA แล้ว

Fileless Attack เป็นวิธีการโจมตีสมัยใหม่ที่ได้รับความนิยมเป็นอย่างมากเพราะช่วยให้สามารถหลีกเลี่ยงการตรวจจับของ Antivirus หรือกลไกการตรวจสอบแบบเดิมซึ่งตอนนี้ทาง Azure ได้พัฒนาความสามารถบน Security Center ให้ตรวจจับการโจมตีชนิดนี้ได้และได้ประกาศเป็นสถานะพร้อมใช้งานจริงแล้ว

Atlassian ยกเครื่อง Jira Software ใหม่เน้นความง่ายในการใช้งาน

Atlassian เจ้าของซอฟต์แวร์ Jira หรือเครื่องมือติดตามการพัฒนาโปรเจ็คด้านซอฟต์แวร์ได้ยกเครื่อง Jira ใหม่โดยเน้นตอบโจทย์ด้าน User Experience ด้วยการเน้นดีไซน์ให้ผู้ใช้สามารถเข้าใจได้ง่ายมากกว่าเดิม รวมถึงได้ออกแบบ Back-end Stack ใหม่ด้วยเช่นกัน