Uber เลิกใช้ GitHub สำหรับโค้ดภายในแล้ว หลังเกิดเหตุข้อมูลรั่วไหลครั้งใหญ่ที่เป็นข่าวเมื่อปี 2017

Uber ได้ออกมาประกาศว่าเลิกใช้งาน GitHub สำหรับโค้ดที่ไม่ใช่โครงการ Open Source ของบริษัทแล้ว หลังจากที่ได้ออกมายอมรับถึงกรณี Data Breach ครั้งรุนแรงไปเมื่อปี 2017 ที่ผ่านมา

 

Credit: Uber

 

ทาง Uber ได้ยอมรับว่าที่ผ่านมานั้นได้ใช้งาน GitHub โดยไม่มีการทำ Multifactor Authentication ใดๆ จนเป็นสาเหตุหลักในการเกิดปัญหาข้อมูลของผู้ขับขี่และผู้ใช้งานรั่วไหลในครั้งนี้ โดยผู้ร้ายนั้นได้รับ AWS S3 Credential ของทาง Uber จากโค้ดบน GitHub นี้ ทำให้สามารถเข้าถึงข้อมูลดังกล่าวได้ ซ้ำร้ายทางผู้บริหารคนก่อนก็ยังได้จ่ายเงินค่าไถ่ให้กับผู้ที่ขโมยข้อมูลออกไป จนกลายเป็นเรื่องราวใหญ่โตเมื่อปี 2017 ที่ผ่านมา

หลังจากที่ Uber ทราบเป็นการภายในว่าข้อมูลของผู้ขับขี่และลูกค้ารั่วไหลออกไป ก็ได้มีการเปิดใช้งาน Multifactor Authentication ทันที พร้อมเปลี่ยน Credential ของ AWS เพื่อป้องกันไม่ให้ถูกเข้าถึงข้อมูลได้ซ้ำสอง ซึ่งทาง Uber ก็ได้ระบุว่าการรับมือครั้งนี้เกิดขึ้นภายในเวลาเพียง 24 ชั่วโมงหลังจากทราบเรื่องเท่านั้น และนโยบายของ Uber จึงหันไปสู่การเลิกใช้ GitHub สำหรับโค้ดส่วนอื่นๆ ทั้งหมดนอกเหนือจากโครงการ Open Source

นอกจากนี้ John Flynn ผู้ดำรงตำแหน่ง Chief Information Security แห่ง Uber ก็ยังได้ออกมาระบุด้วยว่าถึงแม้โครงการ Bug Bounty นั้นจะไม่สามารถช่วยรับมือได้ในกรณีที่ผู้โจมตีต้องการจะเรียกค่าไถ่จากธุรกิจ แต่ก็ถือว่ายังเป็นวิธีการหนึ่งที่จะช่วยรับประกันความปลอดภัยของข้อมูลลูกค้าที่มีอยู่ได้มากขึ้น อีกทั้งเขายังสำทับด้วยว่าการเรียกค่าไถ่นั้นไม่สมควรได้รับเงินค่าไถ่เลย

ส่วนทาง GitHub นั้นออกมาให้ความเห็นต่อกรณีนี้ว่า กรณีดังกล่าวไม่ใช่ความผิดพลาดด้าน Security ของ GitHub แต่ก็ไม่สามารถให้ข้อมูลต่อสื่อได้มากกว่านี้เพราะจะกระทบด้านความเป็นส่วนตัว โดยทาง GitHub นั้นแนะนำว่าไม่ควรทำการเก็บ Access Token, Password, Authentication Key หรือ Encryption Key เอาไว้ในโค้ดเลย ซึ่งถ้าหากต้องมีการนำข้อมูลเหล่านี้มาใช้ภายในโค้ดจริงๆ ก็ควรจะต้องหาวิธีการอื่นๆ เพื่อเสริมความมั่นคงปลอดภัยเพิ่มเติมด้วย

 

ที่มา: https://www.theregister.co.uk/2018/02/07/uber_quit_github_for_custom_code_after_2016_data_breach/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

พบมัลแวร์ ตัวใหม่ ‘EvilGnome’ มุ่งโจมตีผู้ใช้งานลีนุกซ์

นักวิจัยด้านความมั่นคงปลอดภัยจาก Intezer ได้ออกมาเปิดเผยการค้นพบ Backdoor ตัวใหม่ชื่อว่า ‘EvilGnome’ ซึ่งปลอมตัวเป็น Gnome Extension ทั้งนี้ยังมีความสามารถหลากหลาย เช่น ถ่ายภาพหน้าจอ ขโมยไฟล์ แอบบันทึกเสียงจากไมโครโฟน หรือเรียกดาวน์โหลดโมดูลอื่นเพิ่มเติม

Symantec ประกาศอัปเดตโซลูชันคลาวด์ใหม่เร่งตอบโจทย์ Zero Trust

Symantec ได้มีการอัปเดตโซลูชัน Cloud Access ใหม่เพื่อช่วยให้องค์กรสามารถตอบโจทย์ Zero Trust การใช้งานคลาวด์ อินเทอร์เน็ต และอีเมลได้อย่างมั่นใจ