Breaking News

Uber เลิกใช้ GitHub สำหรับโค้ดภายในแล้ว หลังเกิดเหตุข้อมูลรั่วไหลครั้งใหญ่ที่เป็นข่าวเมื่อปี 2017

Uber ได้ออกมาประกาศว่าเลิกใช้งาน GitHub สำหรับโค้ดที่ไม่ใช่โครงการ Open Source ของบริษัทแล้ว หลังจากที่ได้ออกมายอมรับถึงกรณี Data Breach ครั้งรุนแรงไปเมื่อปี 2017 ที่ผ่านมา

 

Credit: Uber

 

ทาง Uber ได้ยอมรับว่าที่ผ่านมานั้นได้ใช้งาน GitHub โดยไม่มีการทำ Multifactor Authentication ใดๆ จนเป็นสาเหตุหลักในการเกิดปัญหาข้อมูลของผู้ขับขี่และผู้ใช้งานรั่วไหลในครั้งนี้ โดยผู้ร้ายนั้นได้รับ AWS S3 Credential ของทาง Uber จากโค้ดบน GitHub นี้ ทำให้สามารถเข้าถึงข้อมูลดังกล่าวได้ ซ้ำร้ายทางผู้บริหารคนก่อนก็ยังได้จ่ายเงินค่าไถ่ให้กับผู้ที่ขโมยข้อมูลออกไป จนกลายเป็นเรื่องราวใหญ่โตเมื่อปี 2017 ที่ผ่านมา

หลังจากที่ Uber ทราบเป็นการภายในว่าข้อมูลของผู้ขับขี่และลูกค้ารั่วไหลออกไป ก็ได้มีการเปิดใช้งาน Multifactor Authentication ทันที พร้อมเปลี่ยน Credential ของ AWS เพื่อป้องกันไม่ให้ถูกเข้าถึงข้อมูลได้ซ้ำสอง ซึ่งทาง Uber ก็ได้ระบุว่าการรับมือครั้งนี้เกิดขึ้นภายในเวลาเพียง 24 ชั่วโมงหลังจากทราบเรื่องเท่านั้น และนโยบายของ Uber จึงหันไปสู่การเลิกใช้ GitHub สำหรับโค้ดส่วนอื่นๆ ทั้งหมดนอกเหนือจากโครงการ Open Source

นอกจากนี้ John Flynn ผู้ดำรงตำแหน่ง Chief Information Security แห่ง Uber ก็ยังได้ออกมาระบุด้วยว่าถึงแม้โครงการ Bug Bounty นั้นจะไม่สามารถช่วยรับมือได้ในกรณีที่ผู้โจมตีต้องการจะเรียกค่าไถ่จากธุรกิจ แต่ก็ถือว่ายังเป็นวิธีการหนึ่งที่จะช่วยรับประกันความปลอดภัยของข้อมูลลูกค้าที่มีอยู่ได้มากขึ้น อีกทั้งเขายังสำทับด้วยว่าการเรียกค่าไถ่นั้นไม่สมควรได้รับเงินค่าไถ่เลย

ส่วนทาง GitHub นั้นออกมาให้ความเห็นต่อกรณีนี้ว่า กรณีดังกล่าวไม่ใช่ความผิดพลาดด้าน Security ของ GitHub แต่ก็ไม่สามารถให้ข้อมูลต่อสื่อได้มากกว่านี้เพราะจะกระทบด้านความเป็นส่วนตัว โดยทาง GitHub นั้นแนะนำว่าไม่ควรทำการเก็บ Access Token, Password, Authentication Key หรือ Encryption Key เอาไว้ในโค้ดเลย ซึ่งถ้าหากต้องมีการนำข้อมูลเหล่านี้มาใช้ภายในโค้ดจริงๆ ก็ควรจะต้องหาวิธีการอื่นๆ เพื่อเสริมความมั่นคงปลอดภัยเพิ่มเติมด้วย

 

ที่มา: https://www.theregister.co.uk/2018/02/07/uber_quit_github_for_custom_code_after_2016_data_breach/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Fortinet เปิดตัว FortiGate 60F พร้อมชิปประมวลผล SOC4 เพิ่มสมรรถนะ SD-WAN ให้ถึงขีดสุด

Fortinet ผู้ให้บริการโซลูชันด้านความมั่นคงปลอดภัยประสิทธิภาพสูง ประกาศเปิดตัว FortiGate 60F ที่มาพร้อมกับชิปประมวลผล SOC4 สำหรับเพิ่มประสิทธิภาพการเชื่อมต่อ SD-WAN ไปอีกขั้น ในขณะที่ Throughput การใช้งานสูงกว่าคู่แข่งอื่นในท้องตลาดถึง 17 เท่า

เตือนช่องโหว่บนชิป Qualcomm ผู้ใช้ Android เสี่ยงถูกขโมยข้อมูล

Check Point ผู้ให้บริการโซลูชันด้านความมั่นคงปลอดภัยยักษ์ใหญ่ของโลก ออกมาแจ้งเตือนถึงช่องโหว่บน Chipset ของ Qualcomm ที่ใช้งานบนสมาร์ตโฟนและแท็บเล็ตของ Android ซึ่งช่วยให้แฮ็กเกอร์สามารถขโมยข้อมูลสำคัญ แม้ว่าจะถูกจัดเก็บอยู่ในพื้นที่ที่มีการป้องกันเป็นอย่างดีของอุปกรณ์ได้