Breaking News

Uber เลิกใช้ GitHub สำหรับโค้ดภายในแล้ว หลังเกิดเหตุข้อมูลรั่วไหลครั้งใหญ่ที่เป็นข่าวเมื่อปี 2017

Uber ได้ออกมาประกาศว่าเลิกใช้งาน GitHub สำหรับโค้ดที่ไม่ใช่โครงการ Open Source ของบริษัทแล้ว หลังจากที่ได้ออกมายอมรับถึงกรณี Data Breach ครั้งรุนแรงไปเมื่อปี 2017 ที่ผ่านมา

 

Credit: Uber

 

ทาง Uber ได้ยอมรับว่าที่ผ่านมานั้นได้ใช้งาน GitHub โดยไม่มีการทำ Multifactor Authentication ใดๆ จนเป็นสาเหตุหลักในการเกิดปัญหาข้อมูลของผู้ขับขี่และผู้ใช้งานรั่วไหลในครั้งนี้ โดยผู้ร้ายนั้นได้รับ AWS S3 Credential ของทาง Uber จากโค้ดบน GitHub นี้ ทำให้สามารถเข้าถึงข้อมูลดังกล่าวได้ ซ้ำร้ายทางผู้บริหารคนก่อนก็ยังได้จ่ายเงินค่าไถ่ให้กับผู้ที่ขโมยข้อมูลออกไป จนกลายเป็นเรื่องราวใหญ่โตเมื่อปี 2017 ที่ผ่านมา

หลังจากที่ Uber ทราบเป็นการภายในว่าข้อมูลของผู้ขับขี่และลูกค้ารั่วไหลออกไป ก็ได้มีการเปิดใช้งาน Multifactor Authentication ทันที พร้อมเปลี่ยน Credential ของ AWS เพื่อป้องกันไม่ให้ถูกเข้าถึงข้อมูลได้ซ้ำสอง ซึ่งทาง Uber ก็ได้ระบุว่าการรับมือครั้งนี้เกิดขึ้นภายในเวลาเพียง 24 ชั่วโมงหลังจากทราบเรื่องเท่านั้น และนโยบายของ Uber จึงหันไปสู่การเลิกใช้ GitHub สำหรับโค้ดส่วนอื่นๆ ทั้งหมดนอกเหนือจากโครงการ Open Source

นอกจากนี้ John Flynn ผู้ดำรงตำแหน่ง Chief Information Security แห่ง Uber ก็ยังได้ออกมาระบุด้วยว่าถึงแม้โครงการ Bug Bounty นั้นจะไม่สามารถช่วยรับมือได้ในกรณีที่ผู้โจมตีต้องการจะเรียกค่าไถ่จากธุรกิจ แต่ก็ถือว่ายังเป็นวิธีการหนึ่งที่จะช่วยรับประกันความปลอดภัยของข้อมูลลูกค้าที่มีอยู่ได้มากขึ้น อีกทั้งเขายังสำทับด้วยว่าการเรียกค่าไถ่นั้นไม่สมควรได้รับเงินค่าไถ่เลย

ส่วนทาง GitHub นั้นออกมาให้ความเห็นต่อกรณีนี้ว่า กรณีดังกล่าวไม่ใช่ความผิดพลาดด้าน Security ของ GitHub แต่ก็ไม่สามารถให้ข้อมูลต่อสื่อได้มากกว่านี้เพราะจะกระทบด้านความเป็นส่วนตัว โดยทาง GitHub นั้นแนะนำว่าไม่ควรทำการเก็บ Access Token, Password, Authentication Key หรือ Encryption Key เอาไว้ในโค้ดเลย ซึ่งถ้าหากต้องมีการนำข้อมูลเหล่านี้มาใช้ภายในโค้ดจริงๆ ก็ควรจะต้องหาวิธีการอื่นๆ เพื่อเสริมความมั่นคงปลอดภัยเพิ่มเติมด้วย

 

ที่มา: https://www.theregister.co.uk/2018/02/07/uber_quit_github_for_custom_code_after_2016_data_breach/



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

แฮ็กเกอร์เอาคืนเจาะเข้าเซิร์ฟเวอร์บริการ Data Breach Detection ขโมยฐานข้อมูลจำนวนมากมาเปิดเผย

เกิดเหตุแฮ็กเกอร์กลุ่มหนึ่งที่สามารถเจาะเข้าไปยังเซิร์ฟเวอร์ของบริการ Data Leak Detection ของบริษัท Night Lion Security โดยคนร้ายอ้างว่าได้ขโมยฐานข้อมูล Data Breach กว่า 8,200 ฐานข้อมูลออกมาได้

[Guest Post] วีเอ็มแวร์ย้ำความสำเร็จผู้นำด้านทรานฟอร์เมชัน เสริมแกร่งอีโคซิสเต็มส์ของพาร์ทเนอร์ทั่วภูมิภาคเอเชียตะวันออกเฉียงใต้และประเทศเกาหลี

วีเอ็มแวร์ ผู้นำด้านการสร้างสรรค์นวัตกรรมซอฟต์แวร์ระดับองค์กร วีเอ็มแวร์มุ่งมั่นเสริมสร้างความแข็งแกร่งให้กับอีโคซิสเต็มส์ของพาร์ทเนอร์ทั่วภูมิภาคเอเชียตะวันออกเฉียงใต้และเกาหลี (SEAK) พร้อมประกาศความสำเร็จของ EMPOWER Online APJ  งานเวอร์ชวลคอนเฟอร์เรนซ์สำหรับอีโคซิสเต็มส์พาร์ทเนอร์ของวีเอ็มแวร์ ที่มีผู้สนใจเข้าร่วมกว่า 1,200 คน จากทั่วทั้งภูมิภาคเอเชียแปซิฟิกและญี่ปุ่น โดยงานครั้งนี้จัดขึ้นภายใต้วัตถุประสงค์ เพื่อร่วมพูดคุยแบ่งปันเทรนด์ …