ต่อเนื่องจากกระทู้ก่อนหน้านี้
http://ppantip.com/topic/31916631
เมื่อวานหลังไมค์ไปถามหลายๆธนาคาร เรื่อง HeartBleed และแนะนำไปว่าควรทำอะไร
ได้รับคำตอบมาล่ะ แล้วก็อย่างที่คาด ดูเหมือน จนท. รับเรื่องไม่เข้าใจว่าความเสี่ยงที่เรากังวลคืออะไร
มีแต่คนนึกว่า แค่แก้ bug นี้เสร็จ แล้วก็จบเรื่องได้โดยไม่ต้องทำอะไรเพิ่ม
พวกเขาไม่รู้ว่าต้องแจ้งให้ผู้ใช้งานต้องเปลี่ยน password ด้วย และอย่างคาด เข้าไปตามหน้าเว็บ ก็ยังไม่มี pop-up แจ้งเตือนอะไรพวกนี้
คนรับเรื่องทำงานชุ่ย, หรือถ้าเขาไปถามแผนก IT แล้วได้รับคำตอบมาแบบนี้ ฝ่าย IT นี่ก็ถือว่าไม่ไหวเหมือนกัน - -a และทำให้เห็นว่า ธนาคารในไทย ระดับความปลอดภัยด้านนี้ไม่ค่อยดีเลย
สำหรับผมตอนนี้ สงสัยต้องเอาตัวรอดล่ะ ธนาคาร ทำเป็นไม่รู้เรื่องแบบนี้
=== จากการตรวจสอบ เว็บ e-banking หลายๆอัน ได้ผลลัพธ์ ณ ปัจจุบันตามนี้ ====
กรุงศรี << เพิ่งเปลี่ยน Cert วันที่ 16 Apr, แนะนำให้เปลี่ยน password !!
กรุงไทย << เหมือนเพิ่งเปลี่ยน Cert ใหม่, แนะนำให้เปลี่ยน password !!
ทหารไทย << Cert ปัจจุบัน 9 Oct 2012, บอกไม่ได้ว่าใช้ OpenSSL หรือไม่, แต่ปัจจุบันไม่พบ Bug นี้แล้ว, จำเป็นอย่างยิ่งที่ต้องมีคำยืนยันอย่างเป็นทางการจาก ธนาคาร
ME by TMB << Cert ปัจจุบัน 7 Dec 2012, บอกไม่ได้ว่าใช้ OpenSSL หรือไม่, แต่ปัจจุบันไม่พบ Bug นี้แล้ว, จำเป็นอย่างยิ่งที่ต้องมีคำยืนยันอย่างเป็นทางการจาก ธนาคาร
KBank << เหมือนเพิ่งเปลี่ยน Cert ใหม่, แนะนำให้เปลี่ยน password !!
KimEng << ใช้ IIS (ไม่ใช่ OpenSSL), ไม่ได้รับผลกระทบจาก HeartBleed ทั้งแต่แรก, ไม่ต้องเปลี่ยน password ใดๆ
SCB << Cert ปัจจุบัน 28 May 2013, บอกไม่ได้ว่าใช้ OpenSSL หรือไม่, แต่ปัจจุบันไม่พบ Bug นี้แล้ว, จำเป็นอย่างยิ่งที่ต้องมีคำยืนยันอย่างเป็นทางการจาก ธนาคาร
BBL << เพิ่งเปลี่ยน Cert วันที่ 22 Apr, ปัจจุบันไม่พบ Bug นี้แล้ว, แนะนำให้เปลี่ยน password ได้แล้วครับ
เคส HeartBleed กับ ธนาคารต่างๆ (ภาคต่อ)
http://ppantip.com/topic/31916631
เมื่อวานหลังไมค์ไปถามหลายๆธนาคาร เรื่อง HeartBleed และแนะนำไปว่าควรทำอะไร
ได้รับคำตอบมาล่ะ แล้วก็อย่างที่คาด ดูเหมือน จนท. รับเรื่องไม่เข้าใจว่าความเสี่ยงที่เรากังวลคืออะไร
มีแต่คนนึกว่า แค่แก้ bug นี้เสร็จ แล้วก็จบเรื่องได้โดยไม่ต้องทำอะไรเพิ่ม
พวกเขาไม่รู้ว่าต้องแจ้งให้ผู้ใช้งานต้องเปลี่ยน password ด้วย และอย่างคาด เข้าไปตามหน้าเว็บ ก็ยังไม่มี pop-up แจ้งเตือนอะไรพวกนี้
คนรับเรื่องทำงานชุ่ย, หรือถ้าเขาไปถามแผนก IT แล้วได้รับคำตอบมาแบบนี้ ฝ่าย IT นี่ก็ถือว่าไม่ไหวเหมือนกัน - -a และทำให้เห็นว่า ธนาคารในไทย ระดับความปลอดภัยด้านนี้ไม่ค่อยดีเลย
สำหรับผมตอนนี้ สงสัยต้องเอาตัวรอดล่ะ ธนาคาร ทำเป็นไม่รู้เรื่องแบบนี้
=== จากการตรวจสอบ เว็บ e-banking หลายๆอัน ได้ผลลัพธ์ ณ ปัจจุบันตามนี้ ====
กรุงศรี << เพิ่งเปลี่ยน Cert วันที่ 16 Apr, แนะนำให้เปลี่ยน password !!
กรุงไทย << เหมือนเพิ่งเปลี่ยน Cert ใหม่, แนะนำให้เปลี่ยน password !!
ทหารไทย << Cert ปัจจุบัน 9 Oct 2012, บอกไม่ได้ว่าใช้ OpenSSL หรือไม่, แต่ปัจจุบันไม่พบ Bug นี้แล้ว, จำเป็นอย่างยิ่งที่ต้องมีคำยืนยันอย่างเป็นทางการจาก ธนาคาร
ME by TMB << Cert ปัจจุบัน 7 Dec 2012, บอกไม่ได้ว่าใช้ OpenSSL หรือไม่, แต่ปัจจุบันไม่พบ Bug นี้แล้ว, จำเป็นอย่างยิ่งที่ต้องมีคำยืนยันอย่างเป็นทางการจาก ธนาคาร
KBank << เหมือนเพิ่งเปลี่ยน Cert ใหม่, แนะนำให้เปลี่ยน password !!
KimEng << ใช้ IIS (ไม่ใช่ OpenSSL), ไม่ได้รับผลกระทบจาก HeartBleed ทั้งแต่แรก, ไม่ต้องเปลี่ยน password ใดๆ
SCB << Cert ปัจจุบัน 28 May 2013, บอกไม่ได้ว่าใช้ OpenSSL หรือไม่, แต่ปัจจุบันไม่พบ Bug นี้แล้ว, จำเป็นอย่างยิ่งที่ต้องมีคำยืนยันอย่างเป็นทางการจาก ธนาคาร
BBL << เพิ่งเปลี่ยน Cert วันที่ 22 Apr, ปัจจุบันไม่พบ Bug นี้แล้ว, แนะนำให้เปลี่ยน password ได้แล้วครับ