ทำคุณบูชาโทษ!!! TrueMove H เข้าชี้แจง กสทช. โบ้ยโดน Niall Merrgan แฮ๊คข้อมูล!!! ด้าน Niall โต้ ไม่ได้แฮ๊ค แต่บ้านไม่ล๊อคประตู หมาแมวที่ไหนก็เข้าได้!!!
หลังจากที่เมื่อวานทาง TrueMove H เข้าพบ กสทช. เพื่อชี้เเจงกรณีเกี่ยวกับข้อมูลบัตรประชาชนลูกค้าหลุดเป็นจำนวนมากบน Cloud แบบไม่มีการป้องกันหรือเข้ารหัสข้อมูลใดๆ และได้นักวิจัยด้านความปลอดภัย Niall Merrigan แจ้งเตือนให้ทำการแก้ไข (อ่านข่าวก่อนหน้าได้ที่โพสนี้)
https://m.facebook.com/story.php?story_fbid=2036863399903160&id=1594566494132855
ซึ่งทาง TrueMove H ได้ชี้แจงว่า ข้อมูลนี้คนทั่วไปไม่มีทางรู้วิธีเข้าถึงข้อมูล และอ้างว่าโดน Niall Merrigan เเฮ๊คระบบ
ด้าน Niall จึงออกมาชี้เเจงผ่านเว็บไซต์ www.certsandprogs.com ว่างานของตัวเขานั้นคือการเฝ้าระวัง สำรวจ ตรวจสอบ การสร้าง Buckets บนคลาวด์เซอร์เวอร์ของ AWS Amazon S3 เป็นประจำอยู่แล้ว โดยทาง Niall นั้นจะมีโปรแกรม Bot คอยวิ่งตรวจสอบหาช่องโหว่ในระบบของ Amazon S3 และรอบนี้เจ้าโปรแกรมของเขา ก็ไปเจอกับ Bucket ที่ทาง iTrueMart สร้างขึ้นมา โดยที่มีการเปิด Public เอาไว้ (ซึ่งหลายๆเว็บไซต์ได้อธิบายไว้เเล้วว่าการเปิด Public บน Amazon S3 นั้นมีขั้นตอนที่ยุ่งยากพอสมควร ไม่มีทางที่จะเผลอเปิดไว้ได้ น่าจะเกิดจากความประมาทในขั้นตอนการตั้งค่าแต่แรก) และ Niall ยังบอกว่าคนทั่วไปก็สามารถค้นหาข้อมูลนี้เจอบน Google ได้อย่างสบายๆ
หลังจากนั้น Bot ตัวนี้ก็ตรวจสอบสารบัญ(Index) ของ Bucket นี้และเเจ้ง Niall กลับมาว่ามีไฟล์มากกว่า 1 หมื่นรายการ ขนาด 32 GB ที่ไร้การป้องกัน โดยที่ตัวเขา(Niall) ได้เข้าไปทำการสุ่มเปิดไฟล์ตัวอย่าง 4 ไฟล์ขึ้นมาทดสอบว่าไม่มีการป้องกันใดๆกับข้อมูลที่มีความเสี่ยงสูงนี้ และเเนบตัวอย่างเพื่อติดต่อประสานงานไปยัง True โดยทันทีตั้งแต่ต้นเดือนมีนาคม และกว่า True จะตอบรับลงมือแก้ไขก็ปาเข้าไป 11 เมษายนแล้ว ส่วนไฟล์หรือประวัติต่างๆตัวเขาได้ทำการลบทิ้งในทันทีที่ส่งเรื่องเสร็จ ไม่มีเหลือเก็บไว้
(เอาจริงๆ Common sense ถ้าคนมันจะแฮ๊คข้อมูล มันจะใจดีขนาดส่งอีเมล์ไปแจ้งเตือน True ทำไมว่าไฟล์ไม่ได้เข้ารหัสไว้นะ??)
ทำให้ Niall ตัดพ้อว่า True กล่าวหาตัวเขาเกินความเป็นจริง เพราะการแฮ๊ค(Hack) นั้นแปลว่าไฟล์หรือ Bucket นั้นๆต้องมีการจำกัดสิทธิการเข้าถึงข้อมูล(Private) ไว้ ไม่ใช่เปิดสาธารณะ(Public) ซึ่งกรณีหลัง ใครต่อใครก็สามารถเข้าถึงข้อมูลได้หมด ไม่ต้องใช้เครื่องมือพิเศษใดๆเลยทั้งสิ้น
ด้าน TrueMove H และ Ascend Corp (ผู้ดูแลรับผิดชอบ iTrueMart) หลังจากที่ได้เข้าพบกสทช. เพื่อชี้แจงปัญหาแล้ว ก็มีมาตรการต่างๆที่จะช่วยทำให้ผู้ที่อาจได้รับผลกระทบจากเหตุการณ์นี้ออกมา โดยเบื้องต้นได้ทำการจำกัดการเข้าถึงข้อมูลชุดดังกล่าวเป็นที่เรียบร้อย และจะมีการแจ้งเตือนผ่าน SMS ไปยังลูกค้าที่อยู่ในข้อมูลชุดนี้ ว่ามีความเสี่ยงเกิดขึ้น พร้อมกับรับปากว่าจะดูแลลูกค้าทุกคนหากเกิดปัญหาใดๆจากข้อมูลที่หลุดไป แน่นอนว่ายังไม่มีมาตรการใดๆที่ชัดเจนออกมาเป็นทางการหรือลายลักษณ์อักษร ส่วนด้าน กสทช.ก็จะพิจารณาเกี่ยวกับคดีนี้ต่อไป
Source : CertsandProgs.com
Article By : โลก IT วันนี้
https://m.facebook.com/story.php?story_fbid=2038695949719905&id=1594566494132855
-------------------------------------------
อันนี้ข้อความจาก droidsans
วันนี้ทาง TrueMove H จูงมือกับ itruemart ไปบอกว่าโดนตัวเองโดนแฮกข้อมูลจากผู้เชี่ยวชาญ แต่ทางคุณ Niall เค้าบอกเค้าไม่ได้ทำอะไรเลย ไฟล์คุณมีความเสี่ยงอยู่แล้ว แถมเตือนดีๆไปนานแล้วด้วย
เพื่อเปรียบเทียบให้เห็นภาพ AWS เป็นเหมือนเมืองใหญ่ๆเมืองนึง ที่มีคนมาปลูกบ้าน (ฝากข้อมูล) กันเต็มไปหมด แล้วทางคุณ Niall ก็เป็นเหมือน รปภ. ที่มีหุ่นยนต์คอยวิ่งไปตรวจสอบลองเช็คประตูบ้านว่าใครลืมล็อคหรือเปล่า ซึ่งเค้าก็เจอว่าประตูบ้านของ itruemart ลืมล็อคเอาไว้ และพบว่าในบ้านหลังนี้มีเก็บเอกสารสำคัญเอาไว้เต็มไปหมด เลยให้หุ่นอีกตัวช่วยทำสารบัญให้หน่อยว่ามีข้อมูลอะไรมากน้อยแค่ไหน และรีบแจ้งไปให้ทาง TrueMove H ทราบโดยด่วน ซึ่งเค้าก็บอกว่าไม่ได้เซฟข้อมูลใดๆที่เจอในบ้านหลังนี้เก็บเอาไว้แต่อย่างใด แถมแจ้งเตือนให้ทางบริษัทเป็นเดือนก่อนที่จะเผยแพร่ข้อมูลสู่สาธารณะ ตามที่นักวิจัยด้านความปลอดภัยพึงกระทำกัน
ดังนั้นการที่บอกว่าคุณ Niall Merrigan แฮกข้อมูลนั้น ก็ดูจะเป็นคำพูดที่เกินเลยไปพอสมควร แถมเป็นการกล่าวหาว่า AWS บริการระดับโลกที่ใครๆก็ใช้ไม่ปลอดภัยอีกด้วยนาจา
ที่มาข้อมูล facebook droisans
https://m.facebook.com/story.php?story_fbid=1636989336336717&id=125837970785202 
TrueMoveHไม่ผิด!!!!!! เพราะโดนแฮ็คข้อมูลบัตร ปชช ลูกค้า ร่วมเป็นกำลังใจให้TrueMoveHครับ
หลังจากที่เมื่อวานทาง TrueMove H เข้าพบ กสทช. เพื่อชี้เเจงกรณีเกี่ยวกับข้อมูลบัตรประชาชนลูกค้าหลุดเป็นจำนวนมากบน Cloud แบบไม่มีการป้องกันหรือเข้ารหัสข้อมูลใดๆ และได้นักวิจัยด้านความปลอดภัย Niall Merrigan แจ้งเตือนให้ทำการแก้ไข (อ่านข่าวก่อนหน้าได้ที่โพสนี้)
https://m.facebook.com/story.php?story_fbid=2036863399903160&id=1594566494132855
ซึ่งทาง TrueMove H ได้ชี้แจงว่า ข้อมูลนี้คนทั่วไปไม่มีทางรู้วิธีเข้าถึงข้อมูล และอ้างว่าโดน Niall Merrigan เเฮ๊คระบบ
ด้าน Niall จึงออกมาชี้เเจงผ่านเว็บไซต์ www.certsandprogs.com ว่างานของตัวเขานั้นคือการเฝ้าระวัง สำรวจ ตรวจสอบ การสร้าง Buckets บนคลาวด์เซอร์เวอร์ของ AWS Amazon S3 เป็นประจำอยู่แล้ว โดยทาง Niall นั้นจะมีโปรแกรม Bot คอยวิ่งตรวจสอบหาช่องโหว่ในระบบของ Amazon S3 และรอบนี้เจ้าโปรแกรมของเขา ก็ไปเจอกับ Bucket ที่ทาง iTrueMart สร้างขึ้นมา โดยที่มีการเปิด Public เอาไว้ (ซึ่งหลายๆเว็บไซต์ได้อธิบายไว้เเล้วว่าการเปิด Public บน Amazon S3 นั้นมีขั้นตอนที่ยุ่งยากพอสมควร ไม่มีทางที่จะเผลอเปิดไว้ได้ น่าจะเกิดจากความประมาทในขั้นตอนการตั้งค่าแต่แรก) และ Niall ยังบอกว่าคนทั่วไปก็สามารถค้นหาข้อมูลนี้เจอบน Google ได้อย่างสบายๆ
หลังจากนั้น Bot ตัวนี้ก็ตรวจสอบสารบัญ(Index) ของ Bucket นี้และเเจ้ง Niall กลับมาว่ามีไฟล์มากกว่า 1 หมื่นรายการ ขนาด 32 GB ที่ไร้การป้องกัน โดยที่ตัวเขา(Niall) ได้เข้าไปทำการสุ่มเปิดไฟล์ตัวอย่าง 4 ไฟล์ขึ้นมาทดสอบว่าไม่มีการป้องกันใดๆกับข้อมูลที่มีความเสี่ยงสูงนี้ และเเนบตัวอย่างเพื่อติดต่อประสานงานไปยัง True โดยทันทีตั้งแต่ต้นเดือนมีนาคม และกว่า True จะตอบรับลงมือแก้ไขก็ปาเข้าไป 11 เมษายนแล้ว ส่วนไฟล์หรือประวัติต่างๆตัวเขาได้ทำการลบทิ้งในทันทีที่ส่งเรื่องเสร็จ ไม่มีเหลือเก็บไว้
(เอาจริงๆ Common sense ถ้าคนมันจะแฮ๊คข้อมูล มันจะใจดีขนาดส่งอีเมล์ไปแจ้งเตือน True ทำไมว่าไฟล์ไม่ได้เข้ารหัสไว้นะ??)
ทำให้ Niall ตัดพ้อว่า True กล่าวหาตัวเขาเกินความเป็นจริง เพราะการแฮ๊ค(Hack) นั้นแปลว่าไฟล์หรือ Bucket นั้นๆต้องมีการจำกัดสิทธิการเข้าถึงข้อมูล(Private) ไว้ ไม่ใช่เปิดสาธารณะ(Public) ซึ่งกรณีหลัง ใครต่อใครก็สามารถเข้าถึงข้อมูลได้หมด ไม่ต้องใช้เครื่องมือพิเศษใดๆเลยทั้งสิ้น
ด้าน TrueMove H และ Ascend Corp (ผู้ดูแลรับผิดชอบ iTrueMart) หลังจากที่ได้เข้าพบกสทช. เพื่อชี้แจงปัญหาแล้ว ก็มีมาตรการต่างๆที่จะช่วยทำให้ผู้ที่อาจได้รับผลกระทบจากเหตุการณ์นี้ออกมา โดยเบื้องต้นได้ทำการจำกัดการเข้าถึงข้อมูลชุดดังกล่าวเป็นที่เรียบร้อย และจะมีการแจ้งเตือนผ่าน SMS ไปยังลูกค้าที่อยู่ในข้อมูลชุดนี้ ว่ามีความเสี่ยงเกิดขึ้น พร้อมกับรับปากว่าจะดูแลลูกค้าทุกคนหากเกิดปัญหาใดๆจากข้อมูลที่หลุดไป แน่นอนว่ายังไม่มีมาตรการใดๆที่ชัดเจนออกมาเป็นทางการหรือลายลักษณ์อักษร ส่วนด้าน กสทช.ก็จะพิจารณาเกี่ยวกับคดีนี้ต่อไป
Source : CertsandProgs.com
Article By : โลก IT วันนี้
https://m.facebook.com/story.php?story_fbid=2038695949719905&id=1594566494132855
-------------------------------------------
อันนี้ข้อความจาก droidsans
วันนี้ทาง TrueMove H จูงมือกับ itruemart ไปบอกว่าโดนตัวเองโดนแฮกข้อมูลจากผู้เชี่ยวชาญ แต่ทางคุณ Niall เค้าบอกเค้าไม่ได้ทำอะไรเลย ไฟล์คุณมีความเสี่ยงอยู่แล้ว แถมเตือนดีๆไปนานแล้วด้วย
เพื่อเปรียบเทียบให้เห็นภาพ AWS เป็นเหมือนเมืองใหญ่ๆเมืองนึง ที่มีคนมาปลูกบ้าน (ฝากข้อมูล) กันเต็มไปหมด แล้วทางคุณ Niall ก็เป็นเหมือน รปภ. ที่มีหุ่นยนต์คอยวิ่งไปตรวจสอบลองเช็คประตูบ้านว่าใครลืมล็อคหรือเปล่า ซึ่งเค้าก็เจอว่าประตูบ้านของ itruemart ลืมล็อคเอาไว้ และพบว่าในบ้านหลังนี้มีเก็บเอกสารสำคัญเอาไว้เต็มไปหมด เลยให้หุ่นอีกตัวช่วยทำสารบัญให้หน่อยว่ามีข้อมูลอะไรมากน้อยแค่ไหน และรีบแจ้งไปให้ทาง TrueMove H ทราบโดยด่วน ซึ่งเค้าก็บอกว่าไม่ได้เซฟข้อมูลใดๆที่เจอในบ้านหลังนี้เก็บเอาไว้แต่อย่างใด แถมแจ้งเตือนให้ทางบริษัทเป็นเดือนก่อนที่จะเผยแพร่ข้อมูลสู่สาธารณะ ตามที่นักวิจัยด้านความปลอดภัยพึงกระทำกัน
ดังนั้นการที่บอกว่าคุณ Niall Merrigan แฮกข้อมูลนั้น ก็ดูจะเป็นคำพูดที่เกินเลยไปพอสมควร แถมเป็นการกล่าวหาว่า AWS บริการระดับโลกที่ใครๆก็ใช้ไม่ปลอดภัยอีกด้วยนาจา
ที่มาข้อมูล facebook droisans
https://m.facebook.com/story.php?story_fbid=1636989336336717&id=125837970785202