ก่อนอื่นเลยต้องบอกไว้เลยตรงนี้นะครับ
งานที่ผมทำ ผมเองก็ไม่ได้เป็นคนที่ใช้ Amazon S3 หรอก (งบผมน้อย)
แต่อยากรู้ว่า เห้ย ถ้าการที่จะเข้าไปเอาข้อมูลเช่น บัตร ปชช. ที่เคยเก็บไว้บน Amazon S3
ที่เปิดแบบ Public มันยากหรือไม่ ต้องแฮกอะไรเพิ่มเติมหรือไม่ ถึงจะเข้าไปดูข้อมูลได้
วันนี้เราจะมาลองดูกันนะ
ปล. Bucket ที่ผมสแกน เป็นของผมเองนะครับ เดี๋ยวจะเกิดดราม่าอีก 55555+
เอาล่ะครับเรามาลองอะไรสนุกๆดีกว่า
เราจะเริ่มสวมบทเป็น Hacker ดู 555555555
เริ่มแรก ผมก็สร้าง bucket ผมก่อน โดยใช้ชื่อว่า cgcreator (ใครอยากลองก็ใช้ bucket ผมก็ได้)
แล้วเราก็ตั้งแบบ Public จะเห็นได้ว่าเมื่อเราจะตั้ง Bucket เป็น Public
Amazon ได้เตือนเราว่า เห้ย Bucket คุณจะเปิดแบบสาธารณะนะ จริงๆหรอ
(Everyone in the World)
แถมเวลาตอนอัพไฟล์ เราต้องเลือกแบบ Public นะ
โดยมันก็เตือนนะ ว่า เห้ย จะเปิดจริงๆดิ
แต่ถ้าเราไม่ยอมเปิด เวลาคนอื่นจะเข้าไปดู จะเกิด Access Denied
แต่ก็นะ ก็ยังมีบางบริษัทที่เปิดแบบ Public จนมีข้อมูลหลุดออกมา และก็มีคนเข้าไปบอกจนคนนั้นได้เงิน
แต่ก็ไม่ใช่สำหรับบางคน และเป็นบางประเทศเท่านั้น หุหุ
ผมสวมรอยเล่นบท Hacker ต่อไป โดยผมสมมุติว่า ผมกำลังนั่งสแกน Bucket อยู่
โดยได้ใช้เครื่องมือที่ช่วยในการค้นหา ก็ลองจินตนาการว่าเครื่องมือนี้คือ Search Engine ไว้ค้นหาชื่อ Bucket นั่นแหละ
โดยเครื่องมือนั้นชื่อ Slurp ชื่อดูน่ากินดีเนอะ แต่เจ้านี้ถูกพัฒนาทำให้สามารถสแกนได้รวดเร็วเอามากๆ
รายละเอียดเกี่ยวกับเจ้า Slurp >>>>
https://github.com/bbb31/slurp/
เมื่อผมลองสแกนของตัวเอง โดยใช้คำสั่ง slurp-windows-386.exe keyword -t cgcreator
ก็เจอแว้วววววววววววววว
ที่อยู่คือ
http://cgcreator.s3-ap-southeast-1.amazonaws.com/
ซึ่งเปิดแบบ Public
ด้วยความอยากรู้ เราก็เลยลองเข้าไปดู โดยใช้โปรแกรมง่ายๆๆๆๆๆๆๆ คือ Google Chrome
อุ้ย ตายแล้วววววว เราไปเจอกับข้อมูล XML ที่บอกว่า มี Directory มีไฟล์อะไรบ้าง
จากนั้นเรารู้ว่ามีไฟล์อะไรบ้างอยู่ใน Directory นั้นๆ
เราก็สวมบทคนเสืoก เปิดเข้าไปดู
เอ้า นี่มันไฟล์ภาพบัตรประชาชนป่าว เห็นเขียนว่า National ID
แต่ฉันอ่านไม่รู้เรื่องอ่ะ นี่มันภาษาอะไร แต่ฉันรู้นะ ว่าฉันควรจะติดต่อบริษัทเจ้าของ Bucket นี้นะ
ฉันก็เลยติดต่อไป หลังจากนั้นก็...............
ฉันก็โดนกล่าวหาว่า Hack เข้าไป
เห็นไหมครับ แค่คุณรู้ที่อยู่ของไฟล์ คุณก๊อปไปเลย
คุณจะใช้ Browser เพื่อดูข้อมูล หรือคุณจะใช้โปรแกรมช่วยดาวน์โหลด
คุณก็ทำได้แบบสบายๆ
มัน Hack ตรงไหน
สุดท้ายนี้ผมอยากจัดแคมเปญเล็กๆน้อยๆ
โดยให้คุณเข้าไปหาไฟล์ภาพบัตรประชาชน
ใน Bucket
http://cgcreator.s3-ap-southeast-1.amazonaws.com
จากนั้น เมื่อคุณสามารถหาไฟล์รูปบัตรประชาชนได้
ให้คุณถ่ายรูป แล้วโพสต์ลงเฟส พร้อมกับติด #dataleak กับ #ทวงคืนความปลอดภัยของข้อมูล
จะติด # ชื่อผู้ให้บริการที่ทำข้อมูลบัตรประชาชนรั่วก็ได้นะ
เพื่อแก้เผ็ดว่า แค่ฉันรู้ที่อยู่ ไม่ต้องแฮก ฉันก็เข้าไปดูได้
สุดท้ายจริงๆล่ะ
ผมต้องขอติดแท็กกระทู้นี้ไปยัง True
เพื่อแสดงความเสียใจ กับการที่มีคนเข้าไปแฮกข้อมูลด้วยนะครับ
เมื่อผมลอง SCAN BUCKET Amazon S3 ที่เปิดแบบ Public แล้วลองดูสิว่าเราทำอะไรได้บ้าง จะต้องแฮกหรือไม่ มาดูกัน!!!!!!!!!
งานที่ผมทำ ผมเองก็ไม่ได้เป็นคนที่ใช้ Amazon S3 หรอก (งบผมน้อย)
แต่อยากรู้ว่า เห้ย ถ้าการที่จะเข้าไปเอาข้อมูลเช่น บัตร ปชช. ที่เคยเก็บไว้บน Amazon S3
ที่เปิดแบบ Public มันยากหรือไม่ ต้องแฮกอะไรเพิ่มเติมหรือไม่ ถึงจะเข้าไปดูข้อมูลได้
วันนี้เราจะมาลองดูกันนะ
ปล. Bucket ที่ผมสแกน เป็นของผมเองนะครับ เดี๋ยวจะเกิดดราม่าอีก 55555+
เอาล่ะครับเรามาลองอะไรสนุกๆดีกว่า
เราจะเริ่มสวมบทเป็น Hacker ดู 555555555
เริ่มแรก ผมก็สร้าง bucket ผมก่อน โดยใช้ชื่อว่า cgcreator (ใครอยากลองก็ใช้ bucket ผมก็ได้)
แล้วเราก็ตั้งแบบ Public จะเห็นได้ว่าเมื่อเราจะตั้ง Bucket เป็น Public
Amazon ได้เตือนเราว่า เห้ย Bucket คุณจะเปิดแบบสาธารณะนะ จริงๆหรอ
(Everyone in the World)
แถมเวลาตอนอัพไฟล์ เราต้องเลือกแบบ Public นะ
โดยมันก็เตือนนะ ว่า เห้ย จะเปิดจริงๆดิ
แต่ถ้าเราไม่ยอมเปิด เวลาคนอื่นจะเข้าไปดู จะเกิด Access Denied
แต่ก็นะ ก็ยังมีบางบริษัทที่เปิดแบบ Public จนมีข้อมูลหลุดออกมา และก็มีคนเข้าไปบอกจนคนนั้นได้เงิน
แต่ก็ไม่ใช่สำหรับบางคน และเป็นบางประเทศเท่านั้น หุหุ
ผมสวมรอยเล่นบท Hacker ต่อไป โดยผมสมมุติว่า ผมกำลังนั่งสแกน Bucket อยู่
โดยได้ใช้เครื่องมือที่ช่วยในการค้นหา ก็ลองจินตนาการว่าเครื่องมือนี้คือ Search Engine ไว้ค้นหาชื่อ Bucket นั่นแหละ
โดยเครื่องมือนั้นชื่อ Slurp ชื่อดูน่ากินดีเนอะ แต่เจ้านี้ถูกพัฒนาทำให้สามารถสแกนได้รวดเร็วเอามากๆ
รายละเอียดเกี่ยวกับเจ้า Slurp >>>> https://github.com/bbb31/slurp/
เมื่อผมลองสแกนของตัวเอง โดยใช้คำสั่ง slurp-windows-386.exe keyword -t cgcreator
ก็เจอแว้วววววววววววววว
ที่อยู่คือ http://cgcreator.s3-ap-southeast-1.amazonaws.com/
ซึ่งเปิดแบบ Public
ด้วยความอยากรู้ เราก็เลยลองเข้าไปดู โดยใช้โปรแกรมง่ายๆๆๆๆๆๆๆ คือ Google Chrome
อุ้ย ตายแล้วววววว เราไปเจอกับข้อมูล XML ที่บอกว่า มี Directory มีไฟล์อะไรบ้าง
จากนั้นเรารู้ว่ามีไฟล์อะไรบ้างอยู่ใน Directory นั้นๆ
เราก็สวมบทคนเสืoก เปิดเข้าไปดู
เอ้า นี่มันไฟล์ภาพบัตรประชาชนป่าว เห็นเขียนว่า National ID
แต่ฉันอ่านไม่รู้เรื่องอ่ะ นี่มันภาษาอะไร แต่ฉันรู้นะ ว่าฉันควรจะติดต่อบริษัทเจ้าของ Bucket นี้นะ
ฉันก็เลยติดต่อไป หลังจากนั้นก็...............
ฉันก็โดนกล่าวหาว่า Hack เข้าไป
เห็นไหมครับ แค่คุณรู้ที่อยู่ของไฟล์ คุณก๊อปไปเลย
คุณจะใช้ Browser เพื่อดูข้อมูล หรือคุณจะใช้โปรแกรมช่วยดาวน์โหลด
คุณก็ทำได้แบบสบายๆ
มัน Hack ตรงไหน
สุดท้ายนี้ผมอยากจัดแคมเปญเล็กๆน้อยๆ
โดยให้คุณเข้าไปหาไฟล์ภาพบัตรประชาชน
ใน Bucket http://cgcreator.s3-ap-southeast-1.amazonaws.com
จากนั้น เมื่อคุณสามารถหาไฟล์รูปบัตรประชาชนได้
ให้คุณถ่ายรูป แล้วโพสต์ลงเฟส พร้อมกับติด #dataleak กับ #ทวงคืนความปลอดภัยของข้อมูล
จะติด # ชื่อผู้ให้บริการที่ทำข้อมูลบัตรประชาชนรั่วก็ได้นะ
เพื่อแก้เผ็ดว่า แค่ฉันรู้ที่อยู่ ไม่ต้องแฮก ฉันก็เข้าไปดูได้
สุดท้ายจริงๆล่ะ
ผมต้องขอติดแท็กกระทู้นี้ไปยัง True
เพื่อแสดงความเสียใจ กับการที่มีคนเข้าไปแฮกข้อมูลด้วยนะครับ