คำตอบที่ได้รับเลือกจากเจ้าของกระทู้
ความคิดเห็นที่ 6
ในทางเทคนิคมันแค่ใช้วิธียิง api ตรงๆ แทนการกดผ่านแอพครับ หมายความว่ามันควรจะมีการป้องกันด้วย api key กับการป้องกันอื่นๆ ที่มีอยู่แล้วตามปกติ ส่วนที่ไม่ต้องแสกนเพราะระบบแสกนมันเป็นของเครื่องมือถือ เวลายิงผ่าน api มันคือมันเป็นขั้นตอนหลังแสกนไปแล้ว
ยังไงก็ตาม การที่ api key หลุดจนโจรใช้วิธียิง api ตรงๆ ได้ก็คือความหละหลวมของฝั่งที่ทำแอพขึ้นมา อันนี้ร้ายแรงมากอยู่นะ ต้องดูว่าจะแก้ยังไง
ยังไงก็ตาม การที่ api key หลุดจนโจรใช้วิธียิง api ตรงๆ ได้ก็คือความหละหลวมของฝั่งที่ทำแอพขึ้นมา อันนี้ร้ายแรงมากอยู่นะ ต้องดูว่าจะแก้ยังไง
silentkung ถูกใจ, อู๊ดสุดใจ ถูกใจ, ลาบราดอร์สีดำ ถูกใจ, สมาชิกหมายเลข 1098521 ถูกใจ, กึดเติงขนาดเจ้า ถูกใจ, สมาชิกหมายเลข 872079 ถูกใจ, POPPAHALALUYA ถูกใจ, zealottan ถูกใจ, สมาชิกหมายเลข 5422989 ถูกใจ, สมาชิกหมายเลข 752520 ถูกใจรวมถึงอีก 3 คน ร่วมแสดงความรู้สึก
สุดยอดความคิดเห็น
ความคิดเห็นที่ 24
อธิบายยาว แบบมีสาระไปเลยแล้วกัน จะพยายามตัด technical word ให้เยอะที่สุด
เป็นสิ่งที่เกิดขึ้นได้ยาก api ธนาคารมี key หมดครับ เพราะว่าถ้ามันหลุด คุณรู้ปะว่าธนาคารนั้นจะโดนฟ้องอะไรจาก ธนาคารกลางบ้างอะครับ
คนที่ทำงานภายในจะรู้ดีกว่า เจอเคสแบบนี้บรรลัยครับ มันจึงเป็นสิ่งที่โอกาศเกิดขึ้นได้ยากมาก ในส่วนของ application ที่ deploy ให้คนมาใช้งานแล้ว
มันจะมีสาเหตุเดียว แทบจะเป็นไปได้เลยคือ API ถูกพัฒนาโดยใครสักคนที่ทำงานร่วมกับภายในส่วนนั้นแหละครับ ซึ่งมันมี log ครับว่าใครเขียนโค๊ดหรือนำโค๊ดนี้เข้ามา เข้ามายังไง ด้วย user อะไร หาไม่ยากเลยครับ ถ้าเจาะไหลเข้าไปต้นทางได้ ยังไงก็ง่ายกว่ามาเจาะปลายทางอยู่ดี
API ยิงตรงได้ทั้งนั้นครับ แต่จะยิงผ่านหรือเปล่านั่นเป็นอีกเรื่องเลยเพราะมันต้องใช้ session หรือ token ไม่ก็ api key ซึ่งมันเป็นมาตรฐานขั้นต่ำของ api ทุกตัวที่ธนาคารใช้เป็น gateway สำหรับเข้าถึง
การปล่อยสิ่งนี้ให้หลุดมา ในทางอาชีพเราถือว่า มันโคตรแย่มากครับ เพราะมันผ่าน paintest มาได้ยังไงก่อน โดยที่ไม่มี audit ตรวจสอบอีกหละ แล้วนี่เป็นเรื่องตัดเงินด้วย
หมายถึงความ serious จะอยู่ที่ระดับสูงสุดครับ เกิน level 3 แล้วยังเป็น prod issue อีกด้วย
คุณเห็นปะ มันซวยกันทั้งโซน ของแบบนี้จึงหลุดที่ปลายน้ำไม่ได้เด็ดขาด แปลว่ามันคือทางเดียวนั่นแหละ คือ คนในหรือต้นทาง เท่านั้นทำได้
เพราะการแก้ไขโค๊ด แปลว่ามันต้องทะลุไปถึง giblab และ resouce นู้นนนเลย มันไม่มี hacker คนไหนที่มาแฮคกับเงินแค่นี้ เพื่อโดนจับครับ การ overide หรือ เขียน api มาทับแล้วหลอกให้คนมาดาวน์โหลดแล้วขโมยข้อมูลจากต่อนั้นอีกที เป็นอะไรที่คนที่มีฝีมือเท่านั้น มิจฉาชีพธรรมดาทำไม่ได้
การ hack แบบ call direct api หรือ การทำ ddos attack, zombie bot ผมเคยทำมาแล้ว ในการสมัครระบบราชกาลตัวหนึ่ง แอปมันกระจอกมากครับ แค่เปิด developer โหมด ก็เห็นทุกอย่างของการทำงานโปรแกรมแล้วว่า ผมจะเจาะเข้าสมัคใช้งานยังไง โดยไม่ต้องทำผ่านหน้าเว็บ ต้องปั้น body หรือ overide request ยังไงให้เนียน
ในขณะที่คนอื่นตอนนั้นคือ แย่งกดกันสมัครแล้วหน้าเว็บค้างเพื่อแย่งวัคซีน ผมคือคนที่ยิง api register ตรง ด้วยหลักการที่ข่าวนำเสนอ เพราะผมไม่เห็นว่ามันใช้ key อะครับ
ซึ่งยังอุทานเลยว่า ใครแม้งผลิตแอปนี้วะ ช่องโหว่แบบนี้ กระจอกสิ้นดี เพราะผมรู้อยู่แล้วว่า ที่หน้าเว็บมันค้างมันเป็นปัญหาของ client user ไม่ใช่ back end กับ DB
แปลว่าผมสามารถ สร้างหน้าเว็บ dummy มาหลอกลวงเลยก็ยังไหวนะครับ แต่ขี้เกียจครับ ยิง request กับ body ก็สมัครผ่านเข้าไปใช้งานได้ก่อนคนอื่นแล้วหละ พอใจแค่นี้ ใช้แค่คนเดียวไม่แจกให้ใครทั้งนั้น เพราะหลังจากนั้นคือเราก็เข้าแอปได้ปกติ เพราะหลังจากสมัครผ่าน เราก็หลุดช่วงคอขวดมาแล้ว eazy ครับ
ในข่าวมี 2 แบบ
1. ผมเรียกว่าการ fishing หรือ ทำหน้าเว็บปลอมขึ้นมา ล้วงข้อมูล อันนี้คือโปรแกรมที่ 1 คือโปรแกรมจารกรรมข้อมูลเฉยๆ ไม่ได้ขโมยเงิน
2. โปรแกรมที่ 2 การข้ามด้วยการ by pass scan หน้าไม่ใช่ช่องโหว่คับ แต่มันเป็นสิ่งที่คนเขียนโปรแกรมจะรู้กันหมดว่า ถ้าไม่ทำให้อยู่ในการทำตามเงื่อนไข if else มันจะ skip เองโดยไม่ต้องทำอะไร ไม่ใช่การ hack มันคือการหลบเงื่อนไขของ logic ก็เท่านั้น
แต่ที่เรียกว่าช่องโหว่จริง คือ api หลักที่ยอมให้ทำ transaction มันทำได้ยังไง อันนี้แหละครับที่เรียกว่าช่องโหว่ แล้วโปรแกรมเมอร์ที่เซียนแล้วเขาสนใจที่จุดนี้ครับ ว่า มันเป็นไปได้หรอที่โปรแกรมเมอร์จะสามารถทำได้เลยทันที มันจริงไหม สรุปเลยนะ ไม่จริงครับข่าวใส่สีเกินจริง
เราตอบเลยว่า ได้ครับมันก็ไม่เชิงว่าจะไม่มี แต่จะต้องเป็นคนที่รู้จัก API อีกตัวที่จะต้องไปขอ key คือ มีหน้าม้าไปเปิดธุรกรรมบางอย่างไว้ให้แล้ว
เราเลยรู้ครับว่า โปรแกรมนี้ ไม่ได้ถูกออกแบบมาให้ hack คนทั่วไป แต่เป็นโปรแกรมโอนเงินของพวกบัญชีม้าเท่านั้นด้วย
ทีนี้ผมจะอธิบายให้ฟังว่าทำไม มันถูกจำกัดแค่นี้
เดิมทีบัญชีม้า มีใครบ้า นั่งโอนเงินทีละ 100000 ไม่เกิน 2 แสนทุกวันไหม แล้วให้คนทำ คุณไว้ใจไหมว่าเงินจะไม่หายหรือถูกเปลี่ยน ไม่ไว้ใจแน่นอน
แล้วเราจะแก้ issue ตัวนี้ยังไง คำตอบเดาได้ไม่ยาก หลักการนี้ก็คาดเดาว่า ทำมาเพื่อนโอนจากบัญชี ม้า 1 ไปบัญชีม้า 2 เท่านั้น เพื่อลดคนกลาง ที่เราไม่ไว้ใจออกไปไงครับ
1. มันจะต้องมีคนหรือนายหน้าไปเปิดขอใช้งานการทำธุรกรรมออนไลน์ ที่ไม่เกี่ยวกับ mobile app ครับ คนละส่วน เพื่อให้ใช้พวก api ที่ไว้สำหรับตัดบัตร ทำ payment ง่ายหน่อย มันมีอยู่แล้วเพราะหลายคนเป็นคนทำธุรกิจขายของออนไลน์มีเว็บส่วนตัว จะมีพวกนี้ให้บริการเป็นของลูกค้าเฉพาะที่อยากใช้งาน ต้องติดต่อไปเองเพื่อรับ key เข้าใช้
ทีนี้ถ้ามีหน้าม้ามีธุรกิจตีเนียนมาให้ มันมีพวกคนหัวหมอ เปิดธุรกรรมบังหน้าเพื่อทำอะไรแบบนี้อยู่ ไม่งั้นพวกโอนเงินไปเล่นบาคาร่า มันจะทำได้ไงให้คุณคิดกันต่อเอาเองนะครับ โดยที่เงินก็โอนออกบัญชีได้ แปลว่ามันทำได้ครับเพราะมี key ในการใช้งานแล้ว
แล้วคนขายข้อมูลก็มีข้อมูลบัญชีม้าแล้ว key ก็พร้อม 2 เงื่อนไขครบ รู้ลอจิคแล้วว่า 49999 จะไม่ตรวจหน้า มันก็จบครับ eazy
เราจึงเขียน api อีกตัวขึ้นมาเพื่อปั้นบัญชีม้า 1 รับ otp มือถือตัวเอง เท่านั้นนะ โดย api ตัวนี้จะมี key แล้ว โอนไปหาบัญชีที่ 2
มันจะทำได้ทันทีครับ แต่อาจจะเสียเวลามานั่งกอก OTP ด้วยตัวเองอยู๋ดี แต่มันสะดวกกว่าอิคนนั่งโอนเงินเองแน่นอนอะครับ เพราะลดขั้นตอนไปเยอะ
ตำรวจถึงตกใจไงครับคิดว่า มันง่าย แต่จริงๆ ไม่ใช่เลย มันธรรมดามาก ถ้าเรามี 2 สิ่งนี้ โปรแกรมนี้ก็พร้อมสามารถขายทำเงินให้กับพวก อยากได้โปรแกรมรับโอนเงินบัญชีม้าแล้วครับ ก็ไม่ใช่การ hack แต่เป็นการผลิตแอพเพื่อขายให้กลุ่มเฉพาะมากกว่า มันจะทำให้การโอนเงินข้ามบัญชีม้า
ทำได้เพียง 1 คน เท่านั้นครับ มันจึงเข้าตามิจฉาชีพมาก โดยที่ไม่ต้องไปจ้างพวกรับโอนแล้วคิดค่านายหน้าอีกแล้ว
เราเข้าใจว่ามันเป็นหลักการแบบนั้น มันถึงส่ง OTP มาหาตัวเองได้ เพราะข้อมูล broker น่าจะเตรียมมาให้แล้ว ก็คือ บัญชีม้าครับ
ต้องแยกเป็น 2 โปรแกรมนะ เพราะสองอันทำงานคนละอย่างกันโดยสิ้นเชิงครับ
โปรแกรมตัวแรก ขายให้ได้เฉพาะพวก รับซื้อข้อมูลลูกค้า เราเข้าใจว่า broker ประกัน อยากได้ มาให้หนุ่มโปรแกรมเมอร์ทำ แล้วขายให้ตัวคนรับ
โปรแกรมตัวที่สอง ขายให้ได้กับคนทำบัญชีม้าเท่านั้น ตามข่าวเสนอ มันก็สะดวกกว่าการไปใช้บน app แล้วโดนคำถามนั่นนู่นนี่จนหน้าเบื่อครับ
ดังนั้น hack ไม่ได้ 100% ครับ แต่คนปกติไม่ได้เข้าใจเพราะไม่ได้รู้จัก โค๊ดไงเลยคิดว่าใช่แน่ มันคนละความเข้าใจเลย
android ทำได้ มันมี emulator ให้จำลองง่ายเลยติดตั้งง่ายกว่า แต่ ios ปลอดภัยกว่าเพราะมันไม่ค่อยอนุญาติติดแอปภายนอก แล้วการเอาลง store จะถูก audit ด้วยบริษัท apple หรือ google อีกที ดังนั้นมันจึงเป็นเรื่องยากมากที่จะฝังโค๊ดไว้ภายใน
ภาษาโปรแกรมที่ใช้เขียน python หรือ JavaScript เบลอเพื่ออะไร ผมเห็นแค่การจัดวางโค๊ดนิดหน่อยก็รู้แล้วว่าเขียนด้วยอะไร สั้นขนาดนั้น จะวางบรรทัดหยั่งงั้น เราเลยรู้เลยว่า ไม่ใช่คนในแน่นอนครับ เพราะระบบภายในจะไม่ใช้ภาษานี้เป็นสะส่วนมาก
แล้วมันตายตั้งแต่ push code ขึ้น git แล้วโดนรีวิวแล้ว มันจึงเป็นไปไม่ได้เลยที่จะโดนจากต้นทาง ธนาคารจึงปลอดภัย 100% แต่ต้องตรวจสอบครับมันมีทีมซีเคียวอยู่ นั่นคืองานของเขา
ปล.เราทำงานโปรแกรมเมอร์หนะ แล้วเราเห็นโปรแกรมก็เหมือนเห็นไส้ยันโค๊ดเลยแหละเบื้องต้น จึงคิดออกว่า วิธีการมันเป็นยังไง แต่คนตื่นตูมไปแล้วครับ
เป็นสิ่งที่เกิดขึ้นได้ยาก api ธนาคารมี key หมดครับ เพราะว่าถ้ามันหลุด คุณรู้ปะว่าธนาคารนั้นจะโดนฟ้องอะไรจาก ธนาคารกลางบ้างอะครับ
คนที่ทำงานภายในจะรู้ดีกว่า เจอเคสแบบนี้บรรลัยครับ มันจึงเป็นสิ่งที่โอกาศเกิดขึ้นได้ยากมาก ในส่วนของ application ที่ deploy ให้คนมาใช้งานแล้ว
มันจะมีสาเหตุเดียว แทบจะเป็นไปได้เลยคือ API ถูกพัฒนาโดยใครสักคนที่ทำงานร่วมกับภายในส่วนนั้นแหละครับ ซึ่งมันมี log ครับว่าใครเขียนโค๊ดหรือนำโค๊ดนี้เข้ามา เข้ามายังไง ด้วย user อะไร หาไม่ยากเลยครับ ถ้าเจาะไหลเข้าไปต้นทางได้ ยังไงก็ง่ายกว่ามาเจาะปลายทางอยู่ดี
API ยิงตรงได้ทั้งนั้นครับ แต่จะยิงผ่านหรือเปล่านั่นเป็นอีกเรื่องเลยเพราะมันต้องใช้ session หรือ token ไม่ก็ api key ซึ่งมันเป็นมาตรฐานขั้นต่ำของ api ทุกตัวที่ธนาคารใช้เป็น gateway สำหรับเข้าถึง
การปล่อยสิ่งนี้ให้หลุดมา ในทางอาชีพเราถือว่า มันโคตรแย่มากครับ เพราะมันผ่าน paintest มาได้ยังไงก่อน โดยที่ไม่มี audit ตรวจสอบอีกหละ แล้วนี่เป็นเรื่องตัดเงินด้วย
หมายถึงความ serious จะอยู่ที่ระดับสูงสุดครับ เกิน level 3 แล้วยังเป็น prod issue อีกด้วย
คุณเห็นปะ มันซวยกันทั้งโซน ของแบบนี้จึงหลุดที่ปลายน้ำไม่ได้เด็ดขาด แปลว่ามันคือทางเดียวนั่นแหละ คือ คนในหรือต้นทาง เท่านั้นทำได้
เพราะการแก้ไขโค๊ด แปลว่ามันต้องทะลุไปถึง giblab และ resouce นู้นนนเลย มันไม่มี hacker คนไหนที่มาแฮคกับเงินแค่นี้ เพื่อโดนจับครับ การ overide หรือ เขียน api มาทับแล้วหลอกให้คนมาดาวน์โหลดแล้วขโมยข้อมูลจากต่อนั้นอีกที เป็นอะไรที่คนที่มีฝีมือเท่านั้น มิจฉาชีพธรรมดาทำไม่ได้
การ hack แบบ call direct api หรือ การทำ ddos attack, zombie bot ผมเคยทำมาแล้ว ในการสมัครระบบราชกาลตัวหนึ่ง แอปมันกระจอกมากครับ แค่เปิด developer โหมด ก็เห็นทุกอย่างของการทำงานโปรแกรมแล้วว่า ผมจะเจาะเข้าสมัคใช้งานยังไง โดยไม่ต้องทำผ่านหน้าเว็บ ต้องปั้น body หรือ overide request ยังไงให้เนียน
ในขณะที่คนอื่นตอนนั้นคือ แย่งกดกันสมัครแล้วหน้าเว็บค้างเพื่อแย่งวัคซีน ผมคือคนที่ยิง api register ตรง ด้วยหลักการที่ข่าวนำเสนอ เพราะผมไม่เห็นว่ามันใช้ key อะครับ
ซึ่งยังอุทานเลยว่า ใครแม้งผลิตแอปนี้วะ ช่องโหว่แบบนี้ กระจอกสิ้นดี เพราะผมรู้อยู่แล้วว่า ที่หน้าเว็บมันค้างมันเป็นปัญหาของ client user ไม่ใช่ back end กับ DB
แปลว่าผมสามารถ สร้างหน้าเว็บ dummy มาหลอกลวงเลยก็ยังไหวนะครับ แต่ขี้เกียจครับ ยิง request กับ body ก็สมัครผ่านเข้าไปใช้งานได้ก่อนคนอื่นแล้วหละ พอใจแค่นี้ ใช้แค่คนเดียวไม่แจกให้ใครทั้งนั้น เพราะหลังจากนั้นคือเราก็เข้าแอปได้ปกติ เพราะหลังจากสมัครผ่าน เราก็หลุดช่วงคอขวดมาแล้ว eazy ครับ
ในข่าวมี 2 แบบ
1. ผมเรียกว่าการ fishing หรือ ทำหน้าเว็บปลอมขึ้นมา ล้วงข้อมูล อันนี้คือโปรแกรมที่ 1 คือโปรแกรมจารกรรมข้อมูลเฉยๆ ไม่ได้ขโมยเงิน
2. โปรแกรมที่ 2 การข้ามด้วยการ by pass scan หน้าไม่ใช่ช่องโหว่คับ แต่มันเป็นสิ่งที่คนเขียนโปรแกรมจะรู้กันหมดว่า ถ้าไม่ทำให้อยู่ในการทำตามเงื่อนไข if else มันจะ skip เองโดยไม่ต้องทำอะไร ไม่ใช่การ hack มันคือการหลบเงื่อนไขของ logic ก็เท่านั้น
แต่ที่เรียกว่าช่องโหว่จริง คือ api หลักที่ยอมให้ทำ transaction มันทำได้ยังไง อันนี้แหละครับที่เรียกว่าช่องโหว่ แล้วโปรแกรมเมอร์ที่เซียนแล้วเขาสนใจที่จุดนี้ครับ ว่า มันเป็นไปได้หรอที่โปรแกรมเมอร์จะสามารถทำได้เลยทันที มันจริงไหม สรุปเลยนะ ไม่จริงครับข่าวใส่สีเกินจริง
เราตอบเลยว่า ได้ครับมันก็ไม่เชิงว่าจะไม่มี แต่จะต้องเป็นคนที่รู้จัก API อีกตัวที่จะต้องไปขอ key คือ มีหน้าม้าไปเปิดธุรกรรมบางอย่างไว้ให้แล้ว
เราเลยรู้ครับว่า โปรแกรมนี้ ไม่ได้ถูกออกแบบมาให้ hack คนทั่วไป แต่เป็นโปรแกรมโอนเงินของพวกบัญชีม้าเท่านั้นด้วย
ทีนี้ผมจะอธิบายให้ฟังว่าทำไม มันถูกจำกัดแค่นี้
เดิมทีบัญชีม้า มีใครบ้า นั่งโอนเงินทีละ 100000 ไม่เกิน 2 แสนทุกวันไหม แล้วให้คนทำ คุณไว้ใจไหมว่าเงินจะไม่หายหรือถูกเปลี่ยน ไม่ไว้ใจแน่นอน
แล้วเราจะแก้ issue ตัวนี้ยังไง คำตอบเดาได้ไม่ยาก หลักการนี้ก็คาดเดาว่า ทำมาเพื่อนโอนจากบัญชี ม้า 1 ไปบัญชีม้า 2 เท่านั้น เพื่อลดคนกลาง ที่เราไม่ไว้ใจออกไปไงครับ
1. มันจะต้องมีคนหรือนายหน้าไปเปิดขอใช้งานการทำธุรกรรมออนไลน์ ที่ไม่เกี่ยวกับ mobile app ครับ คนละส่วน เพื่อให้ใช้พวก api ที่ไว้สำหรับตัดบัตร ทำ payment ง่ายหน่อย มันมีอยู่แล้วเพราะหลายคนเป็นคนทำธุรกิจขายของออนไลน์มีเว็บส่วนตัว จะมีพวกนี้ให้บริการเป็นของลูกค้าเฉพาะที่อยากใช้งาน ต้องติดต่อไปเองเพื่อรับ key เข้าใช้
ทีนี้ถ้ามีหน้าม้ามีธุรกิจตีเนียนมาให้ มันมีพวกคนหัวหมอ เปิดธุรกรรมบังหน้าเพื่อทำอะไรแบบนี้อยู่ ไม่งั้นพวกโอนเงินไปเล่นบาคาร่า มันจะทำได้ไงให้คุณคิดกันต่อเอาเองนะครับ โดยที่เงินก็โอนออกบัญชีได้ แปลว่ามันทำได้ครับเพราะมี key ในการใช้งานแล้ว
แล้วคนขายข้อมูลก็มีข้อมูลบัญชีม้าแล้ว key ก็พร้อม 2 เงื่อนไขครบ รู้ลอจิคแล้วว่า 49999 จะไม่ตรวจหน้า มันก็จบครับ eazy
เราจึงเขียน api อีกตัวขึ้นมาเพื่อปั้นบัญชีม้า 1 รับ otp มือถือตัวเอง เท่านั้นนะ โดย api ตัวนี้จะมี key แล้ว โอนไปหาบัญชีที่ 2
มันจะทำได้ทันทีครับ แต่อาจจะเสียเวลามานั่งกอก OTP ด้วยตัวเองอยู๋ดี แต่มันสะดวกกว่าอิคนนั่งโอนเงินเองแน่นอนอะครับ เพราะลดขั้นตอนไปเยอะ
ตำรวจถึงตกใจไงครับคิดว่า มันง่าย แต่จริงๆ ไม่ใช่เลย มันธรรมดามาก ถ้าเรามี 2 สิ่งนี้ โปรแกรมนี้ก็พร้อมสามารถขายทำเงินให้กับพวก อยากได้โปรแกรมรับโอนเงินบัญชีม้าแล้วครับ ก็ไม่ใช่การ hack แต่เป็นการผลิตแอพเพื่อขายให้กลุ่มเฉพาะมากกว่า มันจะทำให้การโอนเงินข้ามบัญชีม้า
ทำได้เพียง 1 คน เท่านั้นครับ มันจึงเข้าตามิจฉาชีพมาก โดยที่ไม่ต้องไปจ้างพวกรับโอนแล้วคิดค่านายหน้าอีกแล้ว
เราเข้าใจว่ามันเป็นหลักการแบบนั้น มันถึงส่ง OTP มาหาตัวเองได้ เพราะข้อมูล broker น่าจะเตรียมมาให้แล้ว ก็คือ บัญชีม้าครับ
ต้องแยกเป็น 2 โปรแกรมนะ เพราะสองอันทำงานคนละอย่างกันโดยสิ้นเชิงครับ
โปรแกรมตัวแรก ขายให้ได้เฉพาะพวก รับซื้อข้อมูลลูกค้า เราเข้าใจว่า broker ประกัน อยากได้ มาให้หนุ่มโปรแกรมเมอร์ทำ แล้วขายให้ตัวคนรับ
โปรแกรมตัวที่สอง ขายให้ได้กับคนทำบัญชีม้าเท่านั้น ตามข่าวเสนอ มันก็สะดวกกว่าการไปใช้บน app แล้วโดนคำถามนั่นนู่นนี่จนหน้าเบื่อครับ
ดังนั้น hack ไม่ได้ 100% ครับ แต่คนปกติไม่ได้เข้าใจเพราะไม่ได้รู้จัก โค๊ดไงเลยคิดว่าใช่แน่ มันคนละความเข้าใจเลย
android ทำได้ มันมี emulator ให้จำลองง่ายเลยติดตั้งง่ายกว่า แต่ ios ปลอดภัยกว่าเพราะมันไม่ค่อยอนุญาติติดแอปภายนอก แล้วการเอาลง store จะถูก audit ด้วยบริษัท apple หรือ google อีกที ดังนั้นมันจึงเป็นเรื่องยากมากที่จะฝังโค๊ดไว้ภายใน
ภาษาโปรแกรมที่ใช้เขียน python หรือ JavaScript เบลอเพื่ออะไร ผมเห็นแค่การจัดวางโค๊ดนิดหน่อยก็รู้แล้วว่าเขียนด้วยอะไร สั้นขนาดนั้น จะวางบรรทัดหยั่งงั้น เราเลยรู้เลยว่า ไม่ใช่คนในแน่นอนครับ เพราะระบบภายในจะไม่ใช้ภาษานี้เป็นสะส่วนมาก
แล้วมันตายตั้งแต่ push code ขึ้น git แล้วโดนรีวิวแล้ว มันจึงเป็นไปไม่ได้เลยที่จะโดนจากต้นทาง ธนาคารจึงปลอดภัย 100% แต่ต้องตรวจสอบครับมันมีทีมซีเคียวอยู่ นั่นคืองานของเขา
ปล.เราทำงานโปรแกรมเมอร์หนะ แล้วเราเห็นโปรแกรมก็เหมือนเห็นไส้ยันโค๊ดเลยแหละเบื้องต้น จึงคิดออกว่า วิธีการมันเป็นยังไง แต่คนตื่นตูมไปแล้วครับ
สมาชิกหมายเลข 4424183 ทึ่ง, จดหมายจากดวงจันทร์ ถูกใจ, สามขีด ||| ถูกใจ, สมาชิกหมายเลข 1881800 ทึ่ง, สมาชิกหมายเลข 3065313 ถูกใจ, สมาชิกหมายเลข 7517486 ถูกใจ, Knight ถูกใจ, หงส์ปลายปืน ถูกใจ, สมาชิกหมายเลข 5934804 ถูกใจ, amameera ถูกใจรวมถึงอีก 10 คน ร่วมแสดงความรู้สึก
แสดงความคิดเห็น
จากข่าวมิจฉาชีพสามารถเขียนโปรแกรมให้ข้ามขั้นตอนการแสกนใบหน้า จะทำให้สามารถเข้าบัญชีได้ทุกคนไหมครับ
มิจฉาชีพสามารถเข้าไปทำการเบิกถอนเงินจากทาง web หรือทาง app ได้โดยข้ามขั้นตอนการแสกนหน้า (สำหรับการโอนที่มากกว่า 50,000 บาท ที่เดี๋ยวนี้มีการกำหนดให้ต้องแสกนใบหน้าทุกครั้ง) จะทำให้บัญชีธนาคารเราไม่ปลอดภัยหรือไม่ครับ
ส่วนการเปลี่ยนหมายเลขมือถือที่ผูกกับบัญชี สามารถทำผ่านแอพได้ โดยมีการรักษาความปลอดภัยด้วยการแสกนใบหน้า ถ้าสามารถข้ามขั้นตอนนี้ได้ก็สามารถเปลี่ยนหมายเลขได้
เมื่อเปลี่ยนหมายเลขมือถือที่ผูกบัญชีได้ เลข OTP ก็จะถูกส่งมาที่เครื่องของมิจฉาชีพ
ที่เห็นว่าจะพอยับยั้งได้บ้างก็คือ เลขพิน (พาสเวิร์ด) สำหรับเข้าแอพธนาคาร แต่ผมก็ว่ามันแฮกง่ายนะ ไม่งั้นเขาจะต้องให้แสกนหน้าด้วยทำไม
คำถามคือ สามารถเขียนโค๊ดที่จะข้ามการแสกนใบหน้าได้จริงหรือไม่ และ บัญชีธนาคารยังปลอดภัยอยู่ไหม