Tag Archives: ข้อมูลรั่วไหล

(อัปเดต: แถลง ปณท. ไม่เกี่ยวกับฐานข้อมูลลูกค้า) พบฐานข้อมูลไปรษณีย์ไทย ชื่อ เบอร์โทร เลขบัตร ปชช. หลุดกว่า 4 หมื่นรายการ

อัปเดต: ไปรษณีย์ไทยออกแถลงยืนยันว่าข้อมูลที่หลุดออกไปนั้นไม่ใช่ข้อมูลของลูกค้าแต่อย่างใด และเป็นข้อมูลเก่า ซึ่งอย่างที่บอกไปก่อนหน้านี้ ลักษณะของข้อมูลจะเป็นแนวเกมเก็บคะแนน ตรงกับแถลงการณ์ของไปรษณีย์ไทยที่ออกมาเป็นระบบ Gamification เพื่อสะสมแต้มเพื่อชิงรางวัลนั่นเอง   จากการสำรวจระบบ Gamification ที่เป็นเกมเสริมทักษะที่รั่วไหลออกมานั้น จะเป็นเกมสำหรับ “เจ้าหน้าที่นำจ่าย” ซึ่งสามารถดาวน์โหลดได้ทั้งบน Android หรือ iOS แต่ในตอนนี้ไม่มีการใช้งานระบบดังกล่าวแล้ว อย่างที่บอกไปนั้น เกมนี้เป็นเกมสำหรับเจ้าหน้าที่ของไปรษณีย์ไทย ก็สมเหตุสมผลกับรายงานก่อนหน้านี้ที่มีข้อมูลของพนักงานเป็นส่วนใหญ่ แต่สำหรับคนที่ไม่มีข้อมูลก็สามารถลงทะเบียนใหม่ได้เช่นกัน โดยจะต้องใช้หมายเลขประจำตัวประชาชน 13 หลักในการลงทะเบียน นั่นจึงเป็นสาเหตุให้มีหมายเลขประจำตัวประชาชน 13 หลัก โดยที่ข้อมูลเหล่านี้ไม่ได้เป็นข้อมูลลูกค้าที่ใช้บริการของไปรษณีย์ไทยแต่อย่างใด เย็นวันนี้ (4 ก.พ. 2564) มีเพจเฟซบุ๊กได้โพสต์รายงานถึงช่องโหว่เกี่ยวกับการเข้าถึงฐานข้อมูลของไปรษณีย์ไทย พบข้อมูลส่วนตัวของผู้ใช้และพนักงานหลุดออกไปกว่า 4 หมื่นรายการ โดยมีลักษณะเป็นฐานข้อมูลในบริการ Firebase Realtime Database จาก Google เมื่อลองสืบดูแล้วนั้นข้อมูลที่หลุดออกมานั้น จะเป็นข้อมูลผู้ใช้ที่ได้ทำการลงทะเบียนเพียง 209 รายการเท่านั้น ซึ่งประกอบไปด้วยข้อมูล ชื่อ-นามสกุล, เบอร์โทรศัพท์, หมายเลขประจำตัวประชาชน 13 หลัก, และวันเดือนปีเกิด   “”:…

Edge 88 สามารถช่วยสร้างรหัสผ่านและตรวจการรั่วไหลของรหัสผ่านได้

Microsoft ได้เพิ่ม 2 ฟีเจอร์ใหม่เกี่ยวกับความมั่นคงปลอดภัยของรหัสผ่านใน Edge 88     Password Generator – หากผู้ใช้คลิกช่องรหัสผ่าน Edge จะแนะนำรหัสผ่านที่สร้างขึ้นมาให้ได้ นอกจากนี้ยังเก็บรหัสผ่านอย่างอัตโนมัติไว้ให้ และสามารถซิงค์โครไนซ์ข้ามกับอุปกรณ์อื่นได้ Password Monitor – สามารถแจ้งเตือนผู้ใช้เมื่อเกิดเหตุพบ Password Breach ในเหตุการณ์ Breach ที่เกี่ยวข้องกับเว็บไซต์ที่ผู้ใช้มีบัญชี อย่างไรก็ดีฟีเจอร์นี้มีอยู่ใน Chrome และ Firefox มาสักพักใหญ่แล้ว ซึ่ง Edge จาก Microsoft ที่ไส้ในคือ Chromium เช่นกัน ข้อมูลจาก : https://www.bleepingcomputer.com/news/security/microsoft-edge-gets-a-password-generator-leaked-credentials-monitor/   ———————————————————————————————————— ที่มา : techtalkthai   / วันเผยแพร่ : 22 ม.ค.64 Link : https://www.techtalkthai.com/microsoft-edge-88-password-gen-and-brech-detect-function/

2020 ปีแห่งการทำข้อมูลหลุด

  ปี 2020 ถือเป็น “ปีแห่งการทำข้อมูลหลุด” บริษัทยักษ์ใหญ่ในไทยอย่าง AIS, true, Eatigo, Wongnai, Lazada หรือในต่างประเทศอย่าง Microsoft, Zoom, Capcom, Razer, Nintendo ฯลฯ ต่างก็ตกเป็นข่าวเรื่องการทำข้อมูลหลุด เดือนมกราคม Microsoft ทำข้อมูลการซัพพอร์ตลูกค้า (Customer Service and Support – CSS) ระหว่างปี 2005-2019 จำนวนกว่า 250 ล้านรายการ หลุดออกมาโดยไม่ตั้งใจ เดือนมีนาคม บริษัทเดินเรือระดับโลก Princess Cruises และ Holland America ออกมาประกาศยอมรับว่ามีข้อมูลส่วนตัวของ พนักงาน ผู้เข้าพัก ลูกเรือ รั่วไหลจากการโดนแฮก เดือนเมษายน ผู้ให้บริการประชุมออนไลน์ อย่าง Zoom โดนโจรมือดี แฮกบัญชีผู้ใช้และรหัสผ่านกว่า 5 แสนชื่อ มาวางขายในขายในตลาดมืด…

เจาะแอปพลิเคชันโควิดสิงคโปร์ ติดตามตัวโดยบลูทูธ ย้ำไม่ละเมิดข้อมูลส่วนตัว

  แอปพลิเคชันรายงานสถานการณ์โควิด-19 และติดตามผู้ป่วย ‘เทรซ ทูเกตเตอร์’ มีชาวสิงคโปร์ใช้มากกว่า 70 เปอร์เซ็นต์ กลายเป็นแอปฯสู้โควิด-19 ที่ถูกยกให้เป็นแอปฯ ที่ประสบความสำเร็จที่สุด นอกจากนี้ยังมี โทเคน หรืออุปกรณ์พกพาเป็นทางเลือกสำหรับผู้สูงอายุและเด็กที่ไม่มีโทรศัพท์มือถือ ส่วนประชาชนที่ไม่อยากดาวน์โหลดแอปฯให้หนักเครื่องก็สามารถใช้ โทเคน ได้เช่นกัน ส่วนแอปฯของญี่ปุ่น และฮ่องกง กลับสวนทางประชาชนไม่เลือกใช้เพราะความซับซ้อนของวิธีใช้งาน และกังวลการละเมิดข้อมูลส่วนตัว นักวิเคราะห์ชี้ ความเชื่อมั่นในรัฐบาลของประเทศนั้นๆ ถือเป็นอีกปัจจัยสำคัญที่เป็นตัวชี้วัดว่าประชาชนนั้นจะใช้แอปพลิเคชันได้อย่างสนิทใจหรือไม่   สัปดาห์ที่ผ่านมาสิงคโปร์ประกาศว่า แอปพลิเคชัน ‘เทรซ ทูเกตเตอร์’ (TraceTogether) ที่ถูกพัฒนาขึ้นเพื่อใช้ติดตามตัวประชาชนต่อสู้กับโรคโควิด-19 มีผู้สมัครใช้กว่า 5.7 ล้านคน หลังจากการรณรงค์ของรัฐบาลสิงคโปร์ ที่ระบุชัดว่าถึงแม้จะไม่มีการประกาศบังคับใช้ประชาชนโหลดแอปพลิเคชันดังกล่าว แต่ผู้ที่ไม่มีแอปฯอาจถูกปฏิเสธให้เข้าสถานที่ต่างๆ รวมไปถึงร้านอาหาร ส่งผลให้มีประชาชนสมัครใช้งานเพิ่มเป็นจำนวนมาก หลังจากที่ก่อนหน้านี้ มีหลายฝ่ายกังวลเกี่ยวกับการละเมิดข้อมูลส่วนตัวของผู้ใช้ ทำให้มีการแก้ไขปรับปรุงจุดด้อย ซึ่งแอปพลิเคชัน ดังกล่าวยังเป็นหนึ่งในปัจจัยสำคัญที่จะนำพาสิงคโปร์เข้าสู่การผ่อนคลายมาตรการป้องกนการแพร่ระบาดของโรคโควิด-19 ในเฟส 3 ก่อนปีใหม่นี้ รู้จัก เซฟเอ็นทรี และเทรซ ทูเกตเตอร์ รัฐบาลสิงคโปร์ได้ใช้การเช็กอิน ผ่านระบบดิจิทัลหรือเรียกว่า ‘เซฟเอ็นทรี’ ซึ่งคล้ายคลึงกับ…

กรณีศึกษา Shopify ทำข้อมูลลูกค้ารั่วไหลเพราะคนในแอบขโมยข้อมูล (insider threat)

Shopify เป็นแพลตฟอร์มสำหรับสร้างเว็บไซต์อีคอมเมิร์ซ รองรับทั้งการแสดงผลร้านค้าและการชำระเงิน เมื่อวันที่ 22 กันยายน 2563 บริษัท Shopify ได้ประกาศแจ้งสถานการณ์ข้อมูลรั่วไหล โดยสาเหตุเกิดจากพนักงานฝ่ายสนับสนุนจำนวน 2 คนเข้าถึงข้อมูลบันทึกการชำระเงินของลูกค้ากว่า 200 รายโดยไม่ได้รับอนุญาต หลังจากที่ตรวจพบเหตุการณ์ดังกล่าวทางบริษัทได้ตัดสิทธิ์พนักงานทั้ง 2 คนออกจากระบบและสั่งดำเนินการสอบสวนทางกฎหมายทันที ทั้งนี้ ทาง Shopify แจ้งว่าอยู่ระหว่างการรวบรวมรายชื่อลูกค้าที่ได้รับผลกระทบ แต่ก็ยืนยันว่าข้อมูลที่พนักงานสามารถเข้าถึงได้นั้นมีเฉพาะข้อมูลพื้นฐาน เช่น ชื่อ อีเมล ที่อยู่ และประวัติการซื้อขายสินค้า แต่ไม่มีข้อมูลทางการเงินหลุดออกไปแต่อย่างใด กรณีศึกษานี้เป็นตัวอย่างเหตุการณ์ภัยคุกคามจากคนใน (insider threat) ซึ่งเป็นสิ่งที่สามารถเกิดขึ้นได้ในทุกองค์กร เป้าหมายมีได้ตั้งแต่การฉ้อฉล ขโมยทรัพย์สินทางปัญญา ไปจนถึงสร้างความเสียหาย สาเหตุของการเกิดนั้นมีได้ทั้งจากตัวพนักงานและจากปัญหาภายในองค์กร ทั้งนี้ ภัยคุกคามจากคนในนั้นไม่ได้หมายถึงแค่คนในเป็นคนก่อเหตุ แต่ยังหมายรวมถึงเหตุการณ์ที่คนในกระทำผิดโดยไม่เจตนา หรือถูกข่มขู่บังคับเพื่อให้กระทำการทุจริตได้ด้วย ทาง Software Engineering Institute ของ Carnegie Mellon University ได้ให้ข้อแนะนำในการป้องกันภัยคุกคามจากคนในไว้ดังนี้ จัดทำทะเบียนสินทรัพย์ และกำหนดมาตรการป้องกันตามระดับความสำคัญของสินทรัพย์นั้น ๆ จัดให้มีมาตรการและทีมงานเพื่อตรวจสอบ ป้องกัน…

ข้อมูลส่วนตัวของประชาชนในสหรัฐฯ กว่า 80 ล้านรายรั่วไหล

เป็นข่าวพาดหัวไม่เว้นแต่ละวันสำหรับเหตุการณ์ข้อมูลรั่วไหล โดยครั้งนี้มีทีมนักวิจัยได้ค้นพบฐานข้อมูลบนคลาวด์ที่ไม่มีระบบป้องกัน ซึ่งภายในบรรจุข้อมูลทั้งข้อมูลส่วนตัวและข้อมูลทางการเงินของประชาชนในสหรัฐฯ มากกว่า 80 ล้านครัวเรือน เทียบกับที่เคยเกิดเหตุการณ์ลักษณะคล้ายกันนี้อีก 2 ครั้งก่อนหน้า ที่กระทบกับประชากรกว่า 200 ล้าน และ 82 ล้านรายของอเมริกาเช่นกัน แต่เหตุการณ์ล่าสุดนี้ นักวิจัยจาก vpMentor พบฐานข้อมูลขนาด 24 GB โฮสต์บนเซิร์ฟเวอร์คลาวด์ของไมโครซอฟท์ ข้อมูลดังกล่าวประกอบด้วยจำนวนคนที่อาศัยในบ้านแต่ละหลัง พร้อมชื่อนามสกุลเต็ม, สถานการณ์แต่งงาน, รายได้, อายุ, ที่อยู่, รัฐ, ประเทศ, เมือง, รหัสไปรษณีย์, เพศ, วันเดือนปีเกิด ไปจนถึงตำแหน่งที่ตั้งที่ละเอียดระดับพิกัดละติจูด ลองติจูด vpnMentor ระบุผ่านบล็อกของตัวเองว่า ฐานข้อมูลดังกล่าวถูกค้นพบระหว่างการทำโปรเจ็กต์แผนที่เว็บขนาดใหญ่ของบริษัท แม้กรณีทำนองนี้โดยปกติแล้วนักวิจัยจะสามารถระบุหาต้นตอและเจ้าของฐานข้อมูลได้ง่าย แต่เคสนี้จนถึงปัจจุบันก็ยังไม่ทราบว่าใครเป็นคนเอามาเปิดเผยบนโลกออนไลน์แบบที่ไม่มีระบบยืนยันตัวตนใดๆ ป้องกันไว้ ——————————————— ที่มา : EnterpriseITPro / 8 พฤษภาคม 2562 Link : https://www.enterpriseitpro.net/sensitive-data-of-80-million-us-households-exposed-online/