Oh no! Where's the JavaScript?
Your Web browser does not have JavaScript enabled or does not support JavaScript. Please enable JavaScript on your Web browser to properly view this Web site, or upgrade to a Web browser that does support JavaScript.

ລາວເຊີດລາວເຊີດລາວເຊີດ

ແຈ້ງເຕືອນ

ກວດເຫັນຂໍ້ມູນ plaintext password ຮົ່ວໄຫຼເຖິງ 19 ລ້ານ ລາຍການ ຈາກ Firebase instance ທີ່ຕັ້ງຄ່າບໍ່ປອດໄພ

ກວດເຫັນຂໍ້ມູນ plaintext password ຮົ່ວໄຫຼເຖິງ 19 ລ້ານ ລາຍການ ຈາກ Firebase instance ທີ່ຕັ້ງຄ່າບໍ່ປອດໄພນັກ​ວິໄ​ຈ​ດ້ານ​ຄວາມ​ປອດ​ໄພ​ທາງ​ໄຊ​ເບີ​ລາຍ​ງານ​ການ​ຄົ້ນ​ພົບ​ plaintext password ເຖິງ​ 19 ລ້ານ​ ລະ​ຫັດ​ ທີ່​ຖືກ​ເປີດ​ເຜີຍ​ເທິງ​ອິນ​ເຕີ​ເນັດ​ຈາກ​ Firebase instance ທີ່​ຕັ້ງ​ຄ່າ​ບໍ່​ປອດໄ​ພ​. Firebase ເປັນ​ພລາດ​ຟອມ (Platform) ​ຂອງ​ Google ສຳລັບ​ການ​ໂຮສຖານ​ຂໍ້​ມູນ​, ການ​ປະ​ມວນ​ຜົນ​ແບບ​ຄລາວ ແລະ ​ການ​ພັດທະນາ​ແອັບ​ພິເຄຊັ່ນ ຊຶ່ງ​ນັກ​ວິ​ໄຈ​ໄດ້​​ສ​ະແກນ​ໂດ​ເມນ​ (Domain) ຫຼາຍກວ່າ​ 5 ລ້ານ​ໂດ​ເມນ​ ແລະ​ ກວດເຫັນ​ເວັບ​ໄຊ​ 916 ແຫ່ງ​ ຈາກ​ອົງ​ກອນ​ທີ່​ບໍ່​ໄດ້​ເປີດ​ໃຊ້​ງານ​ມາດຕະ​ການ​ດ້ານ​ຄວາມ​ປອດ​ໄພ ຫຼື ​ຕັ້ງ​ຄ່າ​ບໍ່​ຖືກ​ຕ້ອງ​.ຂໍ້ມູນ​ plaintext password ທີ່​ຮົ່ວ​ໄຫຼ​ປະກອບ​​ດ້ວຍ​ ຂໍ້​ມູນ​ຜູ້​ໃຊ້​ທີ່​ມີ​ຄວາມ​ສຳຄັນ​ຫຼາຍກວ່າ​ 125 ລ້ານ​ ລາຍ​ການ​ ລວມ​ເຖິງ​ອີ​ເມວ, ຊື່,​ ລະຫັດ​ຜ່ານ,​ ໝາຍ​ເລກ​ໂທລະ​ສັບ​ ແລະ​ ຂໍ້​ມູນ​ການ​ເອີ້ນ​ເກັບ​ເງິນ​ພ້ອມ​ລາຍ​ລະອຽດ​ທະນາ​ຄານ​.



ຂໍ້​ມູນ​ plaintext password ຮົ່ວ​ໄຫຼ​

ນັກ​ວິ​ໄຈ​ (Logykk ,xyzeva/Eva ແລະ​ MrBruh) ໄດ້​ຄົ້ນ​ຫາ​ເວັບໄຊ​ສາທາລະນະ ​ເພື່ອ​ຫາ​ຂໍ້​ມູນ​ສ່ວນ​ບຸກ​ຄົນ​ (PII) ທີ່​ຖືກ​ເປີດ​ເຜີຍ​ຜ່ານ​ Firebase instance ທີ່​ມີ​ຊ່ອງ​ໂຫວ່​ ຊຶ່ງ​ບໍ່​ໄດ້ຕັ້ງ​ຄ່າ​ຄວາມ​ປອດ​ໄພ​​ ຫຼື ​ມີ​ການ​ກຳນົດ​ຄ່າ​ບໍ່​ຖືກ​ຕ້ອງ​ ແລະ​ ອະນຸຍາດ​ໃຫ້​ເຂົ້າ​ເຖິງ​ຖານ​ຂໍ້​ມູນ​ແບບ​ read access ໄດ້​.

ສຳ​ລັບ​ຕົວ​ຢ່າງ​ database ທີ່​ຮົ່ວ​ໄຫຼ​ ຖືກ​ສະແດງ​ໂດຍ​ສະຄຣິບ (Script) ຂອງ​ Eva ຊຶ່ງ​ເປັນ​ Catalyst ທີ່​ມີ​ໄວ້ ​ເພື່ອ​ກວດ​ສອບ​ປະ​ເພດ​ຂອງ​ຂໍ້​ມູນ​ທີ່ກວດເຫັນ​ ແລະ ​ແຍກ​ຕົວ​ຢ່າງ​ 100 ລາຍ​ການ​.

ລາຍ​ລະອຽດ​ຂອງ​ຂໍ້​ມູນ​ plaintext password ທີ່​ຮົ່ວ​ໄຫຼ​ ຈາກ​ການຕັ້ງ​ຄ່າ​ບໍ່​ປອດໄ​ພ​ ປະກອບ​​ດ້ວຍ​:

  • ຊື່​: 84,221,169 ລາຍ​ການ​
  • ອີ​ເມ​ວ​: 106,266,766 ລາຍ​ການ​
  • ໝາຍ​ເລກ​ໂທລະ​ສັບ​: 33,559,863 ລາຍ​ການ​
  • ລະ​ຫັດ​ຜ່ານ​: 20,185,831 ລາຍ​ການ​
  • ຂໍ້​ມູນ​ການເອີ້ນ​ເກັບ​ເງິນ​ (ລາຍ​ລະອຽດ​ທະ​ນາ​ຄານ, ໃບ​ແຈ້ງ​ໜີ້​ ແລະອື່ນໆ​): 27,487,924 ລາຍ​ການ​
    ຊຶ່ງ​ລະ​ຫັດ​ຜ່ານ​ຈຳນວນ​ 98% ຫຼື​ 19,867,627 ລາຍ​ການ​ ເປັນ​ plaintext password ເຮັດໃຫ້​ມີ​ຄວາມ​ສ່ຽງ​ທີ່​ຈະ​ຖືກ​ນຳ​ຂໍ້​ມູນ​ໄປ​ໃຊ້​ໃນ​ການ​ໂຈມ​ຕີ​ໄດ້.

​ນັກ​ວິ​ໄຈ​ລະ​ບຸ​ວ່າ​ ບໍລິສັດ​ຕ່າງ​ໆ​ ຄວນ​ຕ້ອງ​ຫຼີກ​ລ່ຽງ​ການ​ຈັດ​ເກັບ​ລະ​ຫັດ​ຜ່ານ​ໃນ​ຮູບ​ແບບ​ plaintext ເນື່ອງ​ຈາກ​ Firebase ມີ​ end-to-end identity solution ທີ່​ເອີ້ນວ່າ​ Firebase Authentication ໂດຍ​ສະເພາະ​ ສຳລັບ​ຂະ​ບວນ​ການ​ລົງ​ຊື່​ເຂົ້າ​ໃຊ້​ທີ່ປອດໄ​ພ​ ຊຶ່ງ​ຈະ​ບໍ່​ເປີດ​ເຜີຍ​ລະ​ຫັດ​ຜ່ານ​ຂອງ​ຜູ້​ໃຊ້​ໃນ​ record.

ໜຶ່ງ​ໃນ​ວິທີ​ການຮົ່ວ​ໄຫຼ​ຂອງ​ຂອງລະ​ຫັດ​ຜ່ານ​ຜູ້​ໃຊ້​ໃນ​ Firestore database ແມ່ນມາຈາກ​ຜູ້​ເບິ່ງ​ແຍງ​ລະບົບ​ສ້າງ​ 'password' field ທີ່​ຈະ​ຈັດ​ເກັບ​ຂໍ້​ມູນ​ໃນ​ຮູບ​ແບບ​ plaintext.

ການ​ແຈ້ງ​ເຕືອນ​ໄປຫາເຈົ້າ​ຂອງ​ເວັບ​ໄຊ​​

ຫຼັງ​ຈາກ​ວິ​ເຄາະ​ຂໍ້​ມູນ​ຈາກ​ຕົວ​ຢ່າງ​ແລ້ວ​ ນັກ​ວິໄ​ຈ​ໄດ້​ພະຍາຍາມ​ແຈ້ງ​ເຕືອນ​ໄປ​ຫາ​ບໍລິສັດ​ທີ່​ໄດ້ຮັບ​ຜົນ​ກະທົບ​ທັງ​ໝົດ​ກ່ຽວກັບ​ Firebase instance ທີ່​ມີ​ການ​ຮັກສາ​ຄວາມ​ປອດໄ​ພ​ທີ່​ບໍ່​ເໝາະ​ສົມ​ ໂດຍ​ການສົ່ງ​ອີ​ເມວ​ 842 ສະບັບ​ໃນ​ໄລຍະ​ເວລາ​ 13 ມື້​ ເຖິງວ່າ​ຈະ​ມີ​ເຈົ້າ​ຂອງ​ເວັບ​ໄຊ​​ພຽງ​ 1% ຕອບ​ກັບ​ອີ​ເມວ​ດັ່ງ​ກ່າວ​ ແຕ່ເຫັນວ່າ​ໜຶ່ງ​ໃນ​ສີ່​ຂອງ​ຜູ້​ເບິ່ງ​ແຍງ​ລະບົບ​ເວັບ​ໄຊ​​ທີ່​ໄດ້ຮັບ​ແຈ້ງ​ເຕືອນ​ ໄດ້​​ແກ້​ໄຂ​ການ​ກຳນົດ​ຄ່າ​ທີ່​ບໍ່​ຖືກ​ຕ້ອງ​ໃນພລາດຟອມ​ Firebase ຂອງ​ຕົນເອງ​ ລວມ​ເຖິງ​ນັກ​ວິໄ​ຈ​ຍັງ​ຖືກ​ເຢາະ​ເຢີ້ຍ​ຈາກ​ເວັບ​ໄຊ​ການ​ພະ​ນັນ​ຂອງ​ອິນ​ໂດເນ​ເຊຍ​ 9 ລາຍ​ການ​ ທີ່​ນັກ​ວິ​ໄຈໄດ້​ລາຍ​ງານ​ບັນຫາ​ ແລະ​ ແນະ​ນຳ​ແນວ​ທາງ​ໃນ​ການ​ແກ້​ໄຂ​ບັນຫາ​ ຊຶ່ງ​ບໍລິສັດ​ດຽວ​ກັນ​ນີ້​ ມີ​ຈຳນວນ​ບັນ​ທຶກ​ບັນ​ຊີທະ​ນາ​ຄານ​ທີ່​ຖືກ​ເປີດ​ເຜີຍ​ຫຼາຍ​ທີ່ສຸດ​ (8 ລ້ານ ​ລາຍ​ການ​) ແລະ ​ລະຫັດ​ຜ່ານ​ແບບ​ plaintext (10 ລ້ານ ລາຍ​ການ​).



​ມູນ​ທີ່​ຮົ່ວ​ໄຫຼ​ທັງ​ໝົດ​ 223 ລ້ານ​ ລາຍ​ການ​

ນັກ​ວິໄ​ຈ​ໄດ້​ສະ​ແກນ​ໂດຍ​ໃຊ້​ສະຄຣິບ​ Python ທີ່​ສ້າງ​ໂດຍ​ MrBruh ເພື່ອ​ກວດ​ສອບ​ເວັບ​ໄຊ​ ຫຼື ​ຊຸດ​ JavaScript ເພື່ອ​ຫາ​ຕົວ​ແປໃນ​ການ​ກຳນົດ​ຄ່າ​ Firebase ຊຶ່ງ​ການ​ສ​ະແກນ​ອິນ​ເຕີ​ເນັດ​ ແຍກ​ວິ​ເຄາະ​ຂໍ້​ມູນ​ດິບ​ ແລະ ການຈັດລະບຽບ​ໃຊ້​ເວລາ​ປະ​ມານ​ໜຶ່ງ​ເດືອນ​.

ການ​ໃຊ້​ໜ່ວຍ​ຄວາມ​ຈຳ​ຂະໜາດ​ໃຫຍ່​ເຮັດໃຫ້ສະຄຣິບ​ບໍ່​ເໝາະ​ສົມ​ກັບ​ງານ​ ຈຶ່ງ​ໄດ້​ປ່ຽນ​ໄປ​ໃຊ້​ຕົວ​ແປໃນ​ Golang ທີ່​ຂຽນ​ໂດຍ​ Logykk ຊຶ່ງ​ໃຊ້​ເວລາ​ຫຼາຍກວ່າ​ສອງ​ອາທິດ​ໃນ​ການ​ສະ​ແກນ​ອິນ​ເຕີ​ເນັດ​ໃຫ້​ສຳເລັດ​.

ໂດຍ​ສະຄຣິບ​ໃໝ່​ໄດ້​ສະ​ແກນ​ໂດ​ເມນ​ຫຼາຍກວ່າ​ 5 ລ້ານ​ ໂດ​ເມນ ​ທີ່​ເຊື່ອມ​ຕໍ່​ກັບ​ພລາດ​ຟອມ​ Firebase ຂອງ​ Google ສຳລັບ​ບໍລິການ​ຄອມພິວເຕີ​ຄລາວ​​ແບັກ​ເອັນ​ (backend cloud computing services) ແລະ ​ການ​ພັດທະນາ​ແອັບ​ພິ​ເຄ​ຊັ່ນ​ ໃນ​ການ​ກວດ​ສອບ​ສິດ​ການ​ອ່ານ​ໃນ​ Firebase ໂດຍ​ອັດຕະໂນ​ມັ​ດ. ນອກ​ຈາກ​ນີ້​, ທີມ​ງານ​ຍັງ​ໄດ້​ໃຊ້​ສະຄຣິບ​ອື່ນ​ຈາກ​ Eva ທີ່​ຈະສັງ​ຂໍ້​ມູນ​ເວັບ​ໄຊ​ ​ຫຼື​ JavaScript ເພື່ອ​ເຂົ້າ​ເຖິງ​ Firebase collections (Cloud Firestore NoSQL databases).

ຈຳນວນ​ຂໍ້​ມູນ​ທັງ​ໝົດ​ທີ່​ນັກ​ວິ​ໄຈຄົ້ນ​ພົບ​ໃນ​ database ທີ່​ກຳນົດ​ຄ່າ​ບໍ່​ຖືກ​ຕ້ອງ​ຄື​ 223,172,248 ລາຍ​ການ​ ໃນ​ຈຳນວນ​ນີ້​ມີ​ຂໍ້​ມູນ​ບັນ​ທຶກ​ 124,605,664 ລາຍ​ການ​ທີ່​ກ່ຽວ​ຂ້ອງ​ກັບ​ຜູ້​ໃຊ້​ ສ່ວນ​ທີ່​ເຫຼືອ​ສະແດງ​ຂໍ້​ມູນ​ທີ່​ກ່ຽວ​ຂ້ອງ​ກັບ​ອົງ​ກອນ ແລະ​ ການ​ທົດສອບ​.

ຈຸດ​ເລີ່ມ​ຕົ້ນ​ການ​ຄົ້ນ​ພົບ​

ການ​ສະ​ແກນ​ອິນ​ເຕີ​ເນັດ ​ເພື່ອ​ຫາ​ຂໍ້​ມູນ​ Personally Identifiable Information in Domain Name System (PII) ທີ່​ເປີດ​ເຜີຍ​ຈາກ​ Firebase instance ທີ່​ກຳນົດ​ຄ່າ​ບໍ່​ຖືກ​ຕ້ອງ​ເປັນ​ການ​ຕິດ​ຕາມ​ຜົນ​ຂອງ​ອີກ​ໂຄງ​ການ​ໜຶ່ງ​ທີ່​ນັກ​ວິໄ​ຈ​ດຳ​ເນີນ​ການ​ໃນສອງ​ເດືອນ​ທີ່​ແລ້ວ​ ຊຶ່ງ​ເປັນ​ໂຄງ​ການ​ທີ່​ໄດ້ຮັບ​ສິດ​ຂອງ​ຜູ້​ເບິ່ງ​ແຍງ​ລະບົບ​ ແລະ ​ສິດ​ຜູ້​ເບິ່ງ​ແຍງ​ລະບົບ​ຂັ້ນ​ສູງ​ໃນ​ Firebase instance ໃຊ້​ໂດຍ​ Chattr ຊຶ່ງ​ເປັນ​ໂຊ​ລູ​ຊັ່ນ (Solution) ​ຊອບ​ແວ​​ການ​ຈ້າງ​ງານ​ທີ່​ຂັບ​ເຄື່ອນ​ດ້ວຍ​ AI.

Chattr ຖືກ​ໃຊ້​ໂດຍ​ຮ້ານ​ອາຫານ​ຟາດ​ຟູດ (fast food) ຂະໜາດ​ໃຫຍ່​ຫຼາຍ​ແຫ່ງ​ໃນ​ສະ​ຫະລັດ​ອາ​ເມ​ລິ​ກາ​ ເຊັ່ນ:​ KFC, Wendy's, Taco Bell, Chick-fil-A, Subway, Arby's, Applebee's ແລະ​ Jimmy John's ເພື່ອ​ຈ້າງ​ພະ​ນັກ​ງານ​.

ເຖິງແມ່ນວ່າ​ບົດ​ບາດ​ຜູ້​ເບິ່ງ​ແຍງ​ລະບົບ​ໃນ​ Firebase dashboard ຂອງ​ Chattr ຈະ​ເຮັດໃຫ້​ສາມາດ​ເບິ່ງ​ຂໍ້​ມູນ​ທີ່​ມີ​ຄວາມ​ສຳຄັນ​ ທີ່​ກ່ຽວ​ຂ້ອງ​ກັບ​ບຸກ​ຄົນ​ທີ່​ພະຍາຍາມ​ຫາ​ງານ​ໃນ​ອຸດສາຫະກຳ​ອາຫານ​ຟາດ​​ຟູດ​ໄດ້​ ແຕ່ບ​ົດ​ບາດ​ "ຜູ້​ເບິ່ງ​ແຍງ​ລະບົບ​ຂັ້ນ​ສູງ​" ໃຫ້​ສິດ​ເຂົ້າ​ເຖິງ​ບັນ​ຊີ​ຂອງ​ບໍລິສັດ​ ແລະ​ ດຳ​ເນີນ​ການ​ໃນ​ນາມ​ຂອງ​ບໍລິສັດ​ສຳລັບ​ງານ​ບາງຢ່າງ​ ລວມເຖິງ​ການ​ຕັດ​ສິນ​ໃຈ​ຈ້າງ​ງານ​.​

ນັກ​ວິ​ໄຈ​ໄດ້​ເປີດ​ເຜີຍ​ຊ່ອງ​ໂຫວ່​ດັ່ງ​ກ່າວ​ຕໍ່​ Chattr ຊຶ່ງ​ເປັນ​ຜູ້​ແກ້​ໄຂ​ຊ່ອງ​ໂຫວ່​ດັ່ງ​ກ່າວ​

ເອກິສານອ້າງອີງ:

  1. https://www.bleepingcomputer.com/news/security/misconfigured-firebase-instances-leaked-19-million-plaintext-passwords/
  2. https://www.i-secure.co.th/2024/03/%e0%b8%9e%e0%b8%9a%e0%b8%82%e0%b9%89%e0%b8%ad%e0%b8%a1%e0%b8%b9%e0%b8%a5-plaintext-password-%e0%b8%a3%e0%b8%b1%e0%b9%88%e0%b8%a7%e0%b9%84%e0%b8%ab%e0%b8%a5%e0%b8%81%e0%b8%a7%e0%b9%88%e0%b8%b2-19/

ລາຍການຮູບ

Meesaisak 04 April 2024 264 Print