ນັກ​ວິໄ​ຈ​ດ້ານ​ຄວາມ​ປອດ​ໄພ​ທາງ​ໄຊ​ເບີ​ລາຍ​ງານ​ການ​ຄົ້ນ​ພົບ​ plaintext password ເຖິງ​ 19 ລ້ານ​ ລະ​ຫັດ​ ທີ່​ຖືກ​ເປີດ​ເຜີຍ​ເທິງ​ອິນ​ເຕີ​ເນັດ​ຈາກ​ Firebase instance ທີ່​ຕັ້ງ​ຄ່າ​ບໍ່​ປອດໄ​ພ​. Firebase ເປັນ​ພລາດ​ຟອມ (Platform) ​ຂອງ​ Google ສຳລັບ​ການ​ໂຮສຖານ​ຂໍ້​ມູນ​, ການ​ປະ​ມວນ​ຜົນ​ແບບ​ຄລາວ ແລະ ​ການ​ພັດທະນາ​ແອັບ​ພິເຄຊັ່ນ ຊຶ່ງ​ນັກ​ວິ​ໄຈ​ໄດ້​​ສ​ະແກນ​ໂດ​ເມນ​ (Domain) ຫຼາຍກວ່າ​ 5 ລ້ານ​ໂດ​ເມນ​ ແລະ​ ກວດເຫັນ​ເວັບ​ໄຊ​ 916 ແຫ່ງ​ ຈາກ​ອົງ​ກອນ​ທີ່​ບໍ່​ໄດ້​ເປີດ​ໃຊ້​ງານ​ມາດຕະ​ການ​ດ້ານ​ຄວາມ​ປອດ​ໄພ ຫຼື ​ຕັ້ງ​ຄ່າ​ບໍ່​ຖືກ​ຕ້ອງ​.ຂໍ້ມູນ​ plaintext password ທີ່​ຮົ່ວ​ໄຫຼ​ປະກອບ​​ດ້ວຍ​ ຂໍ້​ມູນ​ຜູ້​ໃຊ້​ທີ່​ມີ​ຄວາມ​ສຳຄັນ​ຫຼາຍກວ່າ​ 125 ລ້ານ​ ລາຍ​ການ​ ລວມ​ເຖິງ​ອີ​ເມວ, ຊື່,​ ລະຫັດ​ຜ່ານ,​ ໝາຍ​ເລກ​ໂທລະ​ສັບ​ ແລະ​ ຂໍ້​ມູນ​ການ​ເອີ້ນ​ເກັບ​ເງິນ​ພ້ອມ​ລາຍ​ລະອຽດ​ທະນາ​ຄານ​.

ຂໍ້​ມູນ​ plaintext password ຮົ່ວ​ໄຫຼ​

ນັກ​ວິ​ໄຈ​ (Logykk ,xyzeva/Eva ແລະ​ MrBruh) ໄດ້​ຄົ້ນ​ຫາ​ເວັບໄຊ​ສາທາລະນະ ​ເພື່ອ​ຫາ​ຂໍ້​ມູນ​ສ່ວນ​ບຸກ​ຄົນ​ (PII) ທີ່​ຖືກ​ເປີດ​ເຜີຍ​ຜ່ານ​ Firebase instance ທີ່​ມີ​ຊ່ອງ​ໂຫວ່​ ຊຶ່ງ​ບໍ່​ໄດ້ຕັ້ງ​ຄ່າ​ຄວາມ​ປອດ​ໄພ​​ ຫຼື ​ມີ​ການ​ກຳນົດ​ຄ່າ​ບໍ່​ຖືກ​ຕ້ອງ​ ແລະ​ ອະນຸຍາດ​ໃຫ້​ເຂົ້າ​ເຖິງ​ຖານ​ຂໍ້​ມູນ​ແບບ​ read access ໄດ້​.

ສຳ​ລັບ​ຕົວ​ຢ່າງ​ database ທີ່​ຮົ່ວ​ໄຫຼ​ ຖືກ​ສະແດງ​ໂດຍ​ສະຄຣິບ (Script) ຂອງ​ Eva ຊຶ່ງ​ເປັນ​ Catalyst ທີ່​ມີ​ໄວ້ ​ເພື່ອ​ກວດ​ສອບ​ປະ​ເພດ​ຂອງ​ຂໍ້​ມູນ​ທີ່ກວດເຫັນ​ ແລະ ​ແຍກ​ຕົວ​ຢ່າງ​ 100 ລາຍ​ການ​.

ລາຍ​ລະອຽດ​ຂອງ​ຂໍ້​ມູນ​ plaintext password ທີ່​ຮົ່ວ​ໄຫຼ​ ຈາກ​ການຕັ້ງ​ຄ່າ​ບໍ່​ປອດໄ​ພ​ ປະກອບ​​ດ້ວຍ​:

• ຊື່​: 84,221,169 ລາຍ​ການ​
• ອີ​ເມ​ວ​: 106,266,766 ລາຍ​ການ​
• ໝາຍ​ເລກ​ໂທລະ​ສັບ​: 33,559,863 ລາຍ​ການ​
• ລະ​ຫັດ​ຜ່ານ​: 20,185,831 ລາຍ​ການ​
• ຂໍ້​ມູນ​ການເອີ້ນ​ເກັບ​ເງິນ​ (ລາຍ​ລະອຽດ​ທະ​ນາ​ຄານ, ໃບ​ແຈ້ງ​ໜີ້​ ແລະອື່ນໆ​): 27,487,924 ລາຍ​ການ​
  ຊຶ່ງ​ລະ​ຫັດ​ຜ່ານ​ຈຳນວນ​ 98% ຫຼື​ 19,867,627 ລາຍ​ການ​ ເປັນ​ plaintext password ເຮັດໃຫ້​ມີ​ຄວາມ​ສ່ຽງ​ທີ່​ຈະ​ຖືກ​ນຳ​ຂໍ້​ມູນ​ໄປ​ໃຊ້​ໃນ​ການ​ໂຈມ​ຕີ​ໄດ້.

​ນັກ​ວິ​ໄຈ​ລະ​ບຸ​ວ່າ​ ບໍລິສັດ​ຕ່າງ​ໆ​ ຄວນ​ຕ້ອງ​ຫຼີກ​ລ່ຽງ​ການ​ຈັດ​ເກັບ​ລະ​ຫັດ​ຜ່ານ​ໃນ​ຮູບ​ແບບ​ plaintext ເນື່ອງ​ຈາກ​ Firebase ມີ​ end-to-end identity solution ທີ່​ເອີ້ນວ່າ​ Firebase Authentication ໂດຍ​ສະເພາະ​ ສຳລັບ​ຂະ​ບວນ​ການ​ລົງ​ຊື່​ເຂົ້າ​ໃຊ້​ທີ່ປອດໄ​ພ​ ຊຶ່ງ​ຈະ​ບໍ່​ເປີດ​ເຜີຍ​ລະ​ຫັດ​ຜ່ານ​ຂອງ​ຜູ້​ໃຊ້​ໃນ​ record.

ໜຶ່ງ​ໃນ​ວິທີ​ການຮົ່ວ​ໄຫຼ​ຂອງ​ຂອງລະ​ຫັດ​ຜ່ານ​ຜູ້​ໃຊ້​ໃນ​ Firestore database ແມ່ນມາຈາກ​ຜູ້​ເບິ່ງ​ແຍງ​ລະບົບ​ສ້າງ​ 'password' field ທີ່​ຈະ​ຈັດ​ເກັບ​ຂໍ້​ມູນ​ໃນ​ຮູບ​ແບບ​ plaintext.

ການ​ແຈ້ງ​ເຕືອນ​ໄປຫາເຈົ້າ​ຂອງ​ເວັບ​ໄຊ​​

ຫຼັງ​ຈາກ​ວິ​ເຄາະ​ຂໍ້​ມູນ​ຈາກ​ຕົວ​ຢ່າງ​ແລ້ວ​ ນັກ​ວິໄ​ຈ​ໄດ້​ພະຍາຍາມ​ແຈ້ງ​ເຕືອນ​ໄປ​ຫາ​ບໍລິສັດ​ທີ່​ໄດ້ຮັບ​ຜົນ​ກະທົບ​ທັງ​ໝົດ​ກ່ຽວກັບ​ Firebase instance ທີ່​ມີ​ການ​ຮັກສາ​ຄວາມ​ປອດໄ​ພ​ທີ່​ບໍ່​ເໝາະ​ສົມ​ ໂດຍ​ການສົ່ງ​ອີ​ເມວ​ 842 ສະບັບ​ໃນ​ໄລຍະ​ເວລາ​ 13 ມື້​ ເຖິງວ່າ​ຈະ​ມີ​ເຈົ້າ​ຂອງ​ເວັບ​ໄຊ​​ພຽງ​ 1% ຕອບ​ກັບ​ອີ​ເມວ​ດັ່ງ​ກ່າວ​ ແຕ່ເຫັນວ່າ​ໜຶ່ງ​ໃນ​ສີ່​ຂອງ​ຜູ້​ເບິ່ງ​ແຍງ​ລະບົບ​ເວັບ​ໄຊ​​ທີ່​ໄດ້ຮັບ​ແຈ້ງ​ເຕືອນ​ ໄດ້​​ແກ້​ໄຂ​ການ​ກຳນົດ​ຄ່າ​ທີ່​ບໍ່​ຖືກ​ຕ້ອງ​ໃນພລາດຟອມ​ Firebase ຂອງ​ຕົນເອງ​ ລວມ​ເຖິງ​ນັກ​ວິໄ​ຈ​ຍັງ​ຖືກ​ເຢາະ​ເຢີ້ຍ​ຈາກ​ເວັບ​ໄຊ​ການ​ພະ​ນັນ​ຂອງ​ອິນ​ໂດເນ​ເຊຍ​ 9 ລາຍ​ການ​ ທີ່​ນັກ​ວິ​ໄຈໄດ້​ລາຍ​ງານ​ບັນຫາ​ ແລະ​ ແນະ​ນຳ​ແນວ​ທາງ​ໃນ​ການ​ແກ້​ໄຂ​ບັນຫາ​ ຊຶ່ງ​ບໍລິສັດ​ດຽວ​ກັນ​ນີ້​ ມີ​ຈຳນວນ​ບັນ​ທຶກ​ບັນ​ຊີທະ​ນາ​ຄານ​ທີ່​ຖືກ​ເປີດ​ເຜີຍ​ຫຼາຍ​ທີ່ສຸດ​ (8 ລ້ານ ​ລາຍ​ການ​) ແລະ ​ລະຫັດ​ຜ່ານ​ແບບ​ plaintext (10 ລ້ານ ລາຍ​ການ​).

​ມູນ​ທີ່​ຮົ່ວ​ໄຫຼ​ທັງ​ໝົດ​ 223 ລ້ານ​ ລາຍ​ການ​

ນັກ​ວິໄ​ຈ​ໄດ້​ສະ​ແກນ​ໂດຍ​ໃຊ້​ສະຄຣິບ​ Python ທີ່​ສ້າງ​ໂດຍ​ MrBruh ເພື່ອ​ກວດ​ສອບ​ເວັບ​ໄຊ​ ຫຼື ​ຊຸດ​ JavaScript ເພື່ອ​ຫາ​ຕົວ​ແປໃນ​ການ​ກຳນົດ​ຄ່າ​ Firebase ຊຶ່ງ​ການ​ສ​ະແກນ​ອິນ​ເຕີ​ເນັດ​ ແຍກ​ວິ​ເຄາະ​ຂໍ້​ມູນ​ດິບ​ ແລະ ການຈັດລະບຽບ​ໃຊ້​ເວລາ​ປະ​ມານ​ໜຶ່ງ​ເດືອນ​.

ການ​ໃຊ້​ໜ່ວຍ​ຄວາມ​ຈຳ​ຂະໜາດ​ໃຫຍ່​ເຮັດໃຫ້ສະຄຣິບ​ບໍ່​ເໝາະ​ສົມ​ກັບ​ງານ​ ຈຶ່ງ​ໄດ້​ປ່ຽນ​ໄປ​ໃຊ້​ຕົວ​ແປໃນ​ Golang ທີ່​ຂຽນ​ໂດຍ​ Logykk ຊຶ່ງ​ໃຊ້​ເວລາ​ຫຼາຍກວ່າ​ສອງ​ອາທິດ​ໃນ​ການ​ສະ​ແກນ​ອິນ​ເຕີ​ເນັດ​ໃຫ້​ສຳເລັດ​.

ໂດຍ​ສະຄຣິບ​ໃໝ່​ໄດ້​ສະ​ແກນ​ໂດ​ເມນ​ຫຼາຍກວ່າ​ 5 ລ້ານ​ ໂດ​ເມນ ​ທີ່​ເຊື່ອມ​ຕໍ່​ກັບ​ພລາດ​ຟອມ​ Firebase ຂອງ​ Google ສຳລັບ​ບໍລິການ​ຄອມພິວເຕີ​ຄລາວ​​ແບັກ​ເອັນ​ (backend cloud computing services) ແລະ ​ການ​ພັດທະນາ​ແອັບ​ພິ​ເຄ​ຊັ່ນ​ ໃນ​ການ​ກວດ​ສອບ​ສິດ​ການ​ອ່ານ​ໃນ​ Firebase ໂດຍ​ອັດຕະໂນ​ມັ​ດ. ນອກ​ຈາກ​ນີ້​, ທີມ​ງານ​ຍັງ​ໄດ້​ໃຊ້​ສະຄຣິບ​ອື່ນ​ຈາກ​ Eva ທີ່​ຈະສັງ​ຂໍ້​ມູນ​ເວັບ​ໄຊ​ ​ຫຼື​ JavaScript ເພື່ອ​ເຂົ້າ​ເຖິງ​ Firebase collections (Cloud Firestore NoSQL databases).

ຈຳນວນ​ຂໍ້​ມູນ​ທັງ​ໝົດ​ທີ່​ນັກ​ວິ​ໄຈຄົ້ນ​ພົບ​ໃນ​ database ທີ່​ກຳນົດ​ຄ່າ​ບໍ່​ຖືກ​ຕ້ອງ​ຄື​ 223,172,248 ລາຍ​ການ​ ໃນ​ຈຳນວນ​ນີ້​ມີ​ຂໍ້​ມູນ​ບັນ​ທຶກ​ 124,605,664 ລາຍ​ການ​ທີ່​ກ່ຽວ​ຂ້ອງ​ກັບ​ຜູ້​ໃຊ້​ ສ່ວນ​ທີ່​ເຫຼືອ​ສະແດງ​ຂໍ້​ມູນ​ທີ່​ກ່ຽວ​ຂ້ອງ​ກັບ​ອົງ​ກອນ ແລະ​ ການ​ທົດສອບ​.

ຈຸດ​ເລີ່ມ​ຕົ້ນ​ການ​ຄົ້ນ​ພົບ​

ການ​ສະ​ແກນ​ອິນ​ເຕີ​ເນັດ ​ເພື່ອ​ຫາ​ຂໍ້​ມູນ​ Personally Identifiable Information in Domain Name System (PII) ທີ່​ເປີດ​ເຜີຍ​ຈາກ​ Firebase instance ທີ່​ກຳນົດ​ຄ່າ​ບໍ່​ຖືກ​ຕ້ອງ​ເປັນ​ການ​ຕິດ​ຕາມ​ຜົນ​ຂອງ​ອີກ​ໂຄງ​ການ​ໜຶ່ງ​ທີ່​ນັກ​ວິໄ​ຈ​ດຳ​ເນີນ​ການ​ໃນສອງ​ເດືອນ​ທີ່​ແລ້ວ​ ຊຶ່ງ​ເປັນ​ໂຄງ​ການ​ທີ່​ໄດ້ຮັບ​ສິດ​ຂອງ​ຜູ້​ເບິ່ງ​ແຍງ​ລະບົບ​ ແລະ ​ສິດ​ຜູ້​ເບິ່ງ​ແຍງ​ລະບົບ​ຂັ້ນ​ສູງ​ໃນ​ Firebase instance ໃຊ້​ໂດຍ​ Chattr ຊຶ່ງ​ເປັນ​ໂຊ​ລູ​ຊັ່ນ (Solution) ​ຊອບ​ແວ​​ການ​ຈ້າງ​ງານ​ທີ່​ຂັບ​ເຄື່ອນ​ດ້ວຍ​ AI.

Chattr ຖືກ​ໃຊ້​ໂດຍ​ຮ້ານ​ອາຫານ​ຟາດ​ຟູດ (fast food) ຂະໜາດ​ໃຫຍ່​ຫຼາຍ​ແຫ່ງ​ໃນ​ສະ​ຫະລັດ​ອາ​ເມ​ລິ​ກາ​ ເຊັ່ນ:​ KFC, Wendy's, Taco Bell, Chick-fil-A, Subway, Arby's, Applebee's ແລະ​ Jimmy John's ເພື່ອ​ຈ້າງ​ພະ​ນັກ​ງານ​.

ເຖິງແມ່ນວ່າ​ບົດ​ບາດ​ຜູ້​ເບິ່ງ​ແຍງ​ລະບົບ​ໃນ​ Firebase dashboard ຂອງ​ Chattr ຈະ​ເຮັດໃຫ້​ສາມາດ​ເບິ່ງ​ຂໍ້​ມູນ​ທີ່​ມີ​ຄວາມ​ສຳຄັນ​ ທີ່​ກ່ຽວ​ຂ້ອງ​ກັບ​ບຸກ​ຄົນ​ທີ່​ພະຍາຍາມ​ຫາ​ງານ​ໃນ​ອຸດສາຫະກຳ​ອາຫານ​ຟາດ​​ຟູດ​ໄດ້​ ແຕ່ບ​ົດ​ບາດ​ "ຜູ້​ເບິ່ງ​ແຍງ​ລະບົບ​ຂັ້ນ​ສູງ​" ໃຫ້​ສິດ​ເຂົ້າ​ເຖິງ​ບັນ​ຊີ​ຂອງ​ບໍລິສັດ​ ແລະ​ ດຳ​ເນີນ​ການ​ໃນ​ນາມ​ຂອງ​ບໍລິສັດ​ສຳລັບ​ງານ​ບາງຢ່າງ​ ລວມເຖິງ​ການ​ຕັດ​ສິນ​ໃຈ​ຈ້າງ​ງານ​.​

ນັກ​ວິ​ໄຈ​ໄດ້​ເປີດ​ເຜີຍ​ຊ່ອງ​ໂຫວ່​ດັ່ງ​ກ່າວ​ຕໍ່​ Chattr ຊຶ່ງ​ເປັນ​ຜູ້​ແກ້​ໄຂ​ຊ່ອງ​ໂຫວ່​ດັ່ງ​ກ່າວ​

ເອກິສານອ້າງອີງ:

1. https://www.bleepingcomputer.com/news/security/misconfigured-firebase-instances-leaked-19-million-plaintext-passwords/
2. https://www.i-secure.co.th/2024/03/%e0%b8%9e%e0%b8%9a%e0%b8%82%e0%b9%89%e0%b8%ad%e0%b8%a1%e0%b8%b9%e0%b8%a5-plaintext-password-%e0%b8%a3%e0%b8%b1%e0%b9%88%e0%b8%a7%e0%b9%84%e0%b8%ab%e0%b8%a5%e0%b8%81%e0%b8%a7%e0%b9%88%e0%b8%b2-19/