TrueMove H หลุดข้อมูลบัตรประชาชนกว่า 32GB

หลังจากข่าวใหญ่จาก Facebook ที่ทำข้อมูลหลุด ไปอยู่ในมือของบริษัท Cambridge Analytica ที่นำข้อมูลไปใช้ประโยชน์ในการวิเคราะห์ทางการเมือง อาจจะดูไกลไป มาดูกรณีบ้านเราซึ่งตอนนี้ทาง TrueMove H ก็ทำข้อมูล บัตรประชาชนของลูกค้าหลุดออกมาเช่นกัน ซึ่งมีตั้งแต่ปี 2016-2018 เป็นจำนวนรวมกว่า 32GB ข้อมูลทั้งหมดนั้นถูกเก็บไว้บน S3

ทำความรู้จักกับ S3 คร่าวๆ

S3 ย่อมาจาก Simple Storage Service ซึ่งเป็นบริการหนึ่งของทาง Amazon ที่นำมาใช้สำหรับการเก็บไฟล์ ซึ่งเอาไปใช้ประโยชน์ได้หลายอย่างไม่ว่าจะเป็นการเก็บข้อมูลรูป หรือไฟล์ js, css ต่างๆของเว็บไซต์ รวมถึงการ backup ข้อมูลต่างๆไว้บนนี้เช่นกัน

ซึ่งเวลาจะใช้ S3 เราจะต้องสร้างสิ่งที่เรียกว่า bucket หรือก็คือถังที่เอาไว้ใส่ข้อมูลนั้นเอง และเราสามารถตั้ง policy ของมันได้ว่า bucket นี้เป็น public หรือ private และใครสามารถเข้าไปเรียกใช้ข้อมูลเหล่านี้ได้บ้าง

กรณีของ TrueMove H เกิดขึ้นได้ยังไง?

ทาง TrueMove H นั้นได้ทำการเก็บรูปบัตรประชาชนของลูกค้าไว้ใน bucket บน S3 เหมือนกัน แต่ประเด็นอยู่ที่ว่า ไม่ได้มีการจํากัดสิทธิ์ในการเข้าถึง data เลย คือตั้งเป็น public ที่นี้ ทำให้ใครก็ตามที่มี URL สามารถเข้าถึงข้อมูลเหล่านั้นได้เลย ซึ่งก็คือการ configuration ที่ผิดพลาดนั่นเอง

ตัวอย่าง public S3 ของ facebook (อันนี้คือเขาตั้งใจ public)

http://imgfacebook.s3-eu-west-1.amazonaws.com/

ซึ่งเราสามารถดูดข้อมูลพวกนี้ได้เลย เพราะมัน public ซึ่งในนั้นมี key ที่เป็นชื่อรูปอยู่เราสามารถเข้าถึงรูปพวกนั้นได้เลยดังตัวอย่างรูปข้างล่าง

ประเด็นที่น่าสนใจ

กรณีนี้เริ่มจาก Niall Merrigan นักวิจัยด้านความปลอดภัยได้ไปพบข้อมูลบัตรประชาชนของ TrueMove H ที่เก็บไว้บน S3 โดยไม่มีการป้องกันการเข้าถึงใดๆ ทำให้ใครก็ตามที่รู้ URL สามารถเข้าถึงได้หมด

ทาง Niall Merrigan ได้แจ้งไปยัง True ว่าพบข้อมูลบัตรประชาชนอยู่บน public cloud นะ แจ้งไปตั้งแต่ว่าที่ 10 มีนาคม ซึ่งได้การตอบกลับให้ติดต่อให้ยัง Head Quarter ทาง Niall ก็ติดต่อไปเพราะเห็นว่าสำคัญ แต่ก็ยังไม่เกิดการแก้ไขขึ้น จนกระทั่งทาง Niall ติดต่อไปอีกครั้ง ในวันที่ 2 เมษายน รอบนี้คือกดดันว่าจะ publish ตัวบทความของเรื่องนี้ในสัปดาห์หน้าแล้วนะ ซึ่งทาง True ตอบกลับมาอีกทีวันที่ 4 เมษา ว่ากำลังตรวจสอบ และในที่สุดวันที่ 12 เมษายน ข้อมูลถึงถูกทำให้เป็น private รวมระยะเวลาก็ 1 เดือนเลยทีเดียว

รวมถึงปัจจุบันทาง นายสืบสกล สกลสัตยาทร ผู้จัดการทั่วไปของบริษัท Ascend Commerce ผู้ให้บริการเว็บ iTrueMart หรือ WeMall ได้ออกมาแถลงว่าสิ่งที่เกิดขึ้นนั้นนาย Niall Merrigan นั้นทำการแฮก "ถ้าไม่ใช่ผู้เชี่ยวชาญ ไม่สามารถเข้าถึงได้"

ซึ่งจริงๆแล้วไม่ใช่การแฮก ก็อย่างที่บอกไปก่อนหน้านี้ว่าคุณเปิดเป็น public เอง เพราะฉะนั้นแค่คุณ Url นั้นก็สามารถดาวน์โหลดข้อมูลได้แล้ว! เด็กปริญญาตรีก็ทำได้ไม่ยากเลย กลายเป็นการทําคุณบูชาโทษไปแล้ว

ซึ่งข้อมูลบัตรประชนนั้นอันตรายมากๆ เราต้องแชร์เรื่องนี้กันเยอะๆ ให้กรณีนี้เป็นกรณีนี้ตัวอย่าง เพื่อไม่ให้มันเกิดขึ้นอีกในอนาคต

ข้อมูลเพิ่มเติมจากนาย Niall Merrigan
- ฺBlog ของ Niall Merrigan
- FAQ ของนาย Niall Merrigan

Read More

วิธีดาวน์โหลดคลิปวิดีโอจาก Youtube ออนไลน์ ไม่ต้องโหลดโปรแกรมเพิ่ม

วิธีดาวน์โหลดคลิปวิดีโอจาก Youtube ออนไลน์ ไม่ต้องโหลดโปรแกรมเพิ่ม

1) เข้าไปที่ https://www.onlinevideoconverter.com/video-converter

2) เข้า Youtube เปิดคลิปที่เราต้องการจะดาวน์โหลด

ตัวอย่างเช่นผมต้องการจะโหลดคลิปตามรูปด้านล่างนี้ ให้สังเกตตรงเส้นสีเหลือง ตรงนั้นจะเรียกว่า Url ให้เราทำการก็อปปี้ Url มา จากตัวอย่างเช่น https://www.youtube.com/watch?v=sDiHr_ernl8


3) นำไปวางในเว็บแรกดังรูป เลือกรูปแบบไฟล์ที่ต้องการ สามารถเลือกได้ทั้ง Mp4 ที่เป็นคลิป หรือเอาแค่เสียงแบบ mp3 ก็ได้ แล้วกด Start



4) รอจนเสร็จ เราจะสามารถกด Download ได้ เท่านี้ก็เรียบร้อยแล้วครับ

Read More

วิธีตรวจสอบเบื้องต้นว่าอีเมล์ที่ได้รับเป็นของจริง หรืออีเมล์ปลอมมาหลอกเรา (Phishing Email)

Phishing คืออะไร?

เนื่องจากการที่แฮกเกอร์จะโจมตีเข้าเว็บไซต์ฝั่งเซิฟเวอร์ เพื่อได้ข้อมูลนั้นทำได้ยาก ทำให้แฮกเกอร์ไปโจมตีที่ตัวผู้ใช้งานแทน

โดย Phishing เนี่ย เรียกๆง่ายก็คือการหลอกให้ผู้ใช้กรอกข้อมูลให้แฮกเกอร์ โดยอาจจะมาจากเว็บไซต์ปลอม หรือการส่ง Email ปลอมไปหลอกเหยื่อ เพื่อให้เหยื่อกรอกข้อมูลที่แฮกเกอร์ต้องการ เช่น Username, Password หรือข้อมูลต่างๆ ซึ่งทำได้ง่ายกว่าการที่ไปโจมตีฝั่งเซิฟเวอร์มาก

ตัวอย่าง Email ปลอม




จะเห็นว่าเมล์จะหลอกเหยื่อว่าได้ทำการจ่ายเงินไป ทำให้เหยื่อตกใจรีบทำตามขั้นตอนของแฮกเกอร์ ทำให้แฮกเกอร์ได้ข้อมูลที่ต้องการไป

แล้ววิธีตรวจสอบละ?

1) วิธีที่ง่ายที่สุดคือการดูว่าส่งมาจากใคร จากตัวอย่างจะเห็นว่าส่งมาจากตัวอย่างจะเห็นว่า serviceservice9652511@suromo-ho.com  ซึ่งก็เดาได้แล้วว่าของปลอม ของจริงควรจะมาจาก apple.com หรือจาก sub domain ของ apple เช่น insideapple.apple.com



2) เอาเมาส์ไปชี้ที่ปุ่ม หรือข้อความที่เป็นลิงค์ที่จะโยงไปยังเว็บไซต์ปลอมนั้นๆ จากตัวอย่าง เมล์ปลอมหลอกให้เราไปอัพเดทข้อมูล ถ้าเราเอาเมาส์ไปชี้ที่ "update your payment method" จะเป็นข้อความด้านล่างซ้ายของ Chrome บอกว่า จะไปที่ไหน จากตัวอย่างจะไปที่ ow.ly ซึ่งก็เดาได้ทันทีว่าของปลอม ของจริงควรจะไปที่ โดเมน apple.com



3) กรณีหลงเว็บไซต์ปลอมเข้า เช็คยังไงว่าจริงหรือปลอม? อย่างแรกคือเช็ค url ครับ

ถ้าเข้าเว็บไซต์ปลอม บางทีอาจจะมีหน้าตาเหมือนเว็บไซต์จริงเลย เราจึงต้องสังเกตที่ Url ครับ จากกรณีนี้คือ จะเห็นว่าไม่ใช่ facebook.com ทำให้รู้ว่าเป็นของปลอมครับ



จากกรณี Apple จะเห็นว่า ต้องมีแถบสีเขียวๆบอกว่าเป็น Apple Inc สีเขียวนี้คือตัวบอกว่าเว็บไซต์มีการใช้ ssl คือข้อมูลในเว็บไซต์จะถูกเข้ารหัส ทำให้มีความปลอดภัยมากขึ้น ซึ่งส่วนใหญ่เว็บไซต์ดังๆจะมีการทำ ssl อยู่แล้ว ทำให้เอาตัวนี้เป็นตัวเช็คว่าของจริงของปลอมได้ แต่ Url สำคัญกว่านะครับ เพราะ ssl ใครๆก็ทำได้อยู่ดี

Read More

OmiseGo คืออะไร?

OmiseGo หรือ OMG คือสกุลเงินดิจิตอลสกุลหนึ่ง (คล้ายๆ Bitcoin) ที่กำลังมาแรงมากที่สุดในตอนนี้ ถูกสร้างโดย Omise ซึ่งเป็นระบบ Payment Gateway ชื่อดัง ซึ่งร่วมกันสร้างกับผู้ก่อตั้ง Ethereum อย่าง Vitalik Buterin รวมถึงยังได้เงินลงทุนมากกว่า 20 ล้านดอลลาร์เลยทีเดียว เป้าหมายของ OMG ก็คือการลดตัวกลางอย่างธนาคารลงไป ทำให้การซื้อขายนั้นทำได้โดยตรง สะดวกและปลอดภัย ผ่านเทคโนโลยี Blockchain

ซึ่ง ณ ขณะที่เขียนบล็อคนี้ราคาของ OMG ก็ขึ้นไปอยู่ที่ประมาณ 250 กว่าบาท ต่อ 1 OMG Tokens แล้ว เทียบราคาจากใน BX.in.th เว็บไซต์ซื้อขาย Bitcoin ที่ใหญ่ที่สุดในไทยตอนนี้ และมีแนวโน้มว่าราคาจะพุ่งขึ้นสูงไปมากกว่านี้อีก

ถ้าคนที่สนใจลงทุน หรือศึกษาเกี่ยวกับสกุลเงินดิจิตอล ตอนนี้ OmiseGO นั้นถือเป็นอีกทางเลือกที่ดีเลยทีเดียว

Read More

Bitcoin คืออะไร? มารู้จักกับ Bitcoin และเว็บไซต์สำหรับซื้อขาย Bitcoin

Bitcoin คือ สกุลเงินดิจิตอลรูปแบบนึง

เปรียบเทียบให้เข้าใจง่าย Bitcoin จะเหมือนกับเหรียญทองคำ ที่เราสามารถหาซื้อได้ มีราคาขึ้นลงตามตลาด ตัวอย่างเช่น ถ้าขณะนั้น 1 Bitcoin มีราคา 48,000 บาท เราก็สามารถนำเงิน 48,000 บาท เข้าไปซื้อได้ อาจจะผ่านเว็บไซต์ตัวกลางนั่นเอง

และเมื่อปล่อยไปสักพัก ราคามันอาจจะขึ้นมาเป็น 55,000 เราก็สามารถนำ Bitcoin ที่เราถือไว้ไปขาย เราก็จะได้เงิน 55,000 บาทกลับมา จะเห็นว่ามันเหมือนกับทองคำเลย

สรุปแบบเบื้องต้นเลย Bitcoin เนี่ยคือสกุลเงินแบบนึงนี่แหละ เพียงแต่เงินในรูปแบบ Bitcoin จะไม่สามารถจับต้องได้ ไม่มีของชิ้น ๆ ให้เราถือ ทุกอย่างจะอยู่ในรูปแบบดิจิตอลนั่นเอง


เทคโนโลยีที่อยู่เบื้องหลัง Bitcoin นั้นเรียกว่า Blockchain ผมจะอธิบายคร่าวๆให้ฟังละกัน

เริ่มจากระบบแบบเดิม จะเป็นแบบ ระบบรวมศูนย์กลาง (Centralized) เช่น ธนาคาร นั่นเอง ซึ่งจะมีฐานข้อมูลที่บันทึกข้อมูลทางการเงินเราทั้งหมด ว่าเรามีเท่าไร โอนให้ใครบ้าง แบบนี้โอกาสผิดพลาดต่ำ ดูแลง่าย แต่ค่าใช้จ่ายสูง

แบบ Blockchain ที่อยู่เบื้องหลัง Bitcoin เนี่ยจะเป็น ระบบแบบกระจาย (Distributed) ซึ่งจะไม่มีตัวกลางแล้ว คือทุกๆคนจะมี Wallet คือกระเป๋าเงินอยู่กับทุกๆคนเลย ซึ่งใน Wallet เราเนี่ยจะมี Address ที่เปรียบเสมือน เลขบัญชีนั่นเอง และลายเซ็นซึ่งใช้เป็นตัวแทนเจ้าของบัญชี ซึ่งใน Blockchain เนี่ยจะมี รายการเดินบัญชีสาธารณะ(Public Ledger) ที่บอกว่าใครโอนให้ใครเท่าไหร่ ซึ่งระบบจะนำตัวนี้มาตรวจสอบว่าใครส่งเงินให้ ต้องเหลือเท่าไหร่ ทำให้มีความปลอดภัยสูง แม้จะเป็นแบบกระจาย ข้อเสียของแบบนี้คือ เราจะรู้หมดว่าใครมีเงินอยู่เท่าไหร่นั่นเอง

ใครต้องการรายละเอียดเชิงลึกของ Blockchain ไปอ่านเพิ่มเติมได้ที่ Blockchain คืออะไร?

ถ้าอยากจะซื้อขาย Bitcoin ละเพื่อทำกำไรละ?

1) BX.in.th

เว็บไซต์นี้นั้นเป็นตัวกลางการซื้อขาย Bitcoin รวมถึงสกุลเงินดิจิตอลอื่นๆอีกด้วย รวมถึงเป็น Wallet ของคุณอีกด้วย รวมถึงมีกราฟการขึ้นลงของราคาให้ดู พร้อมแผนภูมิอย่างละเอียด รวมถึงตั้งระบบขายอัตโนมัติได้ด้วย ว่าราคาเท่าไรให้รีบขาย ตั้งให้เติมเงินมือถืออัตโนมัติก็ทำได้นะ หน้าตาเว็บไซต์ก็สามารถใช้งานได้ง่ายๆ

สำหรับผู้ที่สนใจศึกษาต้องการเกร็งกำไรกับ Bitcoin เว็บไซต์นี้แนะนำมากๆ เข้าไปเริ่มซื้อขายได้ที่ BX.in.th

2) Coins.co.th

เว็บไซต์ที่สองคือ Coins.co.th เว็บไซต์นี้สามารถซื้อขายได้แค่ Bitcoin อย่างเดียวเท่านั้น แต่สามารถนำเงิน Bitcoin ไปใช้จ่ายอย่างอื่น ผ่านตัวเว็บไซต์ได้ด้วย เช่น เติมเงินมือถือ ค่าไฟ ค่าน้ำ ก็ทำให้ชีวิตสะดวกขึ้น

Read More