Lazada Wongnai Eatigo โดนแฮกข้อมูลผู้ใช้งาน ไปขายในตลาดมืด ผู้ใช้งานควรเปลี่ยนรหัสผ่านด่วน - T-NET IT SOLUTION

Lazada Wongnai Eatigo โดนแฮกข้อมูลผู้ใช้งานไปขายในตลาดมืด ผู้ใช้งานควรเปลี่ยนรหัสผ่านด่วน

เมื่อวันที่ 30 ตุลาคม 2563 ได้มีข่าวข้อมูลส่วนบุคคลนับล้านจาก E-Commerce บริษัทยักษ์ใหญ่ทั้ง 3 เจ้า ได้แก่ Lazada, Wongnai, Eatigo ทั่วโลกถูกประกาศขายอยู่ในตลาดมืด ซึ่งทาง Lazada ได้เปิดเผยว่า ข้อมูลจาก RedMart ถูกแฮก และมีข้อมูลผู้ใช้หลุดออกไปมากกว่า 1.1 ล้านบัญชี ส่วนทางด้าน Wongnai ก็ได้ออกมาประกาศแจ้งเตือนผู้ใช้งานแล้วเช่นกัน

ภาพที่ 1- 1 รูปภาพจาก : https://www.facebook.com/RedMartcom/

RedMart เป็นแพลตฟอร์มซื้อขายสินค้าอุปโภคบริโภคที่ถูก Lazada เข้าซื้อกิจการไปเมื่อปี 2559 ซึ่ง Lazada ระบุว่า ข้อมูลที่หลุดไปนั้นเป็นข้อมูลเก่าที่ไม่ได้ถูกอัพเดตมา 18 เดือนและเป็นข้อมูลที่ไม่ได้เชื่อมโยงกับฐานข้อมูลของ Lazada แต่อย่างใด ซึ่งข้อมูลที่หลุดนั้นประกอบไปด้วย ชื่อ หมายเลขโทรศัพท์ อีเมล ที่อยู่ รหัสผ่านที่ถูกเข้ารหัส และข้อมูลบัตรเครดิตบางส่วน

ภาพที่ 1- 2 รูปภาพจาก : www.channelnewsasia.com

ทาง Lazada ยืนยันว่าข้อมูลที่หลุดไปนั้น เป็นข้อมูลจากฐานข้อมูลของแอปพลิเคชันและเว็บไซต์เก่าของ RedMart ที่มีการดำเนินงานในประเทศสิงคโปร์เท่านั้น และได้มีการยุติการใช้งานไปตั้งแต่ 18 เดือนที่แล้ว ทั้งนี้ หลังจากที่ทราบเหตุการณ์ ทาง Lazada ได้ดำเนินการแก้ไขและปิดกั้นช่องทางการเข้าถึงข้อมูลแล้วโดยทันที

ภาพที่ 1- 3 รูปภาพจาก : https://www.wongnai.com และ https://eatigo.com/

ภาพที่ 1- 4 รูปภาพจาก : https://www.wongnai.com/pages/wongnai-security-incident

ด้าน Wongnai ซึ่งเป็นแพลตฟอร์มที่ใช้นำเสนอเนื้อหาและข้อมูลรีวิวจากผู้ใช้จริงแบบครบวงจร ทั้งร้านอาหาร สูตรอาหาร ความสวยความงาม และท่องเที่ยว ก็ได้มีข้อมูลหลุดออกไปประกาศขายเช่นกัน โดย Wongnai ได้ออกมาประกาศว่า มีการตรวจพบการเข้าถึงข้อมูลของผู้ใช้งานโดยไม่ได้รับอนุญาต ทีมงาน Wongnai ตรวจพบช่องทางที่ถูกใช้เข้าระบบ พบว่ามีการดึงข้อมูลบางส่วนออกจากระบบ และได้มีการจัดการแก้ไขช่องทางการเข้าถึงเสร็จเรียบร้อยแล้ว ซึ่งข้อมูลที่ถูกเข้าถึงคือ อีเมล, รหัสผ่านที่ถูกเข้ารหัส, ชื่อจริง, ชื่อบัญชี Facebook และ Twitter, วันเกิด, หมายเลขโทรศัพท์, รหัสไปรษณีย์ โดยไม่มีข้อมูลบัตรเครดิตหรือข้อมูลทางการเงินถูกเข้าถึง

ซึ่งทาง Wongnai ได้ออกมาแจ้งเตือนถึงผู้ใช้งานที่เข้าสู่ระบบด้วยอีเมลหรือเบอร์โทรศัพท์ ให้ทำการเปลี่ยนรหัสผ่านโดยเร็วที่สุด และจะมีมาตรการบังคับรีเซ็ตรหัสผ่านของผู้ใช้งานทั้งหมดที่ยังไม่เปลี่ยนรหัสผ่านในวันที่ 15 พฤศจิกายน 2563 และสำหรับผู้ที่ใช้ระบบด้วย 3rd Party Login (LINE, Facebook, Google, Apple) จะไม่มีความเสี่ยงเรื่องรหัสผ่าน เนื่องจากผู้ใช้งานที่เข้าสู่ระบบด้วย 3rd Party นี้ไม่เคยสร้างรหัสผ่านกับทาง Wongnai แต่อย่างใด

ส่วนทางด้าน Eatigo ถึงแม้จะยังไม่มีประกาศอย่างเป็นทางการ แต่จากหน้าเว็บไซต์ของตลาดใต้ดินแสดงให้เห็นว่ามีข้อมูลจำนวน 2.8 ล้านบัญชี ซึ่งประกอบไปด้วย อีเมล, รหัสผ่านที่ถูกเข้ารหัส, ชื่อ, หมายเลขโทรศัพท์, เพศ, หมายเลขบัญชีและ Token ของ Facebook

ข้อควรปฏิบัติสำหรับลูกค้า

ดำเนินการเปลี่ยนรหัสผ่านทันที รวมถึงเว็บไซต์อื่น ๆ “ที่ใช้รหัสซ้ำกัน”
ดำเนินการยกเลิกสิทธิการเข้าถึงจากการล็อกอินด้วย Facebook หรือ Line หรือ google
ควรพิจารณาดำเนินการเปลี่ยนรหัสผ่านบน Facebook หรือ Line หรือ google
ควรพิจารณาดำเนินการเปิดใช้งานการยืนยันแบบ2 ขั้นตอน(Two-Factor Authentication) บน Facebook หรือ Line หรือ google

คาดการณ์ความเป็นไปได้

ช่องโหว่ SQL Injection ระบบมีช่องโหว่ที่สามารถสอดแทรกคำสั่งเพื่อเข้าไปดึงข้อมูลที่ถูกจัดเก็บอยู่ภายในฐานข้อมูลออกมาได้
ช่องโหว่ Security Misconfigurations เป็นปัญหาที่เกิดจากผู้ดูแลหรือผู้ติดตั้งระบบ ไม่ว่าจะเป็น Physical Server หรือ Cloud-based ก็ตาม เช่น อาจมีการใช้งานการตั้งค่าแบบ Default Configuration หรือมีการเปิดช่องทางการเข้าถึงระบบฐานข้อมูลแบบ Public และไม่ได้มีการกำหนดหรือยืนยันสิทธิ์ในการเข้าถึง ทำให้ผู้ไม่หวังดีสามารถเข้าถึงระบบได้โดยไม่ต้องผ่านการพิสูจน์ตัวตน
ช่องโหว่ Broken Authentication ระบบยืนยันและพิสูจน์ตัวตนของระบบฐานข้อมูลนั้นไม่แข็งแกร่งเพียงพอ เช่น มีการตั้ง Password ที่ง่ายต่อการคาดเดา ส่งผลให้บัญชีผู้ใช้งานที่เป็นผู้ดูแลถูกโจมตีด้วยเทคนิค Bruteforce Attack

วิธีลดผลกระทบ

ทำการตรวจสอบการรับค่าข้อมูลจากผู้ใช้งานทุกช่องทาง ไม่ควรนำข้อมูล Input จากผู้ใช้งานไปประมวลผลโดยตรงกับ Query ของระบบฐานข้อมูล หรือหากมีความจำเป็นที่จะต้องนำข้อมูล Input ไปประมวลผล ให้ดำเนินการทำ Input Validation หรือการทำ Escape Character เพื่อกรองอักขระพิเศษก่อนที่จะนำข้อมูลเหล่านั้นออกไปประมวลผล รวมไปถึงการทำ SQL Prepared Statement เพื่อแยก Command กับ Query ออกจากกัน
ยกเลิกการใช้งาน Account และ Password ที่เป็นค่า Default ซึ่งไม่มีความปลอดภัย และไม่ควรตั้งรหัสผ่านที่ง่ายต่อการคาดเดา เนื่องจากมีโอกาสที่ระบบจะถูกโจมตีด้วยเทคนิค Bruteforce Attack ได้
ไม่ควรอนุญาตการเข้าถึงระบบฐานข้อมูลจากภายนอก หากจำเป็นต้องใช้งานจากภายนอกเครือข่าย ควรกำหนดสิทธิ์การเข้าถึงให้แน่นหนา ซึ่งแนวทางที่ดีที่สุดที่แนะนำในการเข้าถึงระบบจากภายนอกคือการใช้ VPN Tunnel ในการเข้าถึง

ผู้เขียน : ณัฐพงษ์ การทำนา

ผู้ตรวจทาน : นาย เจษฎา ทองก้านเหลือง

เผยแพร่ : วันที่ 3 พฤศจิกายน 2563

Cookie	Duration	Description
cookielawinfo-checkbox-analytics	12 เดือน	คุกกี้ประเภทนี้จะทำการเก็บข้อมูลความยินยอมประเภท Analytics บนเว็บไซต์ เพื่อเป็นประโยชน์ในการปรับปรุงแก้ไข พัฒนาเว็บไซต์
cookielawinfo-checkbox-necessary	12 เดือน	คุกกี้ประเภทนี้จะทำการเก็บข้อมูลความยินยอมประเภท Necessary บนเว็บไซต์เพื่อเป็นประโยชน์ในการปรับปรุงแก้ไข พัฒนาเว็บไซต์
CookieLawInfoConsent	12 เดือน	คุกกี้ประเภทนี้จะทำการเก็บข้อมูลผลสรุปความยินยอมทั้งหมดบนเว็บไซต์ เพื่อเป็นประโยชน์ในการปรับปรุงแก้ไข พัฒนาเว็บไซต์
viewed_cookie_policy	12 เดือน	คุกกี้ประเภทนี้จะทำการเก็บข้อมูลเมื่อมีการแสดงข้อความ cookie_policy เพื่อเป็นประโยชน์ต่อผู้ใช้งานเว็บไซต์

Cookie	Duration	Description
1P_JAR	1 เดือน	คุกกี้ของ Google เพื่อแสดงโฆษณาที่ปรับให้เหมาะกับแต่ละบุคคลบนเว็บไซต์ของ Google โดยพิจารณาจากการค้นหาล่าสุดและการดำเนินการต่าง ๆ ก่อนหน้านี้
AEC	22 สัปดาห์	คุกกี้เหล่านี้ใช้สำหรับเก็บพฤติกรรมการใช้งานในเว็บไซต์ เพื่อนำไปปรับปรุงผลิตภัณฑ์และเว็บไซต์ให้มีประสิทธิภาพยิ่งขึ้น
NID	6 เดือน	คุกกี้ของ Google เพื่อการโฆษณา
OTZ	1 สัปดาห์	คุกกี้ของ Google ที่ส่งให้ Google Analytics ใช้สำหรับจัดเก็บข้อมูลการเข้าชมเว็บไซต์