บริษัทสื่อสารในแคลิฟอร์เนียเปิดฐานข้อมูล Elasticsearch ออกสู่สาธารณะ ใช้ดู SMS ได้เกือบเรียลไทม์

บริษัท Voxox ผู้ให้บริการสื่อสารที่มีสำนักงานอยู่ในรัฐแคลิฟอร์เนียถูกค้นพบว่าไม่ได้ล็อกรหัสผ่านเซิร์ฟเวอร์ฐานข้อมูลไว้ เปิดให้ใครก็ได้เข้าใช้งานและเก็บข้อความ SMS ได้ทันทีในระดับเกือบเรียลไทม์

Sébastien Kaul นักวิจัยความปลอดภัยระบุว่า เขาพบเซิร์ฟเวอร์นี้จาก Shodan เสิร์ชเอนจินที่ค้นหาฐานข้อมูลและอุปกรณ์ที่เข้าถึงได้จากสาธารณะ และเซิร์ฟเวอร์นี้ถูกผูกเข้ากับซับโดเมนของ Voxox ด้วย

Kaul ระบุว่าเซิร์ฟเวอร์เก็บข้อมูล SMS นี้รันอยู่บนเซอร์วิส Elasticsearch ของ Amazon และคอนฟิกให้ใช้ Kibana เป็น front-end จึงทำให้ข้อมูลที่เก็บไว้ใน Elasticsearch เปิดอ่านได้อย่างง่ายดาย รวมถึงการค้นหาข้อมูลก็ทำได้ง่าย ๆ ด้วย ซึ่งประเด็นนี้สำคัญต่อความปลอดภัยอย่างมาก เนื่องจากข้อความเหล่านี้ถ้าเป็นรหัส OTP ที่ใช้ยืนยันตัวตนแบบสองปัจจัย แฮกเกอร์ก็เก็บข้อมูลได้ไม่ยากนัก เพราะบริษัทอย่าง Voxox นั้นเป็นเสมือนเกตเวย์ซึ่งจะแปลงข้อความเหล่านี้เป็นข้อความตัวอักษร และส่งไปยังเครือข่ายโทรศัพท์เพื่อส่งไปยังโทรศัพท์ของผู้ใช้อีกที

TechCrunch รายงานว่า ตอนนี้ฐานข้อมูลของ Voxox ที่ค้นพบนั้นออฟไลน์ไปแล้ว แต่จนถึงช่วงที่ปิดฐานข้อมูล พบว่ามีข้อความตัวอักษรไม่ต่ำกว่า 26 ล้านข้อความ และแต่ละข้อความก็มีรายละเอียดค่อนข้างครบ ไม่ว่าจะเป็นเบอร์โทรศัพท์ผู้รับ, ข้อความ, ลูกค้าของ Voxox ที่ส่งข้อความ และ shortcode ที่ใช้งาน

จากการตรวจสอบแบบคร่าว ๆ พบว่ามีบริการดัง ๆ ที่ได้รับผลกระทบจำนวนมาก ไม่ว่าจะเป็น Badoo, Fidelity Investments, Booking.com, Amazon, KakaoTalk, Viber, HQ Trivia, Microsoft, Yahoo, Huawei ID และยังมีข้อมูลการแจ้งนัดหมายจากโรงพยาบาลหรือสถานพยาบาลหลายแห่งด้วย

Kevin Hertz ผู้ร่วมก่อตั้งและซีทีโอของ Voxox ได้กล่าวถึงเหตุการณ์นี้ว่า ตอนนี้ทางบริษัทกำลังตรวจสอบการรั่วไหลของข้อมูล และทำตามนโยบายการรั่วไหลของข้อมูล รวมถึงกำลังประเมินผลกระทบด้วย ส่วน Dylan Katz นักวิจัยความปลอดภัยระบุว่าเขากังวลว่ามีโอกาสที่ข้อมูลเหล่านี้จะถูกใช้ในทางที่ผิดไปแล้ว กรณีนี้แตกต่างจากการรั่วไหลข้อมูลหลาย ๆ ครั้ง เนื่องจากข้อมูลเป็นแบบชั่วคราว ข้อมูลออฟไลน์ที่ขโมยออกไปได้นั้นไม่ได้มีประโยชน์มากนัก

หากใครกังวลประเด็นเรื่องความปลอดภัย ในตอนนี้อาจต้องพิจารณาใช้การยืนยันตัวตนสองปัจจัยด้วยแอพแทนการใช้ SMS

ที่มา – TechCrunch

No Description
ตัวอย่างข้อมูล SMS ที่เก็บไว้ด้วย Elasticsearch และเปิดด้วย Kibana

from:https://www.blognone.com/node/106491

Advertisements