ນັກວິໄຈດ້ານຄວາມປອດໄພທາງໄຊເບີລາຍງານການຄົ້ນພົບ plaintext password ເຖິງ 19 ລ້ານ ລະຫັດ ທີ່ຖືກເປີດເຜີຍເທິງອິນເຕີເນັດຈາກ Firebase instance ທີ່ຕັ້ງຄ່າບໍ່ປອດໄພ. Firebase ເປັນພລາດຟອມ (Platform) ຂອງ Google ສຳລັບການໂຮສຖານຂໍ້ມູນ, ການປະມວນຜົນແບບຄລາວ ແລະ ການພັດທະນາແອັບພິເຄຊັ່ນ ຊຶ່ງນັກວິໄຈໄດ້ສະແກນໂດເມນ (Domain) ຫຼາຍກວ່າ 5 ລ້ານໂດເມນ ແລະ ກວດເຫັນເວັບໄຊ 916 ແຫ່ງ ຈາກອົງກອນທີ່ບໍ່ໄດ້ເປີດໃຊ້ງານມາດຕະການດ້ານຄວາມປອດໄພ ຫຼື ຕັ້ງຄ່າບໍ່ຖືກຕ້ອງ.ຂໍ້ມູນ plaintext password ທີ່ຮົ່ວໄຫຼປະກອບດ້ວຍ ຂໍ້ມູນຜູ້ໃຊ້ທີ່ມີຄວາມສຳຄັນຫຼາຍກວ່າ 125 ລ້ານ ລາຍການ ລວມເຖິງອີເມວ, ຊື່, ລະຫັດຜ່ານ, ໝາຍເລກໂທລະສັບ ແລະ ຂໍ້ມູນການເອີ້ນເກັບເງິນພ້ອມລາຍລະອຽດທະນາຄານ.
ຂໍ້ມູນ plaintext password ຮົ່ວໄຫຼ
ນັກວິໄຈ (Logykk ,xyzeva/Eva ແລະ MrBruh) ໄດ້ຄົ້ນຫາເວັບໄຊສາທາລະນະ ເພື່ອຫາຂໍ້ມູນສ່ວນບຸກຄົນ (PII) ທີ່ຖືກເປີດເຜີຍຜ່ານ Firebase instance ທີ່ມີຊ່ອງໂຫວ່ ຊຶ່ງບໍ່ໄດ້ຕັ້ງຄ່າຄວາມປອດໄພ ຫຼື ມີການກຳນົດຄ່າບໍ່ຖືກຕ້ອງ ແລະ ອະນຸຍາດໃຫ້ເຂົ້າເຖິງຖານຂໍ້ມູນແບບ read access ໄດ້.
ສຳລັບຕົວຢ່າງ database ທີ່ຮົ່ວໄຫຼ ຖືກສະແດງໂດຍສະຄຣິບ (Script) ຂອງ Eva ຊຶ່ງເປັນ Catalyst ທີ່ມີໄວ້ ເພື່ອກວດສອບປະເພດຂອງຂໍ້ມູນທີ່ກວດເຫັນ ແລະ ແຍກຕົວຢ່າງ 100 ລາຍການ.
ລາຍລະອຽດຂອງຂໍ້ມູນ plaintext password ທີ່ຮົ່ວໄຫຼ ຈາກການຕັ້ງຄ່າບໍ່ປອດໄພ ປະກອບດ້ວຍ:
ຊື່: 84,221,169 ລາຍການ
ອີເມວ: 106,266,766 ລາຍການ
ໝາຍເລກໂທລະສັບ: 33,559,863 ລາຍການ
ລະຫັດຜ່ານ: 20,185,831 ລາຍການ
ຂໍ້ມູນການເອີ້ນເກັບເງິນ (ລາຍລະອຽດທະນາຄານ, ໃບແຈ້ງໜີ້ ແລະອື່ນໆ): 27,487,924 ລາຍການ
ຊຶ່ງລະຫັດຜ່ານຈຳນວນ 98% ຫຼື 19,867,627 ລາຍການ ເປັນ plaintext password ເຮັດໃຫ້ມີຄວາມສ່ຽງທີ່ຈະຖືກນຳຂໍ້ມູນໄປໃຊ້ໃນການໂຈມຕີໄດ້.
ນັກວິໄຈລະບຸວ່າ ບໍລິສັດຕ່າງໆ ຄວນຕ້ອງຫຼີກລ່ຽງການຈັດເກັບລະຫັດຜ່ານໃນຮູບແບບ plaintext ເນື່ອງຈາກ Firebase ມີ end-to-end identity solution ທີ່ເອີ້ນວ່າ Firebase Authentication ໂດຍສະເພາະ ສຳລັບຂະບວນການລົງຊື່ເຂົ້າໃຊ້ທີ່ປອດໄພ ຊຶ່ງຈະບໍ່ເປີດເຜີຍລະຫັດຜ່ານຂອງຜູ້ໃຊ້ໃນ record.
ໜຶ່ງໃນວິທີການຮົ່ວໄຫຼຂອງຂອງລະຫັດຜ່ານຜູ້ໃຊ້ໃນ Firestore database ແມ່ນມາຈາກຜູ້ເບິ່ງແຍງລະບົບສ້າງ ‘password’ field ທີ່ຈະຈັດເກັບຂໍ້ມູນໃນຮູບແບບ plaintext.
ການແຈ້ງເຕືອນໄປຫາເຈົ້າຂອງເວັບໄຊ
ຫຼັງຈາກວິເຄາະຂໍ້ມູນຈາກຕົວຢ່າງແລ້ວ ນັກວິໄຈໄດ້ພະຍາຍາມແຈ້ງເຕືອນໄປຫາບໍລິສັດທີ່ໄດ້ຮັບຜົນກະທົບທັງໝົດກ່ຽວກັບ Firebase instance ທີ່ມີການຮັກສາຄວາມປອດໄພທີ່ບໍ່ເໝາະສົມ ໂດຍການສົ່ງອີເມວ 842 ສະບັບໃນໄລຍະເວລາ 13 ມື້ ເຖິງວ່າຈະມີເຈົ້າຂອງເວັບໄຊພຽງ 1% ຕອບກັບອີເມວດັ່ງກ່າວ ແຕ່ເຫັນວ່າໜຶ່ງໃນສີ່ຂອງຜູ້ເບິ່ງແຍງລະບົບເວັບໄຊທີ່ໄດ້ຮັບແຈ້ງເຕືອນ ໄດ້ແກ້ໄຂການກຳນົດຄ່າທີ່ບໍ່ຖືກຕ້ອງໃນພລາດຟອມ Firebase ຂອງຕົນເອງ ລວມເຖິງນັກວິໄຈຍັງຖືກເຢາະເຢີ້ຍຈາກເວັບໄຊການພະນັນຂອງອິນໂດເນເຊຍ 9 ລາຍການ ທີ່ນັກວິໄຈໄດ້ລາຍງານບັນຫາ ແລະ ແນະນຳແນວທາງໃນການແກ້ໄຂບັນຫາ ຊຶ່ງບໍລິສັດດຽວກັນນີ້ ມີຈຳນວນບັນທຶກບັນຊີທະນາຄານທີ່ຖືກເປີດເຜີຍຫຼາຍທີ່ສຸດ (8 ລ້ານ ລາຍການ) ແລະ ລະຫັດຜ່ານແບບ plaintext (10 ລ້ານ ລາຍການ).
ມູນທີ່ຮົ່ວໄຫຼທັງໝົດ 223 ລ້ານ ລາຍການ
ນັກວິໄຈໄດ້ສະແກນໂດຍໃຊ້ສະຄຣິບ Python ທີ່ສ້າງໂດຍ MrBruh ເພື່ອກວດສອບເວັບໄຊ ຫຼື ຊຸດ JavaScript ເພື່ອຫາຕົວແປໃນການກຳນົດຄ່າ Firebase ຊຶ່ງການສະແກນອິນເຕີເນັດ ແຍກວິເຄາະຂໍ້ມູນດິບ ແລະ ການຈັດລະບຽບໃຊ້ເວລາປະມານໜຶ່ງເດືອນ.
ການໃຊ້ໜ່ວຍຄວາມຈຳຂະໜາດໃຫຍ່ເຮັດໃຫ້ສະຄຣິບບໍ່ເໝາະສົມກັບງານ ຈຶ່ງໄດ້ປ່ຽນໄປໃຊ້ຕົວແປໃນ Golang ທີ່ຂຽນໂດຍ Logykk ຊຶ່ງໃຊ້ເວລາຫຼາຍກວ່າສອງອາທິດໃນການສະແກນອິນເຕີເນັດໃຫ້ສຳເລັດ.
ໂດຍສະຄຣິບໃໝ່ໄດ້ສະແກນໂດເມນຫຼາຍກວ່າ 5 ລ້ານ ໂດເມນ ທີ່ເຊື່ອມຕໍ່ກັບພລາດຟອມ Firebase ຂອງ Google ສຳລັບບໍລິການຄອມພິວເຕີຄລາວແບັກເອັນ (backend cloud computing services) ແລະ ການພັດທະນາແອັບພິເຄຊັ່ນ ໃນການກວດສອບສິດການອ່ານໃນ Firebase ໂດຍອັດຕະໂນມັດ. ນອກຈາກນີ້, ທີມງານຍັງໄດ້ໃຊ້ສະຄຣິບອື່ນຈາກ Eva ທີ່ຈະສັງຂໍ້ມູນເວັບໄຊ ຫຼື JavaScript ເພື່ອເຂົ້າເຖິງ Firebase collections (Cloud Firestore NoSQL databases).
ຈຳນວນຂໍ້ມູນທັງໝົດທີ່ນັກວິໄຈຄົ້ນພົບໃນ database ທີ່ກຳນົດຄ່າບໍ່ຖືກຕ້ອງຄື 223,172,248 ລາຍການ ໃນຈຳນວນນີ້ມີຂໍ້ມູນບັນທຶກ 124,605,664 ລາຍການທີ່ກ່ຽວຂ້ອງກັບຜູ້ໃຊ້ ສ່ວນທີ່ເຫຼືອສະແດງຂໍ້ມູນທີ່ກ່ຽວຂ້ອງກັບອົງກອນ ແລະ ການທົດສອບ.
ຈຸດເລີ່ມຕົ້ນການຄົ້ນພົບ
ການສະແກນອິນເຕີເນັດ ເພື່ອຫາຂໍ້ມູນ Personally Identifiable Information in Domain Name System (PII) ທີ່ເປີດເຜີຍຈາກ Firebase instance ທີ່ກຳນົດຄ່າບໍ່ຖືກຕ້ອງເປັນການຕິດຕາມຜົນຂອງອີກໂຄງການໜຶ່ງທີ່ນັກວິໄຈດຳເນີນການໃນສອງເດືອນທີ່ແລ້ວ ຊຶ່ງເປັນໂຄງການທີ່ໄດ້ຮັບສິດຂອງຜູ້ເບິ່ງແຍງລະບົບ ແລະ ສິດຜູ້ເບິ່ງແຍງລະບົບຂັ້ນສູງໃນ Firebase instance ໃຊ້ໂດຍ Chattr ຊຶ່ງເປັນໂຊລູຊັ່ນ (Solution) ຊອບແວການຈ້າງງານທີ່ຂັບເຄື່ອນດ້ວຍ AI.
Chattr ຖືກໃຊ້ໂດຍຮ້ານອາຫານຟາດຟູດ (fast food) ຂະໜາດໃຫຍ່ຫຼາຍແຫ່ງໃນສະຫະລັດອາເມລິກາ ເຊັ່ນ: KFC, Wendy’s, Taco Bell, Chick-fil-A, Subway, Arby’s, Applebee’s ແລະ Jimmy John’s ເພື່ອຈ້າງພະນັກງານ.
ເຖິງແມ່ນວ່າບົດບາດຜູ້ເບິ່ງແຍງລະບົບໃນ Firebase dashboard ຂອງ Chattr ຈະເຮັດໃຫ້ສາມາດເບິ່ງຂໍ້ມູນທີ່ມີຄວາມສຳຄັນ ທີ່ກ່ຽວຂ້ອງກັບບຸກຄົນທີ່ພະຍາຍາມຫາງານໃນອຸດສາຫະກຳອາຫານຟາດຟູດໄດ້ ແຕ່ບົດບາດ “ຜູ້ເບິ່ງແຍງລະບົບຂັ້ນສູງ” ໃຫ້ສິດເຂົ້າເຖິງບັນຊີຂອງບໍລິສັດ ແລະ ດຳເນີນການໃນນາມຂອງບໍລິສັດສຳລັບງານບາງຢ່າງ ລວມເຖິງການຕັດສິນໃຈຈ້າງງານ.
ນັກວິໄຈໄດ້ເປີດເຜີຍຊ່ອງໂຫວ່ດັ່ງກ່າວຕໍ່ Chattr ຊຶ່ງເປັນຜູ້ແກ້ໄຂຊ່ອງໂຫວ່ດັ່ງກ່າວ
ເອກິສານອ້າງອີງ:
https://www.bleepingcomputer.com/news/security/misconfigured-firebase-instances-leaked-19-million-plaintext-passwords/
https://www.i-secure.co.th/2024/03/%e0%b8%9e%e0%b8%9a%e0%b8%82%e0%b9%89%e0%b8%ad%e0%b8%a1%e0%b8%b9%e0%b8%a5-plaintext-password-%e0%b8%a3%e0%b8%b1%e0%b9%88%e0%b8%a7%e0%b9%84%e0%b8%ab%e0%b8%a5%e0%b8%81%e0%b8%a7%e0%b9%88%e0%b8%b2-19/