รายงาน ข้อมูลรั่วไหลจากบริษัท Equifax กลายเป็นประเด็นใหญ่ของวงการความปลอดภัยและความเป็นส่วนตัวของข้อมูลส่วนบุคคล ล่าสุดทาง Apache ออกมาตอบโต้ข่าวจากเว็บ Quartz ที่จับวันที่รายงานการรั่วไหล (8 กันยายน) ไปชนกับการ แก้ช่องโหว่ของ Struts ล่าสุดเมื่อวันที่ 6 กันยายน โดยระบุว่าเป็นการใช้ช่องโหว่ก่อนมีการรายงานออกมา
ทาง Apache ระบุว่ารายงานนี้คลาดเคลื่อน เพราะทาง Equifax ออกมายอมรับ ตรวจพบการบุกรุกตั้งแต่วันที่ 29 กรกฎาคม และตรวจย้อนไปได้ว่าการบุกรุกอาจจะเริ่มตั้งแต่กลางเดือนพฤษภาคม โดยระบุว่าเป็นช่องโหว่ Struts แต่ไม่ได้ระบุว่าเป็นช่องโหว่ใด
กรรมการบริหารโครงการ Apache Struts ย้ำว่าช่องโหว่ที่อยู่ในโค้ดมาแล้ว 9 ปี กับช่องโหว่ที่มีอายุ 9 ปีนั้นต่างกันอย่างมาก โดยช่องโหว่ที่พบมาแล้วนานๆ จะทำให้สงสัยได้ว่าทำไมทีมงานจึงไม่รีบแก้ไข แต่ช่องโหว่ของ Struts มีการแก้ไขอย่างรวดเร็ว
ในการชี้แจงครั้งนี้ทางโครงการยังแนะนำแนวทางความปลอดภัย 5 ประการ
- ติดตามว่าใช้ไลบรารีหรือเฟรมเวิร์คอะไรในโครงการบ้าง และติดตามข่าวว่ามีช่องโหว่ใดที่ได้รับผลกระทบ
- สร้างกระบวนการทำงานที่สามารถอัพเดตซอฟต์แวร์เหล่านั้นได้อย่างทันท่วงที โดยแนะนำว่าควรเป็นระดับวัน ไม่ใช่สัปดาห์หรือเดือน
- ซอฟต์แวร์ซับซ้อนสูงทุกตัวมีช่องโหว่ อย่าอนุมานว่าซอฟต์แวร์จะสมบูรณ์
- แบ่งชั้นความปลอดภัย ซอฟต์แวร์ที่เชื่อมต่อกับโลกภายนอกไม่ควรเข้าถึงข้อมูลภายในได้ทุกอย่าง
- มอนิเตอร์การเข้าถึงอย่างผิดปกติ
ที่มา - Apache Blog
Hiring! บริษัทที่น่าสนใจ