เว็บไซต์ในเครือ Gawker Media (ที่ดังๆ ได้แก่ Gizmodo, Kotaku, Lifehacker) โดนเจาะ เป็นผลให้รหัสผ่านของผู้ใช้ 270,000 รายถูกเผยแพร่ออกมาบนอินเทอร์เน็ต
การเจาะระบบครั้งนี้ทำโดยกลุ่มแฮกเกอร์ที่เรียกตัวเองว่า Gnosis ซึ่งไม่พอใจที่ทีมงานของ Gawker ไปดูถูกเว็บบอร์ดและชุมชนแฮกเกอร์ 4chan จึงต้องการแก้แค้นกลับ
กลุ่ม Gnosis อธิบายว่าเจาะเข้าไปยังระบบ CMS ของ Gawker ได้ง่ายมาก (CMS พัฒนาขึ้นใช้เอง) เพราะตัว PHP framework มีรูรั่วมากมาย อีกทั้งเซิร์ฟเวอร์ก็ใช้ลินุกซ์เวอร์ชันเก่า
นอกจากนี้เมื่อได้ซอร์สโค้ดและฐานข้อมูลของ Gawker มาแล้ว กลุ่ม Gnosis ยังได้รหัสผ่านของทีมงาน Gawker มาด้วย และปรากฎว่า Nick Denton ผู้ก่อตั้ง Gawker ใช้รหัสผ่านเดียวกันหมด ทำให้ Gnosis เจาะเข้า Google Apps, Twitter และซอฟต์แวร์สนทนาแบบกลุ่ม Campfire อีกทอดหนึ่ง เป็นผลให้ได้รหัสผ่านของเว็บเครือ Gawker ทั้งหมด รวมถึงรหัสผ่านสำหรับล็อกอินไปยัง FTP ของบริษัทอื่นๆ ด้วย (เช่น FTP ของบริษัทเกมที่เปิดให้ทีมงานของเว็บไซต์ Kotaku เข้าไปดาวน์โหลดเกมก่อนวางจำหน่ายเพื่อรีวิว)
ปัญหาของสมาชิกเว็บในเครือ Gawker ก็คือข้อมูลทั้งหมดที่ Gnosis ได้มาถูกเผยแพร่ผ่าน BitTorrent เรียบร้อยแล้ว ดังนั้นคนที่มีสมาชิกเว็บเหล่านี้ควรเปลี่ยนรหัสผ่านโดยด่วน รวมถึงรหัสผ่านของเว็บไซต์อื่นๆ ด้วย ในกรณีที่ใช้รหัสผ่านเดียวกัน
คำแนะนำในการปฏิบัติตัวดูได้จาก Lifehacker
ที่มา - The Next Web , Mediaite
Comments
นี่หรือ คือการกระทำของผู้ีที่เรียกตัวเองว่าแฮกเกอร์?
เจาะไม่พอ ยังแจกซะด้วยนะ
แล้วไม่ใช่ยังไงล่ะครับ?
นี่ก็เกรย์แฮทไง
May the Force Close be with you. || @nuttyi
ผมว่าเข้าข่าย Blackhat นะ ? ดูจากความเสียหายแล้ว
เอ่อจริงด้วย นับผิดไป= ='แต่ต้องการจะตอบ(คุณ DesertWasabi)ว่าจริงๆ ก็คือเป็นแฮกเกอร์แหละครับ
May the Force Close be with you. || @nuttyi
คือที่ผมตั้งคำถามไปว่า นี่หรือที่เรียกว่าตัวเองว่าเเฮกเกอร์?
ก็เพราะว่า พฤติกรรมแบบนี้ มันออกแนวแครกเกอร์ซะมากกว่าน่ะครับ
นั่นมันเรื่องของยุคก่อนนี่ครับรู้ว่ามันผิด แต่ตอนนี้คนก็ยอมรับแฮกเกอร์ในความหมายนี้กันไปแล้ว
May the Force Close be with you. || @nuttyi
สงสัยอยู่เรื่องนึงว่า
เว็บในเครือของเขา ไม่ได้เข้ารหัส-รหัสผ่านไว้เหรอ?
ถ้าเจาะถึงฐานข้อมูลทั้งหมดได้แล้ว เข้ารหัสฐานข้อมูลไม่ช่วยหรอกครับ เพราะได้ตัวอย่างรหัสผ่านบางตัวมาแล้ว
เข้ารหัส-รหัสผ่าน(ของผู้ใช้) != เข้ารหัสฐานข้อมูล ไม่ใช่เหรอครับ?
ถ้าสมมุติว่ารหัสผ่านของ-ผู้ใช้-ที่แจกออกไป ถูกเข้ารหัสแล้ว แล้วมีการเอารหัสนั้นเข้ามาล็อกอิน มันก็ล็อกอินไม่ได้ไม่ใช่เหรอครับ ช่วยอธิบายเป็นวิทยาทานให้ผมหน่อยครับ ยังงงๆ อยู่ ขอบคุณล่วงหน้าครับ
หมายถึงเข้ารหัส แบบพวก md5 แบบนี้เหรอครับ
ใช่ครับ ทำนองนั้น
ถึงแม้มันจะพอแปลงกลับมาเป็นรหัสผ่านเดิมได้ แต่ตั้งเป็นแสนๆ รหัสเนี่ย มันก็ยังงงๆ อยู่ -_-"
คุณตอบเร็วมากเลยครับ รอดูบอลป่ะเนี่ย อิอิอันนี้ผมเดาเอานะครับ ที่เป็นแสนๆ รหัส เค้าคงไม่ได้แปลงกลับมาหมดหรอกครับ เค้าคงแปลงของบางคน เช่นเจ้าของเวบ
อ๋อ อืมๆๆๆๆ แบบนั้นนั่นเอง ขอบคุณมากครับ
ส่วนที่ตอบไว พอดีทำงานไปด้วย อ่าน blognone ไปด้วยน่ะครับ :D
จากข่าว เขาได้รหัสผ่านบางตัวมาก่อนครับ แล้วได้ฐานข้อมูล มันพอจะหา key ได้ การถอดก็แค่ขึ้นอยู่กับเวลา
ผมว่าคุณกำลังเข้าใจอะไรผิด แต่ข้างบนอธิบายไปละ
โอ๊ย... เว็บอ่านข่าวไอทีอันดับสองของผม (รองจาก blognone เลยนะเนี่ย) เหอๆ ดีนะเนี่ย ใช้ Facebook account login
มันน่ากลัวก็ตรงนี้แหละค๊าบบบ
ไม่ยักกะรู้ว่า 4chan นี้เป็นชุมชนแฮกเกอร์ด้วย สงสัยตั้งแต่ ข่าวยูทูปโดนแฮค คราวที่แล้วละ เคยมีฝรั่งโพสต์ภาพที่ผิดกฏหมายไทยใน 4chan มีคนไทยไปช่วยกันแจ้งแอดมินเค้าก็ลบให้ ดูเป็นมิตรดีออกนะ.. หรือคนที่ทำ(แฮกเว็บอื่น+เรียกตัวเองว่าแฮกเกอร์)เป็นชุมชนในนั้นไม่เกี่ยวกับทีมงานเว็บหว่า... ถึงเวลารึยังที่ blognone จะแท็ค 4chan ได้อะฮิ ๆๆ
ป.ล.รหัสยูสที่สมัคร gizmodo นี้ generate มาหายห่วงอิอิ
ถ้าจำไม่ผิดทีม 4chan เคยเขียนถอด reCaptcha ด้วยนะครับ
ใช้ข่าวที่ช่วยกันปั๊มโหวตอะไรนั่นหรือเปล่าครับ ?
http://www.blognone.com/node/11500
แฟนพันธุ์แท้สตีฟจ็อบส์ | MacThai.com
ดีนะผมไม่มี user เว็บเครือนี้
ไม่ได้สมัครสมาชิก รับ RSS อย่างเดียว สบายใจ 5555
เหมือนกันครับ โล่งอก
WE ARE THE 99%
รับ RSS อย่างเดียวเหมือนกันครับ
โหด มว๊ากก
"Nick Denton ผู้ก่อตั้ง Gawker ใช้รหัสผ่านเดียวกันหมด" คำเดียวเลย chip หาย ระเนระนาด
WE ARE THE 99%
บอได้คำเดียวว่า "เลวมาก"
งานนี้เจอเกรียนตบเกรียนครับ มันดี
เป็นบทเรียนของเว็บครับ ว่าต้องระวังดูแลตัวเองมากกว่านี้ ส่วน พวก password เข้าใจว่าน่าจะเก็บไว้ตรง ๆมากกว่านะครับ เจ้าของเว็บก็พลาดตรงที่ใช้ password เดียวกันไปในหลายที่ คราวหน้าก็ต้องระวังตัวมากขึ้นครับ
ถ้าทำกันถึงขนาดนี้สาเหตุคงไม่ได้มีแค่ดูถูกหรอก
ที่จริงเค้าอาจจะอยากเจาะเข้าไปเอาฐานข้อมูลของ Gawker อย่างเดียวมังครับ แต่ดันเจอแจ็กพอตรหัสผ่านเดียวกันหมด เลยได้หลายเด้ง
Pitawat's Blog :: บล็อกผมเองครับ
น่ากลัว
ดูละครแล้วย้อนดูตัว .. -_-'
my blog
เจาะได้แล้วเอาไปแจกต่อเนี่ย ดูโหดร้ายมากเลยนะครับ เกินกว่าความสะใจที่โดนดูถูกไปแล้วล่ะเนี่ย
ไม่ว่าเทคโนโลยีจะก้าวหน้าแค่ไหน จิตใจคนก็ยังตกต่ำลงเช่นเดิม
+1 พัฒนาแต่วัตถุ ขาดการพัฒนาจิตใจ
อยากเก่งแบบแฮกเกอร์ แต่ไม่อยากทำตัวแบบนี้ครับ
แฮคแล้วบอก ยังดีกว่าไม่บอก ตรงที่ว่า โดนแฮคแต่ไม่รู้ตัว ;)
ไม่ทราบว่าการเข้ารหัสให้ตรงกับพวก sha1 กับ salt ถ้ารหัสผ่านยาว 12 ตัวใช้เวลาแกะประมาณเท่าไหร่คับ
จริงๆ แล้วผมคิดเอาเองว่าไม่น่าแกะได้ แต่ตามข่าวบอกว่าเว็บในเครือ Gawker ทำ CMS มาใช้เอง ผมเลยเดาว่าทางคนเขียน CMS ไม่ได้ Encrypt พวก Password เอาไว้
พอรู้ Password ของ Admin ทุกอย่างก็จบยิ่งเป็น Password เดียวเที่ยวทั่ว Cyberspace ด้วยก็ยิ่งไปกันใหญ่
อีกอย่างที่เป็นข้อสังเกตุคือ Hacker ไม่ได้ Hack จากการแกะ Password แต่เป็นการ Hack จากช่องโหว่(Exploit) ของระบบซึ่งคิดว่าคนเขียน CMS นั้นคงไม่ได้ให้ความสำคัญกับระบบรักษาความปลอดภัย หรืออาจมีความรู้ไม่พอก็เป็นได้
ถ้าเข้าถึงฐานข้อมูลได้ ถึงจะเข้ารหัสก็ไร้ประโยชน์คับ เราก็สร้างรหัสของเราที่เข้ารหัสแบบเดียวกับเขาแล้ว update ลงฐานข้อมูล แค่นั้นเอง
นั่นสินะ ได้แม้กระทั้ง ซอร์ส
เขา hash เพื่อไม่ได้รู้ว่ารหัสที่แท้จริงเป็นอะไรครับ กรณีการทำรหัสหลุดแล้วเอาไปใช้ที่อื่นต่อได้แบบกรณีนี้จะได้ไม่เกิดขึ้นอีก
lewcpe.com , @wasonliw
โอ้ว inception ชัดๆ
การ Encrypt ไม่ไร้ประโยชน์ครับ
เพราะในกรณีที่มีคนเจาะเข้า Database ของเราได้
แม้เค้าจะเอา Password เราไปได้แต่ก็ไม่สามารถนำไปใช้กับระบบอื่นๆ ได้
(นอกเสียจากว่าจะ Hack เข้าระบบอื่นได้ และระบบเป้าหมายนั้นใช้ Hash Algo แบบเดียวกัน)
ผมถึงให้ข้อสังเกตุว่าในกรณีนี้ไม่น่าจะเข้ารหัสเอาไว้
เพราะสามารถนำ Password ที่เจาะมาจาก Database
ไปเข้าระบบอื่นๆ เช่น Twitter ได้
อืม นั่นแหละ ผมก็คิดแบบเดียวกันครับ ว่าคงจะเก็บไว้ตรงๆ ไม่ได้เข้ารหัสไว้
ก็เลยถามไปตอนต้นคอมเมนต์ว่า เขาไม่ได้เข้ารหัสไว้เหรอ
คำถามต่อมาคือที่ไม่ได้เข้ารหัสไว้เพราะอะไร จะเพราะว่าลืม, ไม่ใส่ใจ,
หรือ เก็บรหัสของ User ไว้เพื่อ.......
อึ๋ย! ไม่อยากคิดต่อ
ไร้ประโยชน์หมายถึงถ้าเราแก้ไข db ได้นะคับการเข้ารหัสก็กันได้หละถูกแล้ว แต่ถ้าต้องการแก้พาสเวิดใหม่ให้ใครซักคนจาก db มันง่ายมาก ที่ผมคิดนะการที่จะแกะพาสที่เข้ารหัสแล้วมันอาจทำได้แต่ถ้าผมเป็นแฮกเกอนะ ผมเช็คจากรหัสผ่าน db ที่ลองเข้ารหัสแล้วเทียบกับ password ที่ถูกเข้ารหัสทุกคนว่าตรงกันไหม เพราะตามข่าวที่บอกเป็น cms เว๊บ cms ส่วนใหญ่เก็บ user กับ password ไว้ที่ไฟล์ๆนึงเลยคับ แล้วถ้าเป็น cms ที่เขาเขียนขึ้นเองอีก เขาอาจเก็บ user กับ password อย่างอื่นไว้ด้วยเช่น ftp ,ระบบเมล์ และอื่นๆ
ปล. ผมใช้ความรู้จากที่ผมเคยจับ cms มาอาจผิดพลาด ^^
MD5 มีเว็บ DECODER เยอะแยะครับSHA ก็มีคนถอดได้แล้ว
ไม่ใช่ถอดรหัสซิน่าจะเรียกว่าการเปรียบเทียบจาก Dictionary
Texion Business Solutions
พวก Bruteforce นี่ต้องใช้เวลาครับ ถ้ามีเวลาก็โอเคเพราะมันต้องไล่เรียงจาก Dictionary ไปเรื่อยๆ
ในกรณี Bruteforce สำหรับผมไม่ถือว่าเป็นการ Hack นะครับเพราะเหมือนเดาไปเรื่อยๆ เปลี่ยนจากการเดาของคนไปใช้การเดาของโปรแกรมแทน
ผมคิดว่า อย่างน้อยก็คงจะมีการ encryp โดยใช้ คีย์ของรหัสผ่าน + คำเฉพาะในcodephp encryp to md5 เป็นอย่างอย่างแน่นอนครับ นี้ถือว่าเป็นเบสิคที่สุดแล้ว แต่เนื่องจาก ได้ทั้ง code php ได้ทั้งฐานข้อมูลที่(อาจจะ)เข้ารหัสไว้แล้ว การที่จะ ถอดรหัส คงไม่ยากสำหรับ "กลุ่ม"คนที่เป็น Hacker ซึ่งนิยามของคำว่า Hack หรือ ถอดรหัสนั้น คงจะไม่ไปยึดติดกับ Algorithm หรอกนะครับ เพราะต้องบวกกับเทคนิค ที่ไม่ว่าจะใช้วิธีอะไรก็ได้ แต่เป้าหมายคือให้มันถอดกลับออกมาได้
....เคยไปสมัครอะไรกะเค้าไว้มั้ยน้อ.... เครียดดด...
ปลาหมอตายเพราะปาก
ปกติเวลาเก็บ password ลง db เค้าไม่ encrypt กันเหรอเนี่ย, หรือว่า decrypt ได้เพราะได้ sourcecode ส่วน key ไปด้วย - -a
iPAtS
เท่าที่ทราบ RO ยุคที่ AS เปิดเซิร์ฟเวอร์ไทยช่วงแรกๆ เก็บเป็น plain text เลยครับ ไม่รู้ว่าหลังจากนั้นเขา encrypt หรือยังนะ
LinkedIn
แสดงว่า เวปมันเก็บพาสไว้ตรงๆเพราะว่า ถ้า md5 + salt นี่ ไม่มีทางแกะได้ เพราะมัน 128bit เป็นไปไม่ได้เลยที่จะ random
แล้วแบบนี้ เวปที่มีพวก opden id หรือพวก facebook login นี่ มันต้องเก็บ pw ไว้หมดเลยหรอ?
ใครเข้าด้วย FB จะไม่โดนครับ เพราะมันเป็น api เลยไม่จำเป็นต้องส่งรหัสผ่านจริงๆ ไป
มันไม่ง่ายเลยที่จะทำ GIF ให้มีขนาดน้อยกว่า 20kB
คิดเหมือนกันครับ ว่าอาจจะเก็บพาสไว้ตรงๆ
ใครบอก md5 แกะไม่ได้ครับ โค้ดเดอร์ที่ forums ดอท digitalpoint ดอท com เขาแกะกันได้ภายใน 2 นาที ออกไปให้ไกลกว่าประเทศไทยหน่อยครับ อินเตอร์เน็ตอุตส่าห์ทำให้โลกเล็กลงแล้ว
-1 offensive
คุณออกไปนอกประเทศแล้วคุณแล้วอ่านเข้าใจรึเปล่าครับ ถึงได้ออกโพสต์ฮาๆแบบนี้
4d2d0f9edfc89cf1e5c053b2212e560c
แกะได้ผมโอนเงินสด 10,000 บาทให้คุณเลยครับ ใน 24 ชั่วโมงนี้นะ
ผมไม่ได้บอกว่าทำเป็นแต่แรกแล้วนี่
แต่โปรแกรมข้างล่าง แคร็ก md5 ได้ใน 7.8 วินาที ทำไมคุณดูถูกคนอื่นขนาดนั้นผมว่าแทนที่จะดูหมิ่นคุณร่วมมือกับผมพัฒนาโปรแกรมดีกว่านะ ผมกำลังทำ live stream จากมือถือผ่านทางเว็บโดยตรงโดยไม่ใช้แฟรซ ผมว่าคำตอบคือ java script แต่มันก็หนีไม่พ้น flash อยู่ดี ถ้าคุณฉลาดกกว่าผมช่วยผมคิดดีกว่านะ ถ้าทำสำเร็จผมว่า microsoft กับ google แย่งซื้อเว็บคุณแน่
http://www.youtube.com/watch?v=RbmQlT__ycw
ผมดูคลิปแล้วขำเลย คุณดูแล้วไม่รู้สึกอะไรบ้างหรือครับ
กระบวนการนี้ ไม่ต้อง MD5 ครับ SHA-3 (ที่ยังไม่ออก) รวมถึง hash เทพแค่ไหน ร่วงทุกราย
lewcpe.com , @wasonliw
ผมว่าคุณต้องดูคลิปที่คุณเอามาวางให้ดีๆก่อนนะว่าโปรแกรมที่ว่ามันทำอะไรกันแน่ = =" (มันไม่ใช่การ decrypt แน่นอนครับ)
555+ คลิปที่คุณเอามาแปะเค้าลืมไปอย่างนึงครับ
เค้าลืมแปะป้ายว่า "ดูถูกสติปัญญา"แบบเดียวกับ iHere TV ของตาจอห์น วิญญู
ว้าว! ท่าทางผมจะโง่สุดในเว็บนี้แฮะ
ผมไม่เคยใช้ tools ตัวนี้ เดี๋ยวจะลองหามาดูอีกที ว่าทำอะไรได้บ้างแต่จาก vdeo ผมว่า มัน สุ่ม pass จาก word list น่ะครับ
Ton-Or
เวรมากๆ ดันสมัคร lifehacker ไว้
ส่วนตัวผมคิดว่าสมควรโดนอ่ะ หาเรื่องไปดูถูก แต่ไปผิดที่
แต่แค่ผู้ใช้งานเฉยๆนั้น ไม่สมควรโดนปล่อยพาสเวิร์ดสู่สาธารณะด้วยนะครับเพราะบางคนเขาใช้ E-Mail ทำงาน ทำธุรกรรมทางการเงินด้วย ลองนึกถึงความเสียหายที่จะตามมาเพียงเพื่อความสะใจดูครับ
ที่ฮาไม่ออกคือ รหัสผ่านที่เปิดเผยมา
มีไม่น้อยที่ตั้งไว้ง่ายมากๆ เข่น 12346, passwordถ้าเกิดใช้รหัสเดียวกันกับอีเมล หรือที่อื่นอีก
ก็แย่หน่อย
ถ้าตั้งแบบนี้ผมว่าก็สมควรโดนแล้วละ ฮ่าๆๆๆๆๆ
ผมหมายถึงของสมาชิกเว็บนะครับไม่ใช่ทีมงานเว็บที่ใช้รหัสผ่านแบบนี้
ถึงว่าทำไมวันนี้มี popup แดงๆ ด้านบน คิดว่าคงโดนอะไรแหงๆ
ได้อ่านบทสัมภาษณ์ของทีม Gnosis กันยังครับ http://thenextweb.com/media/2010/12/14/an-interview-with-gnosis-the-group-behind-the-gawker-hacking/
มันไม่ง่ายเลยที่จะทำ GIF ให้มีขนาดน้อยกว่า 20kB
อ่านดูแล้วผมว่า Gnosis ไม่เลวร้ายเท่าไหร่นะ คำพูดใน screenshot ด้านล่างมันเชิญชวนให้ Hack มากเลย
จาก http://thenextweb.com/media/2010/12/14/an-interview-with-gnosis-the-group-behind-the-gawker-hacking/
บอกว่า"I: We apologize that you were caught in the crossfire of this attack, if you have a sufficiently good password over 8 characters then you are most likely not at risk, anyone could have did what we did, it was wide open for everyone to exploit, we just got there first."
เข้าใจว่าน่าจะได้ออกมาเป็น hash นะครับ
โหลดซอร์สมาดูสิครับ จะได้ไม่ต้องเถียงกัน