ทวิตเตอร์ประกาศโดนแฮ็ค ผู้ใช้ 250,000 คนอาจโดนขโมยข้อมูลส่วนตัว

By: toandthen

on 2 February 2013 - 09:18 Tags:

Topics:

Java

Twitter

เมื่อคืนวันศุกร์ที่ผ่านมานี้ ทวิตเตอร์ออกมาประกาศว่าพวกเขาโดนแฮ็ค และผู้ใช้ทวิตเตอร์กว่า 250,000 คนอาจจะโดนขโมยข้อมูลส่วนตัว โดยข้อมูลที่โดนขโมยไปได้แก่ username, อีเมล, และรหัสผ่านที่โดนเข้ารหัสไว้แล้ว (encrypted passwords)

ทวิตเตอร์ยืนยันว่าการเข้าขโมยข้อมูลในครั้งนี้ถือว่าเป็นการแฮ็คที่ไม่ง่าย น่าจะเป็นฝีมือของกลุ่มที่เข้าใจการเจาะข้อมูลเป็นอย่างดี และเชื่อว่าการเข้าขโมยข้อมูลในครั้งนี้หลาย ๆ บริการ บริษัท และองค์กรอื่น ๆ น่าจะโดนโจมตีด้วยเช่นกัน

อย่างไรก็ตาม ทวิตเตอร์ไม่ได้เผยรายละเอียดว่ากลุ่มแฮ็คเกอร์ได้ใช้วิธีเจาะข้อมูลอย่างไร แต่ได้บอกเพียงแค่ว่าการโจมตีในครั้งนี้เป็นการใช้ช่องโหว่ที่ถูกเผยแพร่ต่อสาธารณะชนของ Java ซึ่งก่อนหน้านี้หลาย ๆ บริษัท และหน่วยงานความปลอดภัยได้ออกมาเตือนผู้ใช้อินเทอร์เน็ตทั่วไปแล้ว ให้ปิด Java บนคอมพิวเตอร์ของตัวเองเพื่อความปลอดภัย

เช่นกัน ก่อนหน้านี้แอปเปิลก็ได้สั่งปิด Java บนคอมพิวเตอร์ที่บริษัทขายไว้ก่อนล่วงหน้าแล้ว และล่าสุดเมื่อวันพฤหัสบิดีที่ผ่านมาก็ได้สั่ง บล็อคการใช้งาน Java 7 Web Plug-in อีกครั้ง

ทวิตเตอร์ยืนยันว่ารหัสที่ถูกขโมยไปในครั้งนี้ได้ถูกเข้ารหัสไว้แล้ว (hashed) อีกทั้งยังมีการเพิ่มตัวเลขที่ถูกสุ่มเข้าไปหลังจากรหัสผ่านที่ถูกเข้ารหัสแล้ว (salted) เพื่อทำให้การแกะรหัสยากขึ้น แต่นี่ก็ไม่ได้หมายความว่ารหัสผ่านที่โดนขโมยไปจะไม่สามารถถูกแกะได้

ที่มา - The New York Times

Hiring! บริษัทที่น่าสนใจ

Fastwork Technologies

Fastwork.co เว็บไซต์ที่รวบรวม ฟรีแลนซ์ มืออาชีพจากหลากหลายสายงานไว้ในที่เดียวกัน

Wisesight (Thailand) Co., Ltd.

The Best Choice For Handling Social Media · High Expertise in Social Data · Most Advanced and Secure

CIMB THAI Bank

MOVING FORWARD WITH YOU - CIMB is the leading ASEAN Bank

Comments

By: nostalgias

on 2 February 2013 - 09:45 #536483

Java อีกแล้ว ... #จาวาพรุนส์

By: T3NNIIZ

on 2 February 2013 - 09:50 #536485

Java ตามเคย

By: komkit0710

on 2 February 2013 - 09:56 #536491

แสดงว่า twitter ไม่ปิด java?

By: itpcc

on 2 February 2013 - 10:02 #536493 Reply to:536491

อาจจะปิดไม่ได้มากกว่าครับ

p>// จาวาเฟล

บล็อกส่วนตัวที่อัพเดตตามอารมณ์และความขยัน :P

By: komkit0710

on 2 February 2013 - 10:34 #536501 Reply to:536493

รู้ว่ากระจกบ้านแตกแต่ไม่เปลี่ยน กลับจุดธูปภาวนาอย่าโดนขโมยของ ก็สมควรครับ

By: icez

on 2 February 2013 - 10:49 #536504 Reply to:536501

ฝั่ง server ใช้ java อยู่เพียบ จะปิดยังไงได้ครับ?

By: tuckclub on 2 February 2013 - 13:08 #536556 Reply to:536501

เห็นเมื่อเช้า ตอนแรกนึกว่าคุณเล่นมุกซะอีกครับ เลยไม่ได้ตอบ

คือ Twitter เค้าใช้ Java ในฝั่ง server ครับ ประมาณว่าเขียนโค้ด Java เพื่อติดต่อฐานข้อมูล, สร้าง HTML เพื่ออส่งมาแสดงผลใน browser ของเรา ซึ่งโค้ดพวกนี้เมื่อคอมไพล์แล้วก็ต้องรันบน JVM

รวมถึง Twitter เก็บข้อมูลไว้ใน Hadoop ครับ (เป็นฐานข้อมูลจำพวก NoSQL, เป็น distributed data storage, เป็น distributed data processing framework) ซึ่งสร้างขึ้นมาจาก Java อีกเช่นกัน

ดังนั้น ถ้า Twitter จะปิดการใช้งาน JVM ในตอนนี้ ก็ต้องหาเทคโนโลยีอื่นมาใช้แทนครับ หรือไม่ก็อาจจะถึงขั้นต้องปิดเว็บ twitter.com ไปเลย

By: raining on 2 February 2013 - 13:44 #536564 Reply to:536556

ฝั่ง server กับ ปลั๊กอิน Java มันคนละเรืื่องกันนะครับ ช่องโหว่ที่มันเป็นข่าวเรื่อยมาหลายเดือนในช่วงนี้มันเจาะผ่านปลั๊กอินที่ทำงานบนเบราว์เซอร์ นะครับ หรือผมเข้าใจอะไรผิด ??? มันไม่เกี่ยวกับการปิด jvm เลย มันแต่ต้องดูว่า twitter website หรือว่า client ต่่าง ๆ ตัวไหนที่มีการทำงานโดยต้องอาศัย ปลั๊กอิน Java

By: tuckclub on 2 February 2013 - 14:50 #536578 Reply to:536556

น่าจะเป็นผมที่เข้าใจผิดไปเองครับ USA Today บอกไว้ว่า

One expert said that the Twitter hack probably happened after an employee's home or work computer was compromised through vulnerabilities in Java, a commonly used computing language whose weaknesses have been well publicized.

และ Oracle บอกไว้ว่า CVE-2013-0422 ไม่ได้กระทบในฝั่งเซิร์ฟเวอร์

ขอโทษที่ทำให้สับสนครับ

By: LazarusSP1

on 2 February 2013 - 10:30 #536499

จาวาเร็วส์

By: hydrojen

on 2 February 2013 - 10:34 #536500

แพะๆๆ

By: Architec

on 2 February 2013 - 10:57 #536507 Reply to:536500

ทีนี้เว็บใครโดนเจาะโทษ Java ไว้ก่อนสินะ

//แบะ แบะ

By: Rdfaiz

on 2 February 2013 - 10:55 #536506

เอ๊ะ ทำไมพอผมจะแชร์ลิ้งก์ข่าวนี้ในเฟซแล้วมันดันขึ้นเป็นอีกข่าวนึงหว่า

By: HudchewMan

on 2 February 2013 - 11:38 #536522

โดน!!

แบบนี้ต้องเปลี่ยนรหัสผ่านกันเพื่อความปลอดภัยก่อนสินะ

~ HudchewMan's Station & @HudchewMan ~

By: Be1con

on 2 February 2013 - 12:03 #536534

เร็วส์ เร็วส์ เร็วส์

Coder | Designer | Thinker | Blogger

By: Soul_Master

on 2 February 2013 - 12:25 #536545

สงสัยว่า Hashed + Salted Password มันจะถูกแกะได้ยังไง? ถ้า Salt ที่เพิ่มเป็นคำสุ่มที่ยาวเพียงพอ

By: Onewings

on 2 February 2013 - 14:47 #536576 Reply to:536545

ถ้าเจาะ Password ได้ก็น่าจะได้ Salt ไปด้วยนะครับส่วนวิธีแกะไม่แน่ใจไม่ได้ศึกษา

By: AmidoriA

on 2 February 2013 - 17:46 #536611 Reply to:536576

ผมคิดว่าว่า เจาะอย่างนี้น่าจะได้ไปแต่ข้อมูลใน DB นะครับ ประมาณว่า Query ไปได้ แต่พวก Salt น่าจะอยู่ในตัวของโค้ดมากกว่านะครับ ไม่งั้นก็ไม่ควรเข้ารหัสแล้วดีกว่าครับ :P

By: foizy

on 3 February 2013 - 22:27 #536912 Reply to:536611

Salt/Pepper มีประโยชน์หลักๆ แค่ทำให้ไม่สามารถ Rainbow Table มาใช้ช่วยในการถอดรหัสได้ เพราะปัจจุบันนี้ Rainbow Table นี่ในใต้ดิน อาจจะใหญ่ไปถึงระดับ 10 หลักไปแล้ว ... Salt จะเก็บใน DB แบบไม่เข้ารหัสซะส่วนมาก เพราะเป็นสตริงที่แค่เอาไปแปะกับรหัสผ่านก่อน Hash .. ส่วน Pepper ก็คง Hardcoded ไว้ซักที่

ถ้าตั้ง Password ที่รวมกับ Salt/Pepper แล้วสั้นกว่าค่าที่ใน Rainbow Table มี ก็น่าจะโดนแกะได้ในพริบดา

ข้อสมมติก็คือ
1. Salt ยาวพอ --> แก้ปัญหา Rainbow Table
2. แต่เนื่องจากคงได้ Salt ไปอยู่แล้ว ก็ยังสามารถทำ Brute Force ได้ ... ถ้ารหัสผ่านสั้นๆ แป๊ปเดียวก็ออกแล้วมั๊งครับ