มาเล่ากันหน่อย ปกติเนี่ยเวลาทำระบบคอมพิวเตอร์เนี่ย มาตรฐานเลยเค้าจะไม่เก็บ Password ของผู้ใช้เป็น clear text แต่เก็บเป็นรหัสทางเดียวที่ไม่สามารถบอกได้ว่าพาสเวิร์ดจริงๆ คืออะไรหน้าตาประมาณนี้ 1346546783213546568535FACBCDAF36545487444  ปกติถ้าใช้งานเว็บทั่วผมก็มักที่จะลองใช้ฟีเจอร์ forgot password อยู่เสมอเพือดูว่าระบบจะทำงานยังไง แต่กับ Starbucks บริษัทกาแฟระดับโลกขนาดนี้ผมไม่เคยคิดจะลองเลย จนกระทั่งเพือนผมทักมาว่าลอง forgot password แล้วมันส่ง clear text มาให้ ..... ผมเลยลองทำดู ... ได้ผลลัพธ์ดังข้างล่างนี้ ....



แล้วมันมีปัญหายังไง คือหลายคนเนี่ยผมชือว่าใช้ password เดียวกับหลายเว็บ และส่วนใหญ่แล้ว username ก็ซั้ำกับ email อีก ... ไม่ว่าคนใน starbucks จะดูเองหรือว่าเว็บ Starbucks โดนแฮก ผู้ไม่หวังดีก็จะเห็นข้อมูลทั้งหมดอยู่ดี

ในนนี้ใครเป็นแฟนแมงดาวก็ไปเปลี่ยนพาสเวิร์ดกันเอาเองนะครับ เพือความปลอดภัย


วันนี้ Starbucks โทรมาแจ้งว่า ทำแบบนี้เพือความง่ายของลูกค้า แต่ถ้าลูกค้าไม่พอใจจะรีบแก้ไขให้ภายในหนึ่งอาทิตย์ ... ผมจะรอดูครับ

ล่าสุดเห็นว่า Starbucks ใช้วิธี reset password กับการทำ Forget Password แล้วนะคับ ไม่ได้ส่ง password ให้ตรงๆ แล้ว (แต่จริงๆ ยังเก็บ plain text อยู่หรือเปล่าผมบอกไม่ได้) แต่มีการ deploy app ใหม่แน่นอน แต่นะ เล่นส่ว link สำหรั บ reset password มาเป็น http://203.146.186.186/msr/resetpassword.aspx? แทนที่จะเป็น https://www.starbuckscard.in.th/cards

แต่ต้องถือว่าทางทีม Starbucks response ตรงนี้ได้ไวดีนะ แม้ว่าผมจะไม่รู้ว่าแก้ไขจริงจังแค่ไหน ในตอนนี้  สมเป็นแบรนด์กาแฟที่ผมยังคงจะกินต่อเนืองต่อไป