จากที่เกิดเหตุการณ์ข้อมูลบัตรเครดิตของลูกค้าเกินกว่า 100 รายรั่วไหล หลังจากซื้อของจากเว็บ e-commerce ชื่อดังอย่าง Moxy จนเป็นประเด็นร้อนกันอยู่ในโพสท์นี้ที่ผมโพสเตือนภัยเอาไว้และมีผู้แชร์ออกไปว่า 1,300 ครั้ง
https://www.facebook.com/ok.lets.ko/posts/1166648440036249
จนถึงขั้นเป็นข่าวลงเว็บไซท์ไทยรัฐและออกรายการช่องไทยรัฐทีวี
http://www.thairath.co.th/content/621003
แต่ทาง Moxy เองยังคงปฏิเสธ จนกระทั่งทางแอดมินเพจสอนแฮกเว็บแบบแมวๆ ได้เขียนบทความที่มีเนื้อหาชวนตะลึงออกมา จึงอยากนำมาแบ่งปันความรู้ให้ทุกท่านได้ระวังตัวกันให้มากขึ้นครับ
บทความ "ทำไมเว็บ MOXY โดนแฮกบัตรเครดิต"
https://www.facebook.com/notes/สอนแฮกเว็บแบบแมวๆ/ทำไมเว็บ-moxy-โดนแฮกบัตรเครดิต/1688644928056954
ขออนุญาตคัดลอกบทความมาลงในนี้นะครับ ขอบคุณเพจสอนแฮกเว็บแบบแมวๆ มา ณ ที่นี้ด้วยครับ คลิกอ่านได้ใน spoil นะครับ
[Spoil] คลิกเพื่อดูข้อความที่ซ่อนไว้ตอนแรกแอดมินว่าจะไม่เขียนถึงเรื่องนี้แล้วครับ บังเอินไปเจอสิ่งที่ขัดหูขัดตากับคำประกาศที่ “ไม่เป็นความจริง” ในประกาศของทาง Orami (ชื่อใหม่ของ MOXY) บนเว็บไทยรัฐ เลยขอแจมสักหน่อย ขอรายงานข้อเท็จจริงในฐานะสื่อ ไม่ได้มีจุดประสงค์จะใส่ร้ายหรือก่อให้เกิดความเข้าใจผิดใด ๆ ครับ โปรดใช้วิจารณญาณในการอ่านนะครับ ตอนนี้ช่องโหว่ถูกแก้ไขหมดแล้วค่อนข้างปลอดภัยไว้ใจได้ในระดับนึงเลยครับ
ก่อนเริ่มขอตกลงกันก่อนว่า อันไหนที่ ข้อเท็จจริง (fact) จะใส่ใน {วงเล็บปีกกา} แบบนี้นะครับ นอกนั้นอาจเป็นความคิดเห็นส่วนตัวของแอดมินหรือเกิดจากการวิเคราะห์เพิ่มเติมล้วน ๆ เนื่องจากเมื่อคืนได้ทราบว่า คนรู้จักแอดมินเป็นหนึ่งในทีมที่เกี่ยวข้องอยู่ใน loop ของ incident นี้มาชี้แจ้งให้ฟังว่าจริง ๆ เกิดอะไรขึ้น ที่ไม่ได้อยู่ในหน้าสื่อ แต่เนื่องจากเค้าอยู่ในฐานะผู้เกี่ยวข้องโดยตรงไม่สามารถออกมาชี้แจงเองได้ แอดมินก็ขออนุญาตเค้านำมา เผยแพร่เพื่อเป็นประโยชน์ต่อ ผู้เสียหาย หรือคนที่กังวลว่าจะตกเป็นเหยื่อนะครับ
{เรื่องนี้เกิดขึ้นเมื่อประมาณ 1 เดือนที่แล้ว} แต่ผู้เสียหายเพิ่งจะทยอยกันออกมาเพราะว่าบัตรเครดิตที่หลุดออกไปเริ่มถูกมิจฉาชีพ หรือคนที่ได้ข้อมูลเหล่านี้ไป นำมาใช้งาน, เว็บ moxy เป็นเว็บขายของออนไลน์สำหรับสาว ๆ ซึ่งตอนจะจ่ายเงินซื้อของ {moxy จะมีตัวเลือกใช้วิธีจ่ายเงินผ่านบัตรเครดิต โดยใช้ payment gateway ของ 2c2p} ก่อนอื่น ต้องขออธิบายก่อนว่า การนำ payment gateway มาใช้ให้ปลอดภัยเป็นอย่างไร ปกติจะมีสองแบบคือ
1. เว็บขายของ วางหน้า กรอกเลขบัตรเครดิตที่หน้าเว็บตัวเอง
ข้อดี:
เว็บสวยงาม ผู้ใช้งานรู้สึกดี สะดวก ว่าจ่ายเงินบนหน้าเว็บได้เลย
ข้อเสีย:
ทำให้ปลอดภัยยาก และมักจะไม่อยากทำกัน ถ้าทำให้ปลอดภัย ต้องส่งเลขบัตรเครดิต ผ่าน client side script ยิงตรงเข้า HTTPS api ของ payment gateway โดยตรงระหว่าง web browser ของ ผู้ใช้งานเว็บกับ payment gateway โดยทางเว็บ *จะต้อง* ไม่มีข้อมูลบัตรเครดิตวิ่งผ่าน network ตัวเอง *จะต้อง* ไม่มีการเก็บข้อมูลบัตรเครดิตลูกค้าไว้เอง
2. เว็บขายของ ทำการเปลี่ยนหน้า (redirect) ไปที่หน้าจ่ายเงินของ payment gateway เพื่อกรอกเลขบัตรเครดิตแล้ว redirect กลับมา
ข้อดี:
เรื่องความปลอดภัย วิธีนี้ค่อนข้างทำให้ user มั่นใจได้ว่า ต่อให้เว็บร้านค้าโดนแฮกยังไง ท่าไหน ถ้าเรากรอกผ่านหน้าที่ถูก redirect ไปเป็นเว็บที่ถูกต้องไม่ใช่เว็บปลอม ข้อมูลบัตรเครดิตของเราก็ยังปลอดภัย เพราะข้อมูลบัตรเครดิต เราไม่ได้ถูกส่งผ่าน หรือไม่ได้ถูกเก็บอยู่ในเว็บร้านค้าพวกนี้แน่ ๆ
ข้อเสีย:
ผู้ใช้งานบางส่วนอาจจะรู้สึกยุ่งยากว่าทำไม เข้าใช้งานเว็บร้านค้า หน้าตาแบบนึง แต่ต้อง redirect ไป ๆ มา ๆ ไปจ่ายเงินเว็บอื่น เรื่อง UX/UI หน้าเว็บขายของทำมาซะสวย แต่ว่าหน้าจ่ายเงินไม่เป็นไปตาม theme เดียวกันกับหน้าเว็บหลัก หรือ ผู้ใช้งานบางส่วนอาจจะขาดความรู้มีความเข้าใจผิด ๆ ไม่กล้าจ่ายเงินบนหน้าเว็บที่ถูก redirect ไปซึ่งจริง ๆ พวกเว็บธนาคาร / payment gateway ส่วนมากจะมีความปลอดภัยสูงมากกว่าเว็บขายของทั่วไปมาก ๆ
ปัญหาที่ตามมาคือ...
1. {เว็บ moxy เวอร์ชั่นเมื่อ เดือนที่แล้ว ดันเทพซ่า ไปใช้วิธีแรก คือ วางหน้า กรอกเลขบัตรเครดิตไว้บนหน้าเว็บตัวเอง เก็บเข้าระบบตัวเองก่อนแล้วค่อย โยนผ่านไปที่ payment gateway ซึ่งก็คือ 2c2p !!!! } แบบนี้หมายความว่าอะไรครับ? หมายความว่าทางเว็บ moxy มั่นใจว่าระบบตัวเอง ปลอดภัย ขาดความตระหนัก นำข้อมูลบัตรเครดิตลูกค้าเต็ม ๆ ครบทุกหลัก วันหมดอายุ cvv ไปวิ่งผ่านระบบตัวเอง ซึ่งผิดกฏ ของมาตรฐานบัตรเครดิต (PCI-DSS) อย่างร้ายแรง (เพราะเว็บ moxy ยังไม่ได้การผ่านการตรวสอบมาตรฐาน PCI-DSS ก่อน โดยปกติแล้วเพื่อความปลอดภัยเว็บที่ยังไม่ได้ผ่านมาตรฐาน PCI-DSS จะส่งข้อมูลบัตรเครดิตวิ่งผ่าน payment gateway ที่เป็น 3-rd party ที่ผ่านการตรวจสอบ PCI-DSS แล้ว ซึ่ง moxy ก็ใช้... แต่เนียนส่งเข้าระบบตัวเองด้วย) การทำแบบนี้ในต่างประเทศการทำแบบนี้ถือว่าเป็นเรื่องใหญ่ และเป็นปัญหาด้านความปลอดภัยที่ไม่น่าให้อภัย ซึ่งสิ่งที่อาจจะเกิดขึ้นได้ตามมาคือ
1.1
ถ้าเว็บไซด์ โดนแฮกเมื่อไร ข้อมูลบัตรเครดิตของลูกค้าทุกคนหลุดอยู่ในมือโจรแน่นอน
1.2
คนใน ที่พัฒนาหรือดูแลเว็บไซด์ สามารถ เข้าถึงข้อมูลบัตรเครดิตของลูกค้าทุกคนที่ cache อยู่บนเครื่องของ moxy ได้ทำให้ถ้าเกิดใครสักคนนำข้อมูล ในระบบของ moxy ที่ออกแบบมาโดยไม่ได้ใส่ใจถึงความปลอดภัยโดยเลือกวิธีที่กล่าวมาข้างต้นตั้งแต่แรก ออกไปจะทำให้ข้อมูลบัตรเครดิตของลูกค้าทุกคนหลุดไปอยู่ในมือโจรได้แน่นอน
2. {หลังจากเกิดเหตุ (incident) ว่ามีผู้ที่ใช้งานเว็บไซด์โดนนำเลขบัตรเครดิตไปใช้จ่ายโดยไม่ได้รับอนุญาต ได้มีทีมงานผู้เชี่ยวชาญด้านความปลอดภัย เข้าไปตรวจสอบความปลอดภัยให้ moxy และได้พบ *ช่องโหว่ร้ายแรงจำนวนมาก* ในระบบของ moxy (ซึ่งปัจจุบันได้รับการแก้ไขหมดแล้ว) ที่อาจทำให้แฮกเกอร์สามารถเข้าถึงข้อมูลบัตรเครดิตทั้งหมดได้} ปรากฏว่าสิ่งที่ moxy ออกมาชี้แจ้งต่อสื่อมวลชนในข่าวไทยรัฐคือ ... {"ทางบริษัทฯได้ทำการตรวจสอบทุกระบบ ทุกกรณีที่จะเกิดความเสี่ยงแล้ว และไม่ได้พบหลักฐานหรือความผิดปรกติใดๆที่จะแสดงว่าข้อมูลสำคัญของลูกค้านั้นได้รั่วไหลโดยผ่านการชำระเงินกับเว็บไซด์ของ MOXY"} และได้ทำการปกปิดข้อเท็จจริง ที่ระบบตัวเองมีความเสี่ยงร้ายแรงจะโดนแฮก จากคนในหรือคนนอก ในช่วงเวลานั้น เพื่อรักษาฐานลูกค้า ซึ่งถ้าเป็นเว็บไซด์ต่างประเทศที่มีความรับผิดชอบที่ดี เค้าจะยอมรับว่าตัวเองโดนแฮกและแจ้งเตือนลูกค้าที่มีความเสี่ยง ใช้งานในช่วงเวลาดังกล่าวไปอายัด หรือตรวจสอบการใช้งานบัตรเครดิตทั้งหมด
3. {ธนาคารแบน ให้เอา moxy ออกจากระบบ payment gateway แล้วบังคับให้แก้ไขช่องโหว่ เพราะ เขียนโค้ดไม่มีความปลอดภัยเพียงพอ, ให้ทำการ redirect ไปกรอกบัตรเครดิตที่ payment gateway แทน} ตอนนี้ moxy เลยเปลี่ยนชื่อใหม่เป็น Orami เพื่อจะใช้งานได้ต่อไป .. แบบนี้ก็ได้เหรอ !
4. {ร้านค้าที่จะทำแบบกรอกบัตรเองได้ จะต้องทำการตรวจสอบช่องโหว่ระบบ (VA scan) อย่างน้อย ปีละสี่ครั้ง (quarterly) ตามความต้องการของมาตรฐาน PCI-DSS} ลองเดาดูว่า MOXY ทำรึเปล่า
5. สุดท้ายแล้วบัตรเครดิตจะมีการเปิดใช้งาน OTP หรือไม่ก็ไม่มีผล ถ้าโดนขโมยเลขบัตรเครดิตไป เพราะแฮกเกอร์สามารถนำไปใช้จ่ายในเว็บที่ไม่ถาม OTP ได้ เช่นเว็บที่ใช้ระบบจ่ายเงิน Payment Gateway ในไทยบางค่าย หรือเว็บต่างประเทศหลาย ๆ แห่งที่สามารถจ่ายได้ทันทีโดยไม่ต้องใช้ OTP
6. {ระบบตรวจจับ fraud บัตรเครดิตของธนาคาร ตรวจเจอว่า บัตรเครดิตลูกค้าจำนวนมาก โดนแฮกมาจาก จุดเดียวกันคือซื้อของที่เว็บ moxy}
7. {ปัจจุบันผลการตรวจสอบช่องโหว่ของ Orami by Moxy เป็นที่น่าพอใจ แก้ไขช่องโหว่และปัญหาต่าง ๆ หมดแล้ว} แต่ไม่ทันแล้วตอนนี้บัตรเครดิตมันหลุดออกมาแล้วตั้งแต่เดือนที่แล้ว คนที่ตกเป็นเหยื่อก็จะค่อย ๆ ทยอยกันโดนกันไปครับ และมีออกมาเรื่อย ๆ ครับ
ถ้าให้แอดมินแนะนำนะครับ Orami ยอมรับเถอะครับ ว่าโดนแฮก ออกประกาศด้วยข้อเท็จจริง การที่ลูกค้าโดนขโมยบัตรเครดิตไปใช้จำนวนมาก พอตรวจสอบระบบตัวเองเจอช่องโหว่ร้ายแรง แล้วดันประกาศว่า ตรวจสอบไม่พบช่องโหว่ใด ๆ ไม่น่ารักเลยนะครับ ;]
ขอบคุณแหล่งข่าวไม่ประสงค์ออกนามทางหลังเพจครับ
หลังจากบทความนี้เผยแพร่ออกมา จนมีผู้แชร์ไปกว่า 700 ครั้ง ขณะนี้ผ่านไปเกือบ 2 วันทาง Moxy ก็ยังคงไม่มีการออกมาชี้แจงใด ๆ ทั้งสิ้นครับ แม้ว่าจะจี้ถามไปแล้วก็ตาม ก็คงต้องรอดูกันต่อไปว่าเรื่องนี้จะจบอย่างไรครับ
ทำไมเว็บ MOXY โดนแฮกบัตรเครดิต กระจ่างแจ้งในโพสท์เดียว
https://www.facebook.com/ok.lets.ko/posts/1166648440036249
จนถึงขั้นเป็นข่าวลงเว็บไซท์ไทยรัฐและออกรายการช่องไทยรัฐทีวี
http://www.thairath.co.th/content/621003
แต่ทาง Moxy เองยังคงปฏิเสธ จนกระทั่งทางแอดมินเพจสอนแฮกเว็บแบบแมวๆ ได้เขียนบทความที่มีเนื้อหาชวนตะลึงออกมา จึงอยากนำมาแบ่งปันความรู้ให้ทุกท่านได้ระวังตัวกันให้มากขึ้นครับ
บทความ "ทำไมเว็บ MOXY โดนแฮกบัตรเครดิต"
https://www.facebook.com/notes/สอนแฮกเว็บแบบแมวๆ/ทำไมเว็บ-moxy-โดนแฮกบัตรเครดิต/1688644928056954
ขออนุญาตคัดลอกบทความมาลงในนี้นะครับ ขอบคุณเพจสอนแฮกเว็บแบบแมวๆ มา ณ ที่นี้ด้วยครับ คลิกอ่านได้ใน spoil นะครับ
[Spoil] คลิกเพื่อดูข้อความที่ซ่อนไว้
หลังจากบทความนี้เผยแพร่ออกมา จนมีผู้แชร์ไปกว่า 700 ครั้ง ขณะนี้ผ่านไปเกือบ 2 วันทาง Moxy ก็ยังคงไม่มีการออกมาชี้แจงใด ๆ ทั้งสิ้นครับ แม้ว่าจะจี้ถามไปแล้วก็ตาม ก็คงต้องรอดูกันต่อไปว่าเรื่องนี้จะจบอย่างไรครับ