Posted on Nov 08, 2016

Security Risk : หลีกเลี่ยงการล็อกอินเข้าเว็บ starbuckscard ของประเทศไทย

Posted in Tech
Comments 34 Comments

หลายๆคนที่กินสตาร์บัคส์บ่อยๆ น่าจะมีสตาร์บัคส์การ์ดเป็นของตัวเอง เพราะจะได้สะสมดาวเอาไว้รับสิทธิพิเศษนู่นนี่นั่น … อย่างที่เหยื่อการตลาด(อย่างเรา)ควรจะเป็น

แต่การที่เป็นเหยื่อการตลาด ไม่ได้หมายความว่าเราจะต้องเป็นเหยื่อของการขโมยรหัสผ่านด้วยในคนเดียวกัน ..

 

เรื่องของเรื่องคือ เมื่อสักสองสามสี่ห้าปีก่อน สตาร์บัคส์ประเทศไทยได้รื้อระบบสตาร์บัคส์การ์ดที่ใช้ร่วมกับประเทศอื่นๆ แล้วทำของตัวเองขึ้น …

สิ่งที่ตามมาก็คือเปิดให้สมาชิกลงทะเบียนสตาร์บัคส์การ์ดของตัวเองได้ มีแอพเช็คยอดเงิน ตรวจสอบสิทธิพิเศษ บัตรหายก็ขอใหม่ได้เพราะเราผูกกับบัญชีผู้ใช้เราแล้ว (ควรจะ)ออกบัตรใหม่ได้เลย เงินอยู่ครบ

 

ก็เหมือนจะดี .. แต่แน่นอนว่าถ้าดีก็คงไม่บ่น 555+

 

เหตุผลคือ … ณ ไตรมาสสุดท้ายของปี 2016 แต่เว็บ www.starbuckscard.in.th ยังไม่บังคับให้เข้าเว็บแบบเข้ารหัส … เท่านั้นยังไม่พอ หน้าล็อกอินของ starbuckscard เองก็ไม่ได้บังคับให้เข้ารหัสเช่นเดียวกัน

หมายความว่า …. ตอนล็อกอิน … ทุกๆจุดที่ข้อมูลคุณผ่าน จากบ้านถึง server ของ starbucks สามารถเห็น email/password ของคุณได้หมด ตั้งแต่คนดูแลเน็ตเวิร์คที่ทำงาน ยันพนักงานที่ ISP ..

 

starbuckscard1
ตัวเว็บไม่บังคับ SSL ส่วนฟอร์มล็อกอินก็ไม่ระบุ URL เข้ารหัสเช่นกัน

 

ถ้าหากคุณรอดพ้นหน้า Login เข้ามาได้ (ยังไงวะ) … ท่าไม้ตายที่ทำให้มันแย่ได้อีกก็คือ .. การเปลี่ยนพาสเวิร์ด 

ปกติการเปลี่ยนพาสเวิร์ด เป็นการธรรมดามากที่จะต้องตรวจสอบรหัสผ่านเดิมก่อน เพื่อให้มั่นใจว่าเป็นเจ้าของเองจริงๆ ถึงแม้ว่าจะล้อกอินอยู่แล้วก็ตาม ซึ่งเว็บนี้ก็ทำนะ .. ทำฝั่ง Client คือ พี่แกส่งรหัสผ่านมาในหน้าเว็บเลย เวลาเรากรอกรหัสเดิม มันก็รู้ได้เลยโดยไม่ต้องถาม server ให้เหนื่อย … ซึ่งเหมือนเหมือนจะดี แต่มันไม่ !!

โดยปกติเว็บไซต์ควรจะเก็บพาสเวิร์ดของเราแบบเข้ารหัสทางเดียว หมายความว่าคนดูแลเว็บเอ็งก็ไม่(ควรที่จะ)สามารถรู้ได้ว่ารหัสผ่านของเราเป็นอะไร เพื่อที่ว่าเวลาข้อมูลหลุดไปอย่างน้อยผู้ไม่ประสงค์ดีก็จะไม่ได้เอาไปใช้ได้เลย

แต่เว็บนี้นอกจากจะไม่ได้เข้ารหัสทางเดียวแล้ว ยังส่งรหัสผ่านกลับมาที่ Client เพื่อตรวจสอบด้วย ประกอบกับความแย่ของการไม่บังคับเว็บให้เข้ารหัส SSL ผลก็คือ รหัสผ่านของคุณก็วิ่งพล่านไปทั่วระบบเครือข่าย รอใครซักคนมาหยิบเอาไป … ยิ่งถ้าคุณใช้รหัสผ่านและอีเมลเดียวกับบริการอื่นๆแล้วละก้อ …. ความซวยอาจจะมาเยือนได้

starbuckscard2
พาสเวิร์ดในฐานข้อมูลไม่แน่ใจว่ารหัสมั๊ย แต่ส่งกลับมาที่ Client แบบนี้โดนขโมยได้แน่นอน

คำแนะนำ

ถ้าการเลิกใช้ไม่ได้เป็นหนึ่งในทางเลือก ก็แนะนำให้

  1. เข้าเว็บด้วย https เป็นอันดับแรกที่ https://www.starbuckscard.in.th
  2. เปลี่ยนพาสเวิร์ดเป็นอันที่ไม่ซ้ำกับอันอื่นๆ
  3. ถ้าพาสเวิร์ดอันเก่าซ้ำกันบริการอื่นๆ แนะนำให้ไปเปลี่ยนพาสเวิร์ดเหล่านั้นทั้งหมด

ถ้าใครว่างลองแงะแอพบน Android กับ iOS ทีว่าเข้ารหัสด้วยมั๊ย ….

 

จริงๆแอบคาดหวังให้บริการที่เกี่ยวของกับการเงินมีความปลอดภัยมากกว่านี้ … บริการนี้มันเกือบจะเข้าข่ายบัตรเงินสดด้วยซ้ำไป มีหน่วยงานไหนจะต้องตรวจสอบบ้างมั๊ยน้า …

 

ปล. รหัสผ่านด้านบนนี่เอาไปลองได้ 555+

ปล2. อีกเรื่องที่ไม่ชอบคือ ทำไมต้องพิมพ์ชื่อนามสกุลของเราลงในใบเสร็จทุกครั้งที่ซื้อด้วย … privacy ของเราอยู่ที่ไหน !!

ปล3. ถ้าสังเกต code ที่ highlight ในรูปที่สอง จะพบว่าคนพัฒนาเอารหัสผ่านมาใส่ในช่อง input ที่มี type เป็น color !!!!! … มันก็ error เด๊ ….

 

Posted on May 19, 2016

วันนี้คุณโดนแฮกแล้วหรือยัง ?

Posted in Tech
Comments Post a Comment

ปกติเวลา account online ใดๆของเราจะโดนแฮกเนี่ย โดยส่วนใหญ่จะเป็นไปได้สองกรณี คือ
– เราถูกแฮกอยู่คนเดียว (ซวยโคตร) หรือ
– บริการนั้นๆโดนแฮก ข้อมูลผู้ใช้บริการ รหัสผ่าน หรือาจจะรวมถึงข้อมูลบัตรเดรดิตหลุดออกสู่สาธารณะ (ซวยกันทั้งหมด)

ที่ผ่านๆมาเคยเขียนวิธีป้องกันกรณีแรก ที่หลายๆครั้งจะโดนทำ Social Engineering จำพวก คำถามลืมรหัสผ่านง่ายเกินไป จดรหัสผ่านพร่ำเพรื่อ หรือแชร์รหัสกับคนอื่น ซึ่งการใช้รหัสยากๆ อาจจะช่วยได้บ้าง เคสนี้ยังรวมถึงพวกติดไวรัส ไม่ว่าจะเป็นบนคอมหรือบนมือถือ หรือที่ Router หรือแม้กระทั่งโดนพวกเว็บ phishing ซึ่งการใช้โปรแกรมป้องกันไวรัส ไม่เข้าเว็บที่สุ่มเสี่ยง หรือถ้าเข้าก็ใช้พวกโหมดพิเศษใน Browser ที่ไม่ทิ้งร่องรอยเราเอาไว้ รวมถึงการใช้ล็อกอินสองชั้น (2 steps verification / multi-factor authentication) ก็จะยิ่งช่วยป้องกันได้มากขึ้น

คราวนี้เราลองมาดูกรณีที่สองกันดูบ้าง คือ Service ที่เราใช้บริการนั้นโดนแฮก ซึ่งเกิดขึ้นไม่ง่าย แต่ก็ไม่ได้ยากจนเกินไปนัก ยิ่งเดียวนี้ Startup ผุดเป็นดอกเห็ด เรายิ่งต้องรู้อะไรพวกนี้ไว้บ้าง

โดยมีข่าวสดๆร้อนๆที่น่าสนใจสองอันคือ LinkedIn เคยถูกแฮกเมื่อปี 2012 .. แล้วข้อมูลก็เพิ่งจะถูกปล่อย(ขาย)สู่สาธารณะเมื่อเร็วๆนี้ หลุดแล้วเป็นร้อยล้านรายการ

อีกข่าวที่เป็นของไทย คือ เว็บ e-commerce รายนึงในไทยพัฒนาการเชื่อมต่อกับ Payment Gateway ที่ไม่รัดกุมพอ ทำให้ข้อมูลบัตรเครดิตลูกค้ารั่วไหล (แถมยังไม่ยอมรับอีก) (แถมตอนนี้เปลี่ยนชื่อไปอีก)

เรื่องการป้องกัน เราคงทำอะไรเองไม่ได้มากนัก ทำได้ก็คงเลือกใช้บริการเจ้าที่ดูน่าปลอดภัยหน่อย อีกอย่างนึงที่เริ่มได้ง่ายๆก็คือ พยายามอย่าใช้รหัสในแต่ละเว็บไซต์เหมือนๆกัน เพื่อจำกัดความเสียหายในกรณีที่ข้อมูลหลุดจากที่นึง จะได้ไม่ทำให้บริการอื่นๆเสี่ยงไปด้วย

อีกเรื่องนึงก็คงเป็น 2 steps verification ที่ช่วยให้แม้ว่าข้อมูล username/password ของเราหลุดออกไป คนอื่นก็เอาไป login ใช้งานไม่ได้ .. เห็นมั๊ยว่าล็อกอินสองชั้นเนี่ย มันช่วยได้ทั้งสองกรณีเลย 😀

แล้วเราทำอะไรได้อีก ?

มีบริการอันนึงที่คุณ Troyhunt เป็นพนง. Microsoft ทำส่วนตัวขึ้นมา .. เป็นเว็บไซต์ชื่อ haveibeenpwned.com

HaveIBeenPwnedCapture

สิ่งทีเค้าทำก็ง่ายๆเลยคือ รวมรวบข้อมูลที่ถูกแฮกแล้วปล่อยออกมาสู่สาธาณะ ตรวจสอบว่าเป็นของจริง แล้วก็เอามาใส่ในเว็บดังกล่าว (ถ้าสนใจ เค้าเขียนวิธีที่เค้าตรวจสอบข้อมูลที่ถูกปล่อยออกมาไว้ ที่นี่ )

เราสามารถใช้ประโยชน์จากมันได้ คือ ตรวจสอบ username / email ของเราว่ามีอยู่ในฐานข้อมูลของเว็บหรือไม่ .. ถ้ามีนั่นแปลว่าคุณโชคร้ายแล้วคับ … ข้อมูลของคุณมีความเสี่ยงที่จะโดนใช้งานโดยผู้ไม่ประสงค์ดี ไม่ทางใดก็ทางหนึ่ง  … ควรเปลี่ยนรหัสผ่านโดยด่วน แล้วยิ่งถ้าใช้รหัสผ่านเดียวกันหลายๆเว็บไซต์ นี่เปลี่ยนยกแผงเลยครับพี่น้อง !!!

โดยทางเว็บจะบอกบริการที่ข้อมูลนี้หลุดออกมา รวมถึงที่อื่นที่พบข้อมูล(เว็บจำพวก pastebin) และข้อมูลที่หลุด เช่น อีเมล username รหัสผ่านแบบเข้ารหัส หรือรหัสผ่านแบบ plain text (สยองโคตร) คำใบ้รหัสผ่านก็ยังมี มีคำแถลงการของเจ้าของบริการที่ทำหลุดหรือไม่

 

เว็บยังมีสิ่งที่เรีกยว่า Notify me .. คือให้เรากรอก email ไว้กับเว็บไซต์ แล้วทางเว็บจะเตือนเราถ้ามีข้อมูลอีเมลของเราหลุดมาในอนาคต .. วันนี้ยังไม่มีไม่ได้แปลว่าวันข้างหน้าจะไม่มี …  ตั้ง notify ไว้ก็คงไม่เสียหาย (ถ้าอีเมลหลุดจากเว็บนี้อีก ก็คงซวยซ้ำซวยซ้อนจริงๆ แต่เว็บก็ไม่ได้เก็บอะไรมากกว่าอีเมล)

 

Good luck have fun !!

Posted on Sep 02, 2014

Online Shopping: Tesco Lotus

Posted in Misc, Tech
Comments 4 Comments

อาทิตย์ที่ผ่านมาเพิ่งจะได้ลองของซักที หลังจากอ่านผ่านๆจากหลายๆคนในทวิตเตอร์ล่ะ

 

คราวนี้ได้ลองของ Lotus มาลองดูคร่าวๆกัน

อันดับแรกเข้าไปที่เว็บ http://shoponline.tescolotus.com/  จะได้ไนหน้าตาประมาณด้านล้างนี้

ก่อนใช้งานอาจจะต้องลงทะเบียน แล้วก็ยืนยันตัวผ่าน link ใน email ซะก่อน

Lotus-Online-Shopping-001
หน้ารวมสินค้าโปรโมชัน

 

การเลือกสินค้าหลักๆก็ไม่มีอะไรมาก หาอันที่ถูกใจให้เจอ กดใส่รถเข็น เป็นอันเสร็จ

แต่เหมือนการแบ่งหมวดหมู่ยี่ห้อของโลตัสยังดูงงๆนะ ตัวอย่างเช่น

อยากได้ข้าวเวฟของ S&P ก็เข้ามาในหมวดอาหารแช่แข็ง แล้วกรองตามยี่ห้อ .. สิ่งที่เจอคือ มีทั้ง S&P และ เอสแอนด์พี .. ลองดูดีๆมี CP กับ ซีพี ด้วย .. อันนี้ควรปรับปรุงนะ

Lotus-Online-Shopping-002

Posted on Apr 12, 2014

Security Risk : ช่องโหว่ Heartbleed ควรเปลี่ยนรหัสผ่านกันด่วน

Posted in Tech
Comments 3 Comments

มาว่ากันด้วยเรื่อง Security อีกแล้ว … หลังจากเพิ่งเขียนเรื่อง ช่องโหว่ใน ADSL Router ไปหมาดๆ ..  จะพยายามหาเรื่องความปลอดภัยที่ทุกๆคนควรรู้มาอัพเดทกัน

HeartBleed เป็นชื่อบั๊กตัวนึงที่เกี่ยวกับ SSL  ซึ่งชื่อของมันมาจากสิ่งที่เรียกว่า Heartbeat ใน SSL มันคือข้อมูลที่ผ่านการตรวจสอบแล้วและจะส่งไปมาระหว่าง server/client ได้โดยไม่ต้องตรวจสอบอีก (คิดว่าข้ามๆมันไปก่อนดีกว่า 555+)

SSL คืออะไร ?

SSL คือมาตรฐานความปลอดภัย ทำหน้าที่เข้ารหัสข้อมูลระหว่างเครื่องคอมพิวเตอร์ของเรา(รวมถึงมือถือและแทบเล็ต)กับปลายทาง .. ดูได้ง่ายๆว่าเข้าเว็บแล้วมีรูปโลห์เขียวๆหรือแม่กุญแจเขียวๆตรงช่อง URL นั่นแหล่ะ แปลว่าเราใช้ SSL อยู่

ตัวอย่างเช่น เวลาเราคุยแชทกับเพื่อน ถ้าโปรแกรมที่เราใช้มีการเข้ารหัส SSL เวลามีใครดักข้อมูลได้ (ตามทฤษฎี) เค้าก็จะไม่รู้หรอกว่าเราคุยอะไรกัน คนที่ชุมสายโทรศัพท์, ISP หรือตัวกลางอื่นๆ ก็จะไมรู้ว่าเราคุยอะไรกัน นั้นคือ SSL ซึ่งมันทำให้เราปลอดภัย (ปีสองปีก่อน การคุย Whatsapp สามารถแอบอ่านของคนอื่นได้เพียงแค่ต่อเน็ตเวอร์คเดียวกันกับคนคนนั้น เพราะมันไม่ได้เข้ารหัส)

หรืออีกตัวอย่างคือ เวลาเราใช้ E-Banking กระบวนการทั้งหมดจะถูกเข้ารหัส ใครที่อยู่ตรงกลาง ระหว่างบ้านเรา กับ Server ของ Bank ก็จะไม่สามารถอ่านข้อมูลออกว่าเราทำอะไรอยู่ การแอบเปลี่ยนแปลข้อมูลระหว่างทางก็ทำได้ยากขึ้น (ลองคิดภาพว่าถ้าเค้าแก้ได้ เวลาโอนเงิน เค้าอาจจะเปลี่ยนเลขที่บัญชีเป็นของตัวเองก็ได้) … นั่นคือทำไม SSL มันถึงสำคัญ ซึ่งทุกวันนี้ เราใช้ SSL กันเยอะขึ้นมาก หลังจากมีข่าวว่า NSA มีการดักจับข้อมูลนู่นนี่ เว็บส่วนใหญ่เริ่มมีการเข้ารหัสทั้งๆที่เป็นเว็บธรรมดาที่ไม่ได้มีอะไรสำคัญ เพราะความเชื่อมั่นในอินเตอร์เน็ตลดลงไปเยอะมาก มีคนที่พยายามแก้ไขข้อมูลระหว่างทางเยอะขึ้น พยายามแอบอ่านข้อมูลของคนอื่นเพื่อนำไปหาประโยชน์มากขึ้น

ตัวอย่างวิธีดูว่าเว็บไซต์เป็น SSL หรือไม่ และใบรับรองออกโดยใคร (Chrome)

ซึ่งการที่ SSL เนี่ยมันเป็นชื่อเรียกมาตรฐาน เวลาจะใช้งานเหล่า Programmer ก็จะเขียนโปรแกรมตามมาตรฐานนี้ ซึ่งมีโปรเจคที่ชื่อ OpenSSL ที่เป็น Open Source ทำชุดโปรแกรม SSL มาแจกจ่ายให้ใช้กัน ..  แล้วไอตัว OpenSSL นี่มันฮอตฮิตมาก มีเว็บไซต์ใหญ่ๆมากมายเอาไปใช้ (รวมถึง Google และ Facebook)  .. แต่มันดันมีช่องโหว่ Heartbleed นี่อยู่ !!!

กลับมาที่ Heartbleed กันต่อ … บั๊กตัวนี้เพิ่งคนพบเมื่อไม่นานก่อนหน้านี้ มันคือช่องโหว่ใน OpenSSL ทำให้ใครก็ตามสามารถอ่านข้อมูลที่ค้างอยู่บน Server ได้ นั่นหมายความว่า ข้อมูลที่เคยส่งกัน(ที่คิดว่าคนตรงกลางไม่รู้) อาจจะไม่จริง ทำให้รู้ข้อมูลที่ส่งระหว่างกันได้ รวมถึง username และ password ของเราเวลาเข้าเว็บนั้นๆนั่นเอง

ผลกระทบคือ .. username/password ที่เราใช้เข้าเว็บต่างๆอาจจะถูกผู้ไม่หวังดีรู้(ไปแล้ว)ได้ ผลคือเว็บไซต์ต่างๆเริ่มออกมาให้ข้อมูลว่า ช่องโหว่ตัวนี้มีผลกระทบกับเว็บไซต์ตัวเองหรือไม่ ..

สรุปว่า … แนะนำให้เปลี่ยน Password สำหรับเว็บที่มีการใช้ตัว OpenSSL ที่เห็นชัดๆคือ Google/Facebook/Dropbox เริ่มแนะนำให้ผู้ใช้เปลี่ยนรหัสผ่านแล้ว รายชื่อเต็มๆของแต่ละอันดูได้ที่นี่ http://mashable.com/2014/04/09/heartbleed-bug-websites-affected/  (ฉบับไทย https://www.blognone.com/node/55250) ดูเหมือน Microsoft และ Apple จะไม่โดนเพราะมีการเขียน SSL ขึ้นมาใช้เอง …  แต่สำหรับผู้ที่ใช้ Password เดียวกันหมดทุกเว็บ ผมเชื่อว่าอย่างน้อย 1 เว็บที่คุณใช้ต้องมี Heartbleed แน่นอน เพราะฉะนั้นแนะนำให้เปลี่ยนครับ

อันนี้เป็นการ์ตูนที่เล่าถึงช่องโหว่ ว่าสามารถอ่านข้อมูลคงค้างใน Memory ของ Server ได้ยังไง https://xkcd.com/1354/

ปล.อย่าลืมสังเกตุก่อนนะ ว่าเว็บนั้นๆแก้ไขเรื่องนี้แล้ว เพราะว่าถ้าเค้ายังไม่แก้ ต่อให้เปลี่ยน Password ไปมันก็ยังหลุดได้อยู่ดี !!

ใครสงสัยว่าเว็บไหนมีช่องโหว่นี้อยู่ .. ลองตรวจสอบได้ที่นี่ http://filippo.io/Heartbleed/

สำหรับใครที่จำ Password ของตัวเองไม่ค่อยได้ ลองใช้โปรแกรม KeePass ดู เป็นโปรแกรมช่วยเก็บ Password .. ถ้าใช้ Password ไม่เหมือนกันในแต่ละเว็บได้ จะดีมาก

Posted on Aug 14, 2011

Hotspod.net กับ Podcast ภาษาไทย

Posted in Tech
Comments 1 Comment

ก่อนอื่นต้องขอเกริ่นๆเรื่อง Podcast ก่อน .. เพราะสาวกแอนด๋อยอย่างเราๆจะไม่ค่อยคุ้นเคยกับคำนี้กันซักเท่าไหร่

Podcast .. เอาตามความหมายพื้นบ้านแล้วเนี่ย มันก็เป็นเหมือนเทปรายการวิทยุ ที่อัดไว้ให้เราดาวโหลดมาฟังเวลาว่างๆ

โดย Podcast นั้นเริ่มต้นมาจากค่าย Apple ซึ่งเริ่มได้รับความนิยมมากบน iPod ซึ่งต่อมาก็มี Software ที่ฟัง Podcast บนอุปกรณ์อื่นๆออกตามมา  โดยของแอปเปิลนั้นจะมีมาพร้อมกับ iTune ให้เราได้เลือกดาวโหลด Podcast กันอย่างเยอะแยะมากมาย แต่ในความเยอะแยะมากมายนั้น มันกลับไม่มีภาษาไทยเลย คือมีน้อยมากถึงน้อยที่สุด ก็เลยเป็นจุดกำเนิดของเว็บแห่งนี้

 

.. นั่นก็คือ Hotpot .. เย้ย นั่นมันร้านสุกี้ …

.. นั่นก็คือ Hotspot .. นั่นมันก็เอาไว้ต่อ WiFi  – -”

.. นั่นก็คือ Hotspod .. เย้ย .. ถูกแล้ว (ฮามั๊ยเนี่ย)

 

สรุปว่าเว็บที่จะแนะนำวันนี้คือ Hotspod.net .. เป็นเว็บสร้างสรรค์รายการ Podcast

ตัวรายการบนเว็บนี้เอง ก็มีให้เลือกหลากหลาย .. คิดว่าน่าจะมีซักเรื่องที่ตรงกับเราๆท่านสนใจ

คงขอแนะนำกันไว้แต่เพียงเท่านี้ (ทำไมมันสั้นจังวะ)

หลายครั้งหลายครา ที่เราว่างแต่ก็ไม่มากพอจะทำอะไรเป็นชิ้นเป็นอัน .. เช่น ขึ้นรถไฟฟ้า .. ฟังเพลงก็ได้ แต่บางอารมณ์มาฟังอะไรเป็นเรื่องเป็นราวก็ดีไม่ใช่น้อย หรือเวลาขับรถ เวลานั่งทำงาน .. ใช้แค่หูกับส่วนเล็กๆของสมอง .. ซึ่งทำให้เราสามารถทำอย่างอื่นไปด้วยได้  Podcast น่าจะมาช่วยเติมเต็มตรงนี้ .. ลองไปหามาฟังกันดูได้

ปล. Software บน Android ที่เอาไว้ฟัง Podcast .. มีชื่อว่า “Listen” สร้างโดย Google