- Sonny
- Oct. 12, 2022, 5:12 p.m.
- Oct. 12, 2022
นี่อาจเรียกได้ว่าเป็นความผิดพลาดอันใหญ่หลวงของ Toyota บริษัทผู้ผลิตรถยนต์ระดับโลกที่ทุกคนคงรู้จักกันดี ซึ่งความผิดพลาดที่ว่านี้ก็คือ ทาง outsource ของโตโยต้าได้ทำ Secret Key หลุดต่อสาธารณะชนบน GitHub (แบบ public repo เสียด้วย) มาเป็นเวลากว่า 5 ปีแล้ว ส่งผลให้ข้อมูลผู้ใช้กว่า 290,000 คนรั่วไหล และสามารถเข้าถึงได้ โดยข้อมูลนี้ถูกเปิดเผยครั้งแรกเมื่อวันที่ 7 ตุลาคม ที่ผ่านมา
เซอร์วิสไหนของ Toyota ที่เกี่ยวกับการทำคีย์หลุดในครั้งนี้ ?
บริการนี้ชื่อว่า T-connnect ซึ่งถูกเปิดตัวในปี 2004 ซึ่งมีฟีเจอร์ที่น่าสนใจหลากหลายอย่างเช่น
- Remote-starting (สตาร์ทรถแบบทางไกลหรือแบบ remote ได้)
- Wi-Fi ในรถยนต์
- digital key access
- ควบคุมรถยนต์เต็มรูปแบบผ่าน dashboard
- ฯลฯ
โดยโค้ดโปรเจคท์นี้ถูกปล่อยออกแบบ public เมื่อเดือนธันวาคม ปี 2017
เหตุการณ์แบบนี้เคยเกิดกับบริษัทอื่นบ้างหรือไม่ ?
ในวงการ dev นี่คือความผิดพลาดอันร้ายแรง ยิ่งกับบริษัทใหญ่ระดับโลกแบบนี้ มีลูกค้าทั่วโลก ไม่น่าเชื่อว่าจะพลาดได้แบบนี้ แต่ก็ไม่ใช่ว่า Toyota ที่เคยมีความผิดพลาดเช่นนี้ ที่ผ่านมายังมี Samsung, Nvidia, Twitch เป็นต้น ที่เคยประสบชะตากรรมแบบนี้มาแล้วเช่นกัน (omg)
ไม่ใช่ความผิดพลาดของทีมงานภายในของ Toyota โดยตรง
เหตุการณ์นี้เกิดขึ้นโดยไม่ใช่พนักงานหรือทีมซอฟต์แวร์ของ Toyota โดยตรง แต่เป็น sub-contractor ที่ทำงานนี้ (ข่าวไม่ได้เปิดเผยชื่อ sub-contractor) ซึ่งบางส่วนของซอร์สโค้ดได้มีการอัปโหลดไปที่ Public repo โดยมีการฮาร์ดโค้ดตัว access key ที่ใช้สำหรับจัดการข้อมูลของลูกค้าด้วย ผลนำมาซึ่งไม่ว่าใครที่ตามที่ได้ credential นี้ไป จะสามารถเข้าถึงข้อมูลลูกค้าของ Toyota กว่า 296,019 คน
ข้อมูลอะไรถูกเข้าถึงได้บ้าง ?
ข้อมูลเช่น หมายเลขบัตรประจำตัวประชาชน อีเมล์เป็นต้น ส่วนข้อมูลอื่น ๆ ที่สำคัญที่สำคัญไม่ต่างกัน อย่างเช่น ข้อมูลบัตรเครดิตร หมายเลขโทรศัพท์ ฯลฯ ไม่ได้รับความเสี่ยง เพราะว่าเก็บแยก database กัน
Reaction ของ Toyata
จากนั้น Toyota ไม่รอช้า ได้ส่งอีเมล์ไปหาลูกค้ากลุ่มเสี่ยงเหล่านั้นเพราะว่าข้อมูลที่หลุดไป ลูกค้าอาจจะสุ่มเสี่ยงต่อการโจมตี เช่น phishing attack เป็นต้น ดังนั้นทาง Toyota ได้แนะนำว่า หากมีอีเมล์แปลกปลอมที่ส่งโดยเราไม่รู้ว่าคนส่งเป็นใคร และอย่าไปเปิดลิงก์ที่แนบมา ด้านล่างนี้คือคำกล่าวของ Toyota
“If you receive a suspicious e-mail with an unknown sender or subject, there is a risk of virus infection or unauthorized access, so please do not open the file attached to the e-mail and delete the e-mail itself immediately.”
สรุปสาเหตุหลักในครั้งนี้คือ ?
2 ส่วนหลัก ๆ ที่ทำให้เกิดความผิดพลาดครั้งนี้คือ
- ซอร์สโค้ดที่ควรจะอยู่ private repo แต่กลับไปอยู่บน public repo
- Credential สำหรับฐานข้อมูลถูกฮาร์ดโค้ดเข้าไปใน repo (ซึ่งไม่ควรทำอย่างยิ่ง ควรเก็บไว้ใน environment variables เป็นต้น)
แสดงความคิดเห็น หรือแชร์บทความนี้บน Facebook page ได้เลยครับ
อ้างอิง
กิจกรรมที่กำลังจะมาถึง
ไม่พลาดกิจกรรมเด็ด ๆ ที่น่าสนใจ
Python Bundle 2023 สมัครครั้งเดียวเรียนได้ทุกคอร์ส
Event นี้จะเริ่มขึ้นใน April 25, 2023
รายละเอียดเพิ่มเติม/สมัครเข้าร่วมคำอธิบาย
คอร์สเรียนไพธอนออนไลน์ที่เราได้รวบรวมและได้ย่อยจากประสบการณ์จริงและเพื่อย่นระยะเวลาในการเรียนรู้ ลองผิด ลองถูกด้วยตัวเองมาให้แล้ว เพราะเวลามีค่าเป็นอย่างยิ่ง พร้อมด้วยการซัพพอร์ตอย่างดี