เอาจริงๆก่อนหน้านี้มีบริษัทชั้นนำหรือหน่วยงานใหญ่ในโลกก็เคยข้อมูลหลุดกันมาแล้ว ไม่ว่าจะเป็น AlteryxNSA เป็นต้น ล่าสุดก็เป็นหน่วยงานในไทยอย่าง iTruemart ซึ่งเป็นแบรนด์ย่อยของยักษ์ใหญ่ในไทยอย่าง True นั่นเอง

หากเราลองไล่อ่านจากโพสต์ของ Whitehatที่ชื่อว่า  ที่แจ้งให้กับ Truemove H ทราบ เราจะเห็นว่าเราได้อะไรหลายๆอย่างจาก case นี้เลยทีเดียว

1. iTruemart พลาดในการกำหนด permission ของ AWS S3 Bucket ซึ่งโดยปกติ​ (by default) แล้วมันจะเป็น private bucket ดังนั้นแสดงว่าเจ้าของก็ใจกล้าจริงๆที่ทำเป็น public bucket เอง และถ้าดูจากรายละเอียดของ bucket ดังกล่าวจากโพสต์ของทาง Whitehat ก็คาดว่า bucket ดังกล่าวก็น่าจะเป็น Development environment

2. ทาง Whitehat ใช้เครื่องมือที่ชื่อว่า Bucket Stream และ bucket-finderในการตรวจสอบหา S3 ที่น่าจะกำหนด permission เป็น public bucket ซึ่งนั่นหมายความว่าเราสามารถนำเอาเครื่องมือนี้มาปรับปรุงและตรวจสอบการกำหนด permission S3 ของบริษัทเราเองได้ (การทำงานของเครื่องมือคือการใช้ Certificate Transparency แล้วดูจากชื่ออีกที)

3. iTruemart น่าจะขาดทีม security เพราะไม่งั้นการแก้ไขปัญหาควรจะเร็วกว่านี้ (ใช้เวลาประมาณ 1 เดือนในการแก้ไข) มิหนำซ้ำยังขาดการประกาศ security.txt อีกด้วย

การผิดพลาดอาจเกิดขึ้นได้ และ True ควรยอมรับผิดในประเด็นดังกล่าว และนำความผิดพลาดนั้นไปปรับปรุงหรือสร้างทีม security ขึ้นมาเพื่อจัดการปัญหาความปลอดภัยต่างๆที่น่าจะเกิดขึ้นอีกในอนาคต

Source::