สิ่งที่ได้จากเรื่องข้อมูลหลุดของ iTruemart จาก AWS S3

เอาจริงๆก่อนหน้านี้มีบริษัทชั้นนำหรือหน่วยงานใหญ่ในโลกก็เคยข้อมูลหลุดกันมาแล้ว ไม่ว่าจะเป็น Alteryx, NSA เป็นต้น ล่าสุดก็เป็นหน่วยงานในไทยอย่าง iTruemart ซึ่งเป็นแบรนด์ย่อยของยักษ์ใหญ่ในไทยอย่าง True นั่นเอง หากเราลองไล่อ่านจากโพสต์ของ Whitehatที่ชื่อว่า Niall Merrigan ที่แจ้งให้กับ Truemove H ทราบ เราจะเห็นว่าเราได้อะไรหลายๆอย่างจาก case นี้เลยทีเดียว 1. iTruemart พลาดในการกำหนด permission ของ AWS S3 Bucket ซึ่งโดยปกติ​ (by default) แล้วมันจะเป็น private bucket…
View Post

มาอีกเคส!!! พบข้อมูล 50.4 GB บริษัททางการเงินรั่วไหลจาก AWS S3

เป็นอีกครั้งที่ admin ของบริษัทเกิดกำหนด permission ของ AWS S3 นั้นผิดพลาด ทำให้ข้อมูลรั่วไหลออกมา ล่าสุดคือบริษัท Birst ซึ่งข้อมูลที่หลุดออกมานั้นมากถึง 50.4 GB บริษัททางด้าน security ชื่อว่า UpGuard ได้พบข้อมูลจำนวนมากของบริษัท Birst หลุดออกมาจาก Amazon Web Services (AWS) S3 bucket โดยบริษัท Birst เป็นบริษัททางด้านการทำ Cloud…
View Post

ข้อมูลหลุดจาก AWS S3 อีกแล้ว!! บริษัท Alteryx ทำข้อมูลลูกค้าหลุดถึง 123 ล้าน record

ทีม UpGuard สร้างผลงานอีกครั้ง หลังจากก่อนหน้านี้เคยเจอข้อมูลหลุดของบริษัทหลายๆบริษัทที่ฝากข้อมูลไว้บน AWS S3 ล่าสุดก็เจออีกแล้วคราวนี้เป็นของบริษัท Alteryx ครับ S3 Bucked ที่มี subdomain ว่า “alteryxdownload”, ถูกพบโดยทีม security ที่ชื่อว่า UpGuard ซึ่งพบตั้งแต่วันที่ 6 ตุลาคม 2017 ที่ผ่านมา ซึ่ง subdomain ดังกล่าวเป็นของบริษัท Alteryx ซึ่งเป็นบริษัททางด้าน data…
View Post

พบข้อมูลผู้ใช้งาน Time Warner Cable รั่วไหลจากการตั้ง permission AWS S3 ได้ไม่ดีพอ

หลายวันก่อนหน้านี้พบว่ามีการรั่วไหลของข้อมูลหน่วยงานทหารของสหรัฐเนื่องด้วยการจัดการ permission ใน AWS S3 ได้ไม่ดีพอ ล่าสุดเจออีกแล้วกับบริษัท Time Warner Cable ปล่อยข้อมูลลูกค้าให้สามารถเข้าถึงได้โดยไม่มีการควบคุม ข้อมูลของผู้ใช้งาน Time Warner Cable ของสหรัฐประมาณ 4 ล้าน record ถูกเข้าถึงได้เนื่องด้วยบริษัท BroadSoft ซึ่งเป็นบริษัทยักษ์ใหญ่เจ้าหนึ่งที่ดูแลเรื่อง cloud based ให้กับบริษัทต่างๆ โดยในที่นี้คือบริษัทที่เป็นผู้ดูแลให้กับ Time Warner Cable โดยเกิดการจัดการสิทธิ์การเข้าถึงได้ไม่ดีพอ…
View Post