Share
รายละเอียดของข่าว

มีรายงานในห้องสินธรเว็บ Pantip.com ว่าบริการ EasyFund ของธนาคารไทยพาณิชย์ว่านั้นส่งข้อมูลสำคัญหลายอย่างไปกับ URL ที่อยู่ใน iframe ของเว็บธนาคาร ทำให้เมื่อลิงก์เหล่านี้หลุดออกสู่ภายนอก ผู้ที่รู้ค่าพารามิเตอร์ที่ถูกต้องจะสามารถเข้าใช้งานเว็บได้เสมือนเจ้าของบัญชี

ปรกติแล้วเว็บในส่วนของ EasyFund จะถูกรวมอยู่กับเว็บ SCB Easy ภายใต้ iframe ทำให้เบราเซอร์มองไม่เห็น URL จริงๆ แต่หากใครสามารถดึง URL เหล่านั้นออกมาได้ จะพบว่ามีค่าหลายอย่างเช่นหมายเลขบัญชี, หมายเลขผู้ใช้, ตลอดจนหมายเลขประจำ session ซึ่งโดยปรกติแล้วค่าเหล่านี้ควรถูกเก็บไว้กับ cookie มากกว่าที่จะส่งไปมากับ URL เช่นนี้

ผู้ใช้ชื่อว่า pjuk (คาดว่าเกี่ยวข้องกับการพัฒนา) ออกมาระบุว่า URL เหล่านี้จะใช้ไม่ได้หากผู้ใช้ได้ logout อย่างถูกต้องแล้ว และแม้จะเข้าใช้งานได้ แต่การซื้อขายก็ไม่สามารถทำจนสำเร็จได้

อันตรายของช่องโหว่นี้คือ URL เหล่านี้จะถูกบันทึกไว้ในประวัติการใช้งานของเบราเซอร์ ระหว่างที่ทางธนาคารยังไม่แก้ไข ผู้ใช้ทุกคนควรระวังไม่ใช้งาน SCB Easy ด้วยเครื่องสาธารณะ เพื่อป้องกัน URL เหล่านี้รั่วไหลออกไปจากเครื่อง และกด logout ทุกครั้งที่เลิกใช้งาน ในส่วนของการดักฟังนั้นไม่น่ากังวลนักเนื่องจากการเชื่อมต่อเข้ารหัสทั้งหมด การดักฟังหากไม่มีการปลอมแปลงใบรับรอง SSL แฮกเกอร์ก็ไม่สามารถรู้ URL ได้



บริษัท บลูโอเชี่ยน คอมมิวนิเคชั่น จำกัด | โทรศัพท์: (02) 402-8844