เจ้าของเว็บโวย Firefox เตือนล็อกอินไม่ปลอดภัย ย้ำเว็บมีความปลอดภัยแน่นหนา, ต่อมาเว็บถูกแฮ็ก

ฟีเจอร์ใหม่อย่างหนึ่งที่ถูกเพิ่มเข้ามาใน Firefox 52 นั่นคือเมื่อเบราเซอร์พบว่าผู้ใช้กำลังจะล็อกอินผ่าน HTTP ธรรมดา (ไม่ใช่ HTTPS) ตัวเบราเซอร์จะขึ้นแจ้งเตือนที่ฟอร์มล็อกอินนั้นๆ ว่าไม่ปลอดภัยที่จะล็อกอิน

แล้วมันก็มีเรื่องขึ้นมาว่าผู้ดูแลเว็บไซต์ OilAndGasInternational.com ได้มาโวยใน Bugzilla (ระบบแจ้งบั๊กของ Firefox — ปัจจุบันลิงค์ดังกล่าวถูกปิดกั้นการเข้าถึงโดยสาธารณะแล้ว) ถึงฟีเจอร์ดังกล่าว  โดยระบุว่าการขึ้นเตือนนั้นเป็นการแจ้งเตือนโดยไม่ได้รับความยินยอมจากทางเว็บไซต์  และส่งผลให้ผู้ใช้สูญเสียความมั่นใจในตัวเว็บ  พร้อมเรียกร้องให้ Firefox หยุดแสดงการแจ้งเตือนนั้นโดยทันที  นอกจากนี้ตัวเขายังระบุด้วยว่าเว็บไซต์นั้นมีมาตรการรักษาความปลอดภัยที่ดีอยู่แล้ว  และไม่เคยถูกเจาะได้เลยเป็นเวลากว่า 15 ปี

และแน่นอนว่าเรื่องมันไม่จบแค่นั้นครับ  เพราะว่าทันทีที่เรื่องนี้เผยแพร่สู่สาธารณะชน  ผู้ใช้ในเว็บไซต์ Reddit ก็เกิดอยากลองดีว่าเว็บไซต์ดังกล่าวมันจะมีมาตรการรักษาความปลอดภัยหนาแน่นแค่ไหนเชียว  และลองแฮ็กเว็บด้วยเทคนิคพื้นฐานอย่าง SQL Injection

ผลปรากฎว่าผู้ใช้ส่วนหนึ่งที่แฮ็กเข้าไปได้  รายงานว่าเว็บไซต์ใช้วิธีเก็บรหัสผ่านผู้ใช้เป็นแบบ Plain Text ที่ไม่มีการเข้ารหัสใดๆ  และในเวลาต่อมาก็พบว่าฐานข้อมูลผู้ใช้ถูกลบออกไปจากเว็บไซต์เป็นที่เรียบร้อย

อ้างอิง – Ars Technica

ความเห็นของเรา

เรื่องนี้เรายังไม่จำเป็นต้องพูดถึงมาตรฐานรักษาความปลอดภัยของตัวเว็บดังกล่าว (ที่เห็นได้ชัดว่าอ่อนแอมากๆ) หากแต่พูดถึงการเข้ารหัส HTTPS ครับ

โดยปกติการส่งข้อมูลผ่าน HTTP ธรรมดา (รวมถึงโปรโตคอลที่ไม่เข้ารหัสเช่น FTP ด้วย) นั้นจะไม่มีการเข้ารหัสใดๆ  ถ้าหากเราล็อกอินเว็บใดเว็บหนึ่งแล้วมีคนดักจับข้อมูลเราอยู่  โดยเฉพาะตาม WiFi สาธารณะ  เขาก็จะอ่านข้อมูลล็อกอินของเราได้ทันที (ลองอ่านเรื่องการดักข้อมูลได้ที่นี่)

Message us