ព័ត៌មាន

គណនីច្រើនជាងចំនួន៣០០ពាន់ត្រូវគេលួចចូលនៅក្នុងការវាយប្រហារព័ត៌មានសម្ងាត់

Spotify គឺជាក្រុមហ៊ុនផ្តល់សេវាកម្មផ្សាយសម្លេង និងប្រព័ន្ធផ្សព្វផ្សាយដែលមានមូលដ្ឋាននៅប្រទេសស៊ុយអែត។ សេវាកម្មនេះមានអ្នកប្រើប្រាស់ប្រចាំខែច្រើនជាង២៩៩ លាននាក់នៅក្នុងឆ្នាំ២០២០។ ក្រុម Noam Rotem និង Ran Locar ក្រុមស្រាវជ្រាវរបស់ក្រុមហ៊ុន vpnMentor បានរកឃើញប្រតិបត្ដិការព័ត៌មានសម្ងាត់ដែលមានសក្តានុពលដែលមិនស្គាលពីប្រភពដើម។ យ៉ាងណា វាបានបង្កផលប៉ះពាល់ដល់អ្នកប្រើប្រាស់អ៊ីនធឺរណិតមួយចំនួនដែលមានគណនី Spotify។

ការបញ្ចូលព័ត៌មានសម្ងាត់គឺជាបច្ចេកទេសលួចស្តាប់ដែលឆ្លៀតយកប្រយោជន៍ពីលេខសម្ងាត់ខ្សោយដែលអ្នកប្រើប្រាស់តែងតែប្រើម្តងហើយម្តងទៀតនៅលើអ៊ីនធឺរណិត។ មូលដ្ឋានទិន្នន័យទំហំ៧២ជីហ្គារបស់កំណត់ត្រាបុគ្គលចំនួនច្រើនជាង៣៨០លាននាក់ត្រូវបានគេបង្ហោះនៅលើម៉ាស៊ីនមេ Elasticsearch ដែលគ្មានសុវត្ថិភាព។ កំណត់ត្រាទិន្នន័យមានព័ត៌មានអំពីអ្នកប្រើប្រាស់ដ៏មានសក្តានុពលរបស់ Spotify ដូចជាទិន្នន័យដែលអាចកំណត់អត្តសញ្ញាណផ្ទាល់ខ្លួន (PII) និងព័ត៌មានបញ្ជាក់អត្តសញ្ញាណចូលរបស់ Spotify ដូចជាឈ្មោះរបស់អ្នកប្រើគណនី និងពាក្យសម្ងាត់ដែលបានផ្ទៀងផ្ទាត់នៅលើ Spotify អាស័យដ្ឋានអ៊ីម៉ែល និងប្រទេសដែលរស់នៅ។ អាសយដ្ឋាន IP របស់ម៉ាស៊ីនមេជាច្រើនក៏ត្រូវបានលាតត្រដាងនៅក្នុងការលេចធ្លាយនេះផងដែរ។ 

ការរកឃើញមួយបញ្ជាក់ថា មូលដ្ឋានទិន្នន័យនោះមិនមែនជារបស់ Spotify ទេ។ អ្នកស្រាវជ្រាវរួមជាមួយនឹងក្រុមហ៊ុន Spotify ជឿជាក់ថា មូលដ្ឋានទិន្នន័យត្រូវក្រុមហេគឃ័រចងក្រងដោយ អាចប្រើព័ត៌មានសម្ងាត់ចូលដែលលួចមកពីប្រភពផ្សេងទៀត ហើយយកមកប្រើឡើងវិញដើម្បីវាយប្រហារប្រឆាំងនឹងក្រុមហ៊ុន Spotify ។ ដំណើរការដែលប្រើដើម្បីហេគនេះត្រូវបានគេស្គាល់ថា Credential Stuffing ។ វាមានពាក់ព័ន្ធទៅនឹងក្រុមហេគឃ័រដែលបានយកឈ្មោះរបស់អ្នកប្រើប្រាស់ និងពាក្យសម្ងាត់ដែលគេលួចបាននៅក្នុងការហេគមួយ ក្រោយពីឃើញ អត្តសញ្ញាណប័ណ្ណដំណើរការនៅលើគេហទំព័រផ្សេងទៀតដែរ។ សេវាកម្មបញ្ជាក់ថា អ្នកប្រើប្រាស់ជារឿយៗតែងតែប្រើប្រាស់ពាក្យសម្ងាត់ឡើងវិញនៅលើគេហទំព័រជាច្រើន។

ក្រុមហ៊ុន Spotify បានផ្តួចផ្តើម “កំណត់ឡើងវិញនូវលេខសម្ងាត់” សម្រាប់អ្នកប្រើប្រាស់ដែលរងផលប៉ះពាល់។ នេះបង្ហាញថាមូលដ្ឋានទិន្នន័យនឹងត្រូវបានចាត់ទុកជាមោឃៈ និងគ្មានប្រយោជន៍ទាក់ទងនឹងការចូលប្រើប្រាស់គណនី Spotify។ អ្នកប្រើប្រាស់ដែលរងផលប៉ះពាល់នៅតែស្ថិតក្នុងហានិភ័យពីការលួចចូលចាប់តាំងពីព័ត៌មាននៅក្នុងឃ្លាំងទិន្នន័យទំនងជាត្រូវគេហេគ ដោយសារតែអ្នកប្រើប្រាស់បានប្រើឡើងវិញនូវព័ត៌មានបញ្ជាក់អត្តសញ្ញាណរបស់ពួកគេនៅលើគេហទំព័រជាច្រើន។

image

image