ในบรรดาหน่วยงานราชการที่ผมคิดว่าทีมงาน IT พร้อมที่สุด ผมคิดว่าเป็นกรมสรรพากร ส่วนหน่วยงานอื่นๆจำนวนมากส่วนใหญ่ Outsource บริษัทข้างนอก เน้นประมูลรับจ้างราคาถูกบ้างใช้งานได้เหมือนกัน
ล่าสุด ผมไปเจอระบบที่อ่อนแอที่สุดที่ User ธรรมดา ก็สามารถล้วงตับมาได้ทั้งกะบิ ดันเป็นหน่วยงานที่เก็บข้อมูลความลับด้วยสิ เป็นท่าน ท่านจะทำอย่างไรครับ?
- ล้วงตับมาให้หมด ปิดเว็บมันไปซะเลย… (พูดเล่นนะครับ)
- แจ้งให้หน่วยงานนั้นทราบ…จะได้รีบซ่อมรีบแก้
… ทันทีที่ผมเห็นว่าข้อมูลส่วนตัวของผมและคนอื่นๆ ตกอยู่ในสภาวะอันตราย ผมก็แจ้งผ่านไปทางอีเมล์ครับ ทั้งจากทางหน้าเว็บไซต์เอง และอีเมล์ของข้าราชการระดับสูงของหน่วยงานนั้น แต่ประเด็นคือ…เขาจะเปิดอีเมล์อ่านหรือเปล่าเนี๊ยหนะสิ ปกติเท่าที่ผมเจอ ส่วนใหญ่ลงอีเมล์ไว้ แต่ติดต่อไปไม่เคยได้รับการติดต่อกลับเลย ถ้าอย่างนี้จะทำอย่างไรดี?
ถ้าหน่วยงานนั้นไม่มีฝ่ายไอที ควรจะติดต่อใครครับ ผอ.หน่วยงานนั้นๆเลยหรือเปล่า :S หรือว่าร่างเอกสารอย่างเป็นทางการส่งไปทางตู้จดหมาย
ระวังโดนข้อหา hack นะครับ
ICOM
4
ที่เคยเจอ พวกเวบของหน่วยงาน แต่ตั้ง username / password ง่ายมากๆ
เข้าไป สำรวจภายในเวบได้สบายๆ
เราหวังดี เตือนไปก็เงียบ เข้าใจเหมือนคุณ jomyutnet นั้นแหละ จนท.ไม่เคยเช็คเมล ไม่ก็อ่านแล้ว แต่แก้ไม่เป็น เสนอเรื่องอยู่ ต้องใช้งบในการแก้ ไม่มีงบ โอ้วสูตรสำเร็จ
พอมา พศ.นี้ขืนแจ้งเข้าไปจะเจอข้อหาตาม พรบ.คอมพฯเอาอีก คนตั้งใจแฮ็กเข้าไปเขาจับไม่ได้เพราะลบ log เรียบร้อย ไอ้เราดันไปมั่ว user/pass ได้ก็เลยเป็นว่า เข้าสู่ระบบโดยไม่มีสิทธิ์ไปซ่ะ
เลยขออยู่เฉยๆดีกว่า แล้วก็ภาวนาในใจ อย่าให้ใครมาเจอ
ufobas
5
เราไม่ได้เราทำอะไรให้ระบบเขาเสียหาย แล้วนี่เราเตือนเขา ไม่น่าเข้าข่ายนะ [มั้ง]
ตอนนี้หน่วยงานใหญ่ๆ ของภาครัฐ มีบริษัทเอกชนไปนั่งกุมบังเหียนแทบจะทั้งหมดเลยครับ
อย่างสำนักทะเบียนราษฎร์ นี่ก็ของ CDG ส่งคนไปสแตนบายเลยครับ 24 ชั่วโมง
ส่วนขนส่งนี่ก็ของเอกชนเหมือนกัน รู้สึกจะเป็น CDG อีกเหมือนกัน เพราะผมเป็นคนไปลงระบบให้ที่ จ.เลย (SUB Contact)
และอีกหลายๆ ที่ ก็เป็นแบบนี้เหมือนกัน
ส่วนเรื่องที่ไปเจอช่องโหว่นี่ ต้องบอกเขาแบบรัดกุมหน่อยครับ เพราะมันเสี่ยงๆ อยู่ เพราะถ้าเจ้านายใจกว้าง เขาจะขอบคุณเรา
แต่ถ้าใจแคบ เขาก็จะเล่นเรา หาว่าเราไปแฮกระบบเขา เพราะบางทีถ้าเขามีเอี่ยวกับผู้พัฒนา เขาก็ต้องปกป้องตัวเองไว้ก่อน
ถ้าเป็นผม ผมจะรวบรวมหลักฐานทั้งหมดที่แสดงได้ชัดเจนว่าระบบเขารั่ว แล้วปริ้นท์ใส่กระดาษ ส่งเป็นเอกสารไปให้หัวหน้าระดับสูง
แต่ถ้าไม่จำเป็น ก็ไม่ต้องลงชื่อก็ได้ เพื่อลดความเสี่ยง (ขอปิดทองหลังพระดีกว่า) แล้วคอยดูผล ถ้าผ่านไปนาน แล้วยังไม่คืบหน้า
ก็ลองเล่นแบบเบาะๆ สักหน่อย เอาแบบตักเตือน เพื่อกระตุ้นให้เขาหันมาดูแล เท่านี้ก็น่าจะเรียบร้อยนะครับ
แจ้งเขาตรงๆ น่ะไม่ผิดหรอกค่ะ
แต่ห้ามเด็ดขาดคือ การบอกต่อคนอื่น (ผิด พรบ. - เผยแพร่ฯ รู้สึกจะมาตรา 7-8 แถวๆ นี้)
รวมถึงห้ามมาโพสต์แจ้งด้วย เพราะถือว่าผิดตาม พรบ. เหมือนกัน
[quote author=jomyutnet link=topic=12974.msg126538#msg126538 date=1218811789]
ในบรรดาหน่วยงานราชการที่ผมคิดว่าทีมงาน IT พร้อมที่สุด ผมคิดว่าเป็นกรมสรรพากร ส่วนหน่วยงานอื่นๆจำนวนมากส่วนใหญ่ Outsource บริษัทข้างนอก เน้นประมูลรับจ้างราคาถูกบ้างใช้งานได้เหมือนกัน
ล่าสุด ผมไปเจอระบบที่อ่อนแอที่สุดที่ User ธรรมดา ก็สามารถล้วงตับมาได้ทั้งกะบิ ดันเป็นหน่วยงานที่เก็บข้อมูลความลับด้วยสิ เป็นท่าน ท่านจะทำอย่างไรครับ?
- ล้วงตับมาให้หมด ปิดเว็บมันไปซะเลย… (พูดเล่นนะครับ)
- แจ้งให้หน่วยงานนั้นทราบ…จะได้รีบซ่อมรีบแก้
… ทันทีที่ผมเห็นว่าข้อมูลส่วนตัวของผมและคนอื่นๆ ตกอยู่ในสภาวะอันตราย ผมก็แจ้งผ่านไปทางอีเมล์ครับ ทั้งจากทางหน้าเว็บไซต์เอง และอีเมล์ของข้าราชการระดับสูงของหน่วยงานนั้น แต่ประเด็นคือ…เขาจะเปิดอีเมล์อ่านหรือเปล่าเนี๊ยหนะสิ ปกติเท่าที่ผมเจอ ส่วนใหญ่ลงอีเมล์ไว้ แต่ติดต่อไปไม่เคยได้รับการติดต่อกลับเลย ถ้าอย่างนี้จะทำอย่างไรดี?
ถ้าหน่วยงานนั้นไม่มีฝ่ายไอที ควรจะติดต่อใครครับ ผอ.หน่วยงานนั้นๆเลยหรือเปล่า :S หรือว่าร่างเอกสารอย่างเป็นทางการส่งไปทางตู้จดหมาย
test
9
ผมเห็นด้วยนะ เรื่อง สรรพากร สุดยอดมาก
ห้อง server แอร์เย็นฉ่ำ พื้นที่โอ่งโถง ผิดกะ IDC บางที่ เลย เหอๆ
โอ้วว ภาษีเรา มาซุกอยู่แถวนี้เยอะเลย
แต่ผมว่า บุคคลากร ยังไม่ค่อย เก่งเท่าไร่ นะ
ควรให้รัฐบาลแก้ไขเรื่องปัญหาน้ำมันและปัญหารถติดครับ เพราะ admin ต้องขับรถมาทำงาน เจอค่าน้ำมันแพงๆจะทำให้ท้อใจเอา และใหนจะต้องเจอรถติดอีก … กว่าจะมาถึงหน้าคอมบริษัทเพื่อทำงานดูแลระบบ … สู้พวก hacker ที่มีคอมส่วนตัวนั่งเจาะชิวๆทั้งวัน … ไม่ต้องจ่ายค่าน้ำมันและเจอรถติด … ขำๆอีกแล้ว …