Uber ป่วน ผู้ใช้ผวา อยู่ดีๆ โดนเก็บเงินแม้ไม่ได้ใช้บริการ

Uber บริการเรียกรถยอดนิยมตอนนี้เหมือนจะประสบปัญหาเรื่องความปลอดภัยครั้งใหญ่ หลังมีผู้ใช้ทั่วโลกรวมถึงในไทยรายงานว่ามีบิลเก็บเงินค่าโดยสารจากต่างประเทศเข้ามา โดยที่ไม่ได้ใช้บริการ

เหตุการณ์นี้เกิดขึ้นคล้ายๆ กันในหลายประเทศ คือผู้ใช้ Uber ส่วนหนึ่งโดนเรียกเก็บเงินค่าโดยสารจากการใช้บริการในอังกฤษ ซึ่งผู้ใช้รายหนึ่งของไทยโพสต์ในเว็บพันทิปว่า

โดนแฮ็ค UBER Account Taxi Service ระวังกันด้วย !!

เตือนระวัง ใครที่เคยสมัครใช้ app Uber เรียกแท็กซี่ เมื่อวานนี้ผมโดน Hacker  เอาไอดีผมไปใช้เรียกแท็กซี่ที่อังกฤษ เรื่องของเรื่องเริ่มตอนตีสี่ครึ่ง มีเบอร์โทรจากเมืองนอกเข้ามา แต่ผมไม่ได้รับ เพราะหลับอยู่ ก็ไม่ได้เอะใจอะไร ต่อมาช่วงเย็นมี SMS เข้ามาแจ้งเตือนว่าได้ตัดบัตรเครดิตจำนวน 52.25 ปอนด์ (GBP) จาก Uber ก็เลยรู้แล้วว่าโดน Hack แน่ๆ เลยรีบโทรไปอายัดบัตรเครดิตทันที
โดยค่าบริการที่แฮ็คเกอร์ ใช้บัตรผมไปมีทั้งหมด 4 ครั้ง ค่าเรียก 3 ครั้ง  ค่าบริการราวๆ ครั้งละ 10 ปอนด์ (500 กว่าบาท)  แต่ SMS บัตรไม่แจ้งเพราะไม่ถึง 1,000 บาท และใช้อีก 1 ครั้ง จำนวน 52.25 ปอนด์ (ประมาณ 2,800 บาท) ยอดรวมที่โดนตัดบัตรไปทั้งหมดประมาณ 4,500 บาท

ขอเตือนคนที่ใช้ Uber อยู่และคิดจะใช้ ให้ระมัดระวังกันด้วย  เพราะผมเคยสมัคร Uber ผ่าน app ของไอโฟน ต้องลงเลขบัตรเครดิตไว้ถึงจะสมัครได้ โดยไม่เคยใช้บริการเองเลยซักครั้ง ผมมองว่าเสี่ยงกับพวกมิจฉาชีพ/แฮ็คเกอร์มาก เพราะตัดบัตรโดยไม่ขอรหัส OTP ก่อน สมัครแล้วไม่สามารถลบ Account เองได้ด้วย ต้องแจ้ง Mail ให้กับ Uber ขอลบเท่านั้น

Uber เริ่มตกเป็นข่าวบัญชีผู้ใช้ถูกแฮกเมื่อราว 1 เดือนก่อน หลังจากเว็บใต้ดินจำนวนหนึ่งเริ่มมีการนำบัญชี Uber ที่ใช้งานได้ออกขาย โดย Motherboard ได้เปิดเผยว่าความผิดพลาดนี้เกิดจากทั้งในส่วนของผู้ใช้เองที่ใช้รหัสผ่านเดียวกันในหลายๆ เว็บ ทำให้แฮกเกอร์สามารถนำรหัสผ่านที่หลุดจากบริการหนึ่ง มาลองใช้กับอีกบริการหนึ่งได้ ซึ่งจำนวนรหัสผ่านที่หลุดออกมานั้นมีมากพอที่แฮกเกอร์จะสามารถนำไปจับคู่กับชื่อผู้ใช้อีกมากมาย จนสามารถเข้าสู่ระบบของบริการต่างๆ ได้

ต้นเหตุเกิดจากผู้ใช้ใช้รหัสผ่านซ้ำกันในหลายบริการ และ Uber ป้องกันทางเทคนิคไม่มากพอ

และอีกส่วนหนึ่งคือ Uber ไม่ได้มีมาตรการทางเทคนิคที่แข็งแรงพอสำหรับเรื่องนี้ พูดง่ายๆ คือเมื่อแฮกเกอร์ได้รหัสมาแล้ว ก็สามารถยิงรหัสต่างๆ เข้าหาบริการ Uber รัวๆ จนกว่ารหัสจะถูกได้ง่ายดาย โดยระบบไม่ได้มีการหน่วงเวลา หรือเช็คว่าเป็นคนหรือเป็นบ็อตในการรัวรหัสผ่าน ผลก็คือบัญชีผู้ใช้ Uber ทั่วโลกส่วนหนึ่งที่ใช้งานได้หลุดออกไป

ซึ่งจากปัญหานี้ทีมงานเว็บแบไต๋ได้สอบถามไปยังตัวแทนของ Uber ประเทศไทย ก็ได้รับแถลงการณ์อย่างเป็นทางการว่า

อูเบอร์มีทีมงานดูแลเรื่องความปลอดภัยของระบบฐานข้อมูลตลอดเวลา และให้ความสำคัญสูงสุดกับความปลอดภัยของผู้ใช้งาน

กรณีที่เกิดขึ้นไม่ได้เกิดจากระบบของอูเบอร์ถูกโจมตีแต่อย่างใด

ผู้ใช้งานที่ได้รับผลกระทบจากมิจฉาชีพ สามารถส่งข้อมูลมาที่อีเมล [email protected] เพื่อให้เจ้าหน้าที่ทำการตรวจสอบข้อเท็จจริง หากพบว่าผู้ใช้บริการไม่ได้เดินทางจริงก็พร้อมดูแลอย่างเต็มที่โดยจะคืนเงินเข้าบัญชีบัตรเครดิตที่ลงทะเบียน ช่วยผู้ใช้งานแก้ไขปัญหาที่เกิดขึ้น และให้คำแนะนำในการปกป้องแอคเคาท์จากมิจฉาชีพต่อไป

การรักษาความปลอดภัยเป็นพันธกิจสำคัญที่อูเบอร์ยึดมั่นมาโดยตลอดและมีการนำมาตรการทางด้านเทคนิคมากมายมาใช้เพื่อเพิ่มประสิทธิภาพด้านการดูแลความปลอดภัยอย่างสม่ำเสมอ เหตุการณ์ที่เกิดขึ้นนี้ อีกมุมหนึ่งก็เป็นอุทาหรณ์ให้ประชาชนทั่วไปตั้งชื่อบัญชีสำหรับเข้าใช้งานและรหัสผ่าน(พาสเวิร์ด) ที่รัดกุมยากต่อการคาดเดา และควรหลีกเลี่ยงการใช้ข้อมูลดังกล่าวซ้ำสำหรับการใช้งานเว็บไซต์หรือบริการอื่นๆ

แต่ยังมีอีกประเด็นหนึ่งที่ Uber ตกเป็นข่าว และยังมีไม่มีการแถลงการณ์ออกมาคือ หลังจากผู้ใช้ประสบปัญหาแล้ว ทีมงานฝ่ายสนับสนุนลูกค้าก็ได้คืนเงินเครดิตให้ผู้ใช้ เปลี่ยนรหัสผ่านให้เป็นอย่างดี แต่ทีมงานก็ยังทำงานผิดพลาดโดยส่งรหัสผ่านในรูปแบบของ Plaintext หรือข้อความที่ไม่ได้เข้ารหัสในอีเมล ซึ่งผิดวิสัยของการทำระบบที่การรีเซ็ตรหัสผ่านจะส่งเป็นลิงค์ที่ใช้งานได้ครั้งเดียว ให้ผู้ใช้เข้าไปตั้งรหัสผ่านด้วยตัวเอง สื่อต่างๆ จึงตั้งข้อสงสัยว่า Uber บริษัทเทคโนโลยีที่เก็บข้อมูลบัตรเครดิตของเราไป มีมาตรการด้านความปลอดภัยของข้อมูลแค่ไหนกัน เพราะการส่งข้อมูลลับออกมาเป็น Plaintext เป็นความผิดพลาดที่ไม่น่าจะเกิดขึ้น แม้จะเป็นแค่การส่งอีเมล แต่ถ้าแฮกเกอร์สามารถเข้าบัญชีเมลผู้ใช้ได้ หรือสามารถดักข้อความที่ส่งออกได้ ก็จะสามารถใช้รหัสผ่านนี้ได้ทันที

ซึ่งเว็บแบไต๋จะติดตามประเด็นของ Uber ต่อไปครับ

ที่มา: Motherboard