นักเรียน ม.ปลาย แฮก thainame.net
10 กันยายน 2551 ผมได้รับ e-mail จากนักเรียนมัธยมปลายคนหนึ่ง ใช้นามว่า database หรือ ไอซ์ แจ้งให้ผมทราบว่า เว็บไซต์ thainame.net ที่ผม opensource ระบบ Free Homepage มีจุดรั่วที่เขามาสามารถ เข้ามาสร้าง Backdoor เพื่อสั่งงานเครื่องบริการนี้ ผ่านระบบบริการที่ผมให้บริการเป็นกรณีศึกษานั้นได้
ประเด็น 1 : นักเรียนท่านนี้เสนอขาย CD สอนป้องกันระบบ 2 แผ่น 500 บาท และถ้าจ่ายอีก 300 บาท เขาจะบอกจุดรั่วของระบบให้ผมทราบ ผมจึงตอบ mail กลับไปว่า เขาคือความหวังของประเทศ น่าจะใช้ชีวิตที่เหลือและมีค่าบนโลกนี้ให้เกิดประโยชน์แก่เพื่อนมนุษย์ด้วยกัน แล้วเขาก็ตอบกลับมาพร้อมแจ้งช่องโหว่ในระบบบริการของผมให้ได้ทราบ โดยไม่คิดค่าใช้จ่าย
ประเด็น 2 : ในครั้งแรกนักเรียนท่านนี้เข้ามา hack จนสำเร็จ และส่ง e-mail มาขายซีดีนั้น เขาไม่ทราบว่าสิ่งที่ทำอยู่เป็นสิ่งที่ไม่ถูกต้อง เพราะแจ้งอีเมล และเว็บไซต์ พร้อมข้อมูลส่วนตัวโดยละเอียด ลักษณะแบบนี้ไม่ใช่พฤติกรรมของผู้คิดร้าย เพราะผู้คิดร้ายมักไม่เปิดเผยตัวให้ติดตามร่องรอยได้ แต่เป็นการกระทำที่เกิดจากความรู้เท่าไม่ถึงการณ์
ประเด็น 3 : จุดบกพร่องในระบบของ thainame.net เกิดจากระบบสมาชิกที่ไม่กรองข้อมูลให้เรียบร้อย เมื่อใส่ข้อมูล chr(96) พร้อม php tag จะสามารถสั่งงานระบบปฏิบัติการให้ทำงาน ผ่านแฟ้มข้อมูลที่ขาดการป้องกันแต่แรก เคยมีคนพบวิธีนี้เมื่อปี 2006 หรือ 2 ปีก่อนหน้านี้ แต่ผมไม่ทราบ มาทราบเอาปี 2008 หลังจากผมตั้งใจตรวจสอบระบบอย่างจริงจัง ก็พบร่องรอยทั้งในปี 2006 และปี 2008
วิธีแฮก Hacker @Cash True money Winner Card INI3 COOKIE Serial D Card TOT Prepaid Ex Cash Cubi Card วัน-ทู-คอล MOLpoints Card Mcoins Card JAM Card G-Cash Steam Wallet Code N CASH LINE Prepaid Card ZEST CARD Vplay Gold (VG) Facebook Games Hero card SNS+CARD Gameindy Card Digi Cash Onenet Card TITAN (Jaya) G CARD RAN Card Fun cash Luna Card VPlay Card ENMO Serial Code
