อดีตนักข่าว Gizmodo เปลี่ยนชื่อเป็น 'Slackbot' และไม่ถูกตรวจพบอยู่นานหลายเดือน

 (theverge.com)
1 คะแนน โดย GN⁺ 2024-02-25 | 1 ความคิดเห็น | แชร์ทาง WhatsApp

อดีตนักเขียนของ Gizmodo เปลี่ยนชื่อเป็น 'Slackbot' และไม่ถูกตรวจพบอยู่นานหลายเดือน

  • Tom McKay อดีตนักเขียนของ Gizmodo หลังออกจากบริษัทแล้วได้เปลี่ยนชื่อของตัวเองเป็น 'Slackbot' และยังคงใช้งานบน Slack ต่อไปโดยหลบสายตาผู้ดูแลได้นานหลายเดือน
  • McKay เปลี่ยนรูปโปรไฟล์ของตนให้คล้ายกับไอคอนของ Slackbot และใช้ตัวอักษรพิเศษเพื่อให้สามารถใช้ชื่อ 'Slackbot' ที่มีการใช้งานอยู่แล้วใน Slack ได้
  • ด้วยการปลอมตัวนี้ บัญชีของ McKay จึงไม่ถูกลบและคงอยู่ได้หลายเดือน พร้อมทั้งส่งข้อความถึงเพื่อนร่วมงานในลักษณะเหมือนเป็นบอตได้

ขั้นตอนถัดไปของดีลซื้อกิจการ Activision Blizzard มูลค่า 68.7 พันล้านดอลลาร์ของ Microsoft คืออะไร?

  • หน่วยงานกำกับดูแลของสหราชอาณาจักรได้สร้างแรงกระแทกต่อดีลซื้อกิจการ Activision Blizzard ของ Microsoft
  • Microsoft ต้องต่อสู้เพื่อรักษาดีลนี้ไว้ และภายในไม่กี่สัปดาห์ข้างหน้าจะมีการตัดสินใจสำคัญจากสหภาพยุโรป

ความเห็นของ GN⁺:

  • บทความนี้เป็นกรณีศึกษาที่น่าสนใจเกี่ยวกับการแกล้งเชิงเทคนิคและความสำคัญของความปลอดภัย Tom McKay ใช้การปลอมตัวอย่างสร้างสรรค์เพื่อเผยให้เห็นช่องโหว่ของระบบความปลอดภัยและการจัดการภายในองค์กร
  • ดีลระหว่าง Microsoft และ Activision Blizzard เป็นเหตุการณ์สำคัญที่อาจส่งผลกระทบอย่างมากต่ออุตสาหกรรมเทคโนโลยี และกระตุ้นความสนใจต่อการซื้อกิจการของบริษัทและกฎหมายการแข่งขัน
  • เหตุการณ์เหล่านี้เป็นเครื่องเตือนใจให้นักพัฒนาซอฟต์แวร์เห็นถึงความสำคัญของความปลอดภัยและนโยบายองค์กร พร้อมทั้งช่วยเพิ่มการรับรู้ต่อแนวโน้มในอุตสาหกรรม

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2024-02-25
ความเห็นจาก Hacker News

  • อดีตพนักงานคนหนึ่งสร้าง provisioning profile ชื่อ Ringing บนโมดูลควบคุมโมเด็มแร็ก และใช้งานบริการ ISDN 128Kbit ได้นานกว่าหนึ่งปีโดยไม่เป็นที่สังเกต

    • บนหน้าสถานะของโมเด็มแร็กจะแสดงเป็น Ringing ทำให้ดูเหมือนสายโทรศัพท์อื่น ๆ จึงไม่ถูกตรวจพบ

  • แชร์เกร็ดจากบริษัทที่ปรึกษาในปี 2016 ที่ใน Slack สามารถเปลี่ยนชื่อกันเองได้

    • ทุกคนพากันเปลี่ยนชื่อเป็น Dad เพื่อแกล้งกันและสนุกกันมาก

  • ชี้ว่าการจำกัดการเปลี่ยนชื่อไม่ได้แก้ปัญหา เพราะอาจมีคนที่ชื่อ Jira จริง ๆ ก็ได้

    • การจำกัดแค่การเปลี่ยนชื่ออย่างเดียวไม่เพียงพอ และก็อาจมีคนที่ชื่อ Jira จริงอยู่จริง

  • อธิบายปัญหาที่เกิดขึ้นเมื่อบริษัทตั้งค่า customer dashboard ด้วย wildcard subdomain

    • ถ้าเลือก dashboard slug ที่ชนกับเรคคอร์ดเดิมอย่าง www หรือ blog จะทำให้เข้า dashboard ไม่ได้
    • ลูกค้าแก้ปัญหาเองไม่ได้ จึงต้องพึ่งทีมซัพพอร์ต

  • เล่าเรื่องการแกล้งกันด้วยอักขระ Unicode และแนะนำปลั๊กอิน vim สำหรับตรวจจับ

    • มีข้อมูลเกี่ยวกับวิธีใช้อักขระ Unicode หน้าตาคล้ายกันเพื่อแกล้งเพื่อนร่วมทีมนักพัฒนา และปลั๊กอิน vim ที่ช่วยตรวจจับสิ่งนี้

  • ชื่นชมกลยุทธ์การปลอมตัวเป็น service account เพื่อไม่ให้สะดุดตา

    • การทำให้ดูเหมือน service account ที่ไม่มีใครกล้าแตะคือที่ซ่อนตัวที่ดีที่สุด

  • กล่าวถึงว่าบริษัทสามารถใช้กฎหมายคอมพิวเตอร์ฉ้อโกงและการใช้งานในทางที่ผิดเพื่อตอบโต้ลูกเล่นแบบนี้ได้

    • บริษัทสามารถรับมือกับลูกเล่นลักษณะนี้ได้ผ่านกฎหมายคอมพิวเตอร์ฉ้อโกงและการใช้งานในทางที่ผิด

  • มีความเห็นว่าการที่ Slack ไม่จำกัดการเปลี่ยนชื่ออาจก่อปัญหาด้านความปลอดภัยให้บริษัทใหญ่ ๆ

    • สามารถเปลี่ยนชื่อเป็น CEO หรือ slackbot เพื่อหลอกคนได้จนกว่าจะมีคนสังเกตเห็นความต่าง

  • ชี้ว่าถึงอดีตพนักงานใน Slack จะปลอมตัวเป็น slackbot แต่คนอื่นก็ยังจำเขาได้และเรียกเขาว่า Tom จึงถูกจับได้

    • อดีตพนักงานปลอมตัวเป็น slackbot แต่เพื่อนร่วมงานก็ยังจำเขาได้และมีปฏิกิริยาตอบกลับ

  • พนักงานคนหนึ่งหลังลาออกจากบริษัทแล้ว บัญชี Slack ก็ยังไม่ถูกปิดใช้งาน จึงสร้างช่องลับและคุยกับเพื่อน ๆ

    • เขาสนุกกับการสื่อสารผ่านช่องลับกับเพื่อน ๆ จนกว่าจะถูกปิดใช้งาน

  • มีข้อเสนอว่าองค์กรสามารถแก้ปัญหาแบบนี้ได้ด้วยการใช้ระบบ single sign-on

    • สามารถแก้ปัญหาได้โดยใช้ระบบ single sign-on เพื่อไม่ให้พนักงานล็อกอินเข้าใช้บริการของบริษัทได้