"Yesterday is gone and Tomorrow may never come so.. Live for Today!!"
รายงานช่องโหว่ความปลอดภัยการรูดบัตร ณ ตู้ขายตั๋ว Major Cineplex
21 Dec 2018 16:55   [42327 views]

เป็นเรื่องที่เคยเมนชั่นไปหาเมเจอร์ผ่านทาง Twitter มาสักพักแล้ว แต่จนถึงตอนนี้ก็ยังมีช่องโหว่นี้อยู่ ดูแล้วเมเจอร์คงไม่คิดจะเปลี่ยนแปลงปรับปรุงตรงนี้ เราก็เลยขอเขียนเพื่อเตือนไปทางผู้ใช้งานแทนเพื่อให้ระมัดระวังการใช้งานมากขึ้นก่อนที่จะตกเป็นเหยื่อของผู้ไม่หวังดีครับ

ช่องโหว่ที่ว่าคือ

มีโอกาสที่ผู้ใช้อาจถูกขโมยข้อมูลบัตรเครดิต/เดบิตได้

ส่วนวิธีเป็นยังไงนั้นมาดูกัน

หมายเหตุ: บล็อกนี้ไม่เน้นไปที่ดราม่าใด ๆ ทั้งสิ้น แต่เป็นการให้ความรู้จาก Fact และงาน Research เพื่อจุดประสงค์หลักคือให้ผู้ใช้ระวังตัวกันมากขึ้นครับ

วิธีการชำระด้วยบัตรเครดิต/เดบิตผ่านตู้ขายตั๋วหน้าโรง

ก็ต้องชมเมเจอร์ที่ทำเครื่องซื้อบัตรอัตโนมัติมา หลัก ๆ ก็ให้ผู้ใช้ทำทุกอย่างเอง ตั้งแต่เลือกโรงเลือกที่นั่งจนไปถึงการชำระเงินผ่านบัตรเครดิตหรือบัตรเดบิตด้วยตัวเอง

ทีนี้ปัญหามันอยู่ที่ระบบการชำระผ่านบัตรของตู้เมเจอร์หลาย ๆ สาขา (อย่างเช่น Emquartier) นั้นสามารถชำระได้สองแบบ

1) Chip Card

บัตร Chip Card เป็นบัตรที่ปลอดภัยกว่าแบบแม่เหล็กมาก ทำให้พักหลังธนาคารจึงผลักดันให้คนไปใช้บัตร Chip Card กันมากขึ้น เพื่อให้ผู้ใช้สามารถเสียบบัตรแล้วชำระเงินได้เองทันทีโดยไม่ต้องยื่นบัตรให้พนักงานซึ่งอาจทำให้ข้อมูลรั่วไหลได้

สำหรับตู้เมเจอร์ก็สามารถชำระผ่าน Chip Card ได้ อันนี้สะดวกมาก เสียบปุ๊บชำระเสร็จแล้วได้ตั๋วเลย

วิธีนี้เป็นวิธีที่ปลอดภัยครับ หากเจอตู้ที่สามารถชำระผ่าน Chip Card ได้ให้ใช้ตู้นั้นได้เลย ตอนจ่ายก็หยิบบัตรมาเสียบและเก็บกลับอย่างรวดเร็วก็พอ

2) รูดแถบแม่เหล็ก

สำหรับคนที่ยังใช้บัตรแบบเก่าที่มีแค่แถบแม่เหล็ก ทางตู้เมเจอร์ก็มีช่องสำหรับรูดบัตรให้

และช่องโหว่อยู่ตรงนี้แหละครับ เพราะว่ามันไม่ได้จบแค่นั้น ผู้ใช้จะต้องทำการกรอกข้อมูลอย่าง CVV และวันหมดอายุด้วย !

ซึ่งอย่างที่เห็น ทั้งช่องสำหรับกรอกและปุ่มนั้นใหญ่มาก ถึง CVV จะถูก Mask ด้วย * แต่ก็ยังเห็นตอนกดอยู่ดี ปุ่มใหญ่เท่าประตูบ้าน

อีกข้อมูลนึงหากผู้ไม่หวังดีได้ไปแล้วจะสร้างความเสียหายได้คือ "เลขบัตรเครดิต" ซึ่งหากผู้ใช้คนนั้นถืออย่างไม่ระวัง เช่น ถือค้างไว้ระหว่างเลือกโรงเลือกที่นั่ง หรือถือตอนดูรหัสพวก CVV / วันหมดอายุ ก็จะมีโอกาสที่ผู้ไม่หวังดีจะซูมกล้องจากที่ไกล ๆ แล้วบันทึกภาพบัตรเครดิตนั้นไว้ได้ ซึ่งอันนี้ทางเนยก็ทดสอบดูแล้วว่ามีโอกาสเกิดขึ้นจริง

สรุป หากผู้ใช้ถือบัตรไม่ระวังแล้วรูดแถบแม่เหล็ก ก็จะกลายเป็นว่ามีโอกาสที่ทั้งเลขบัตรเครดิต CVV และ Expiration Date จะถูกขโมยไปทั้งหมดได้

ถึงแม้กรณีที่จะเกิดขึ้นได้อาจมีแค่ 1% แต่ด้วย Traffic ที่มีคนมาดูหนังหลายร้อยคนต่อวัน นั่นแปลว่ามีโอกาสที่จะมีเหยื่ออยู่หลายคนต่อวันได้เลย

ข้อมูลที่อาจถูกขโมยไปสร้างความเสียหายอะไรได้บ้าง

ข้อมูลที่ว่าเป็นข้อมูลที่เพียงพอต่อการทำธุรกรรมทางอินเทอร์เนตแล้ว หากบัตรนั้น ๆ ไม่ได้ผูก OTP ไว้ เค้าก็สามารถนำข้อมูลเหล่านั้นไปซื้อของออนไลน์ได้ทันที แต่หากผูก OTP ไว้ก็อุ่นใจได้ระดับหนึ่ง (แต่ Payment Gateway ที่ทะลุ OTP ได้ก็มีนะ บางเว็บจ่ายได้เลยโดยไม่ต้องใช้ OTP ถึงจะสมัครไว้ ใครเคยช็อปออนไลน์น่าจะเคยมีประสบการณ์กันมาบ้าง)

สิ่งหนึ่งที่อาจจะเอาไปยากหน่อยคือ Cardholder Name (แต่ก็อาจเอาไปได้) แต่จริง ๆ แล้วข้อมูลนี้ Payment Gateway ส่วนใหญ่ไม่ได้เอาไปใช้ แต่ก็มีบางรายเอาไปใช้เพื่อ Validate ว่าชื่อตรงกับการใช้งานครั้งก่อนหน้ามั้ย เพื่อป้องกัน Fraud ครับ กรณีนั้นก็จะโชคดีไป แต่ถ้าระบบไม่มีการเช็คก็เกิดความเสียหายได้ทันที

Research Method

เพื่อพิสูจน์ว่าช่องโหว่นี้ Valid เราก็เลยไปยืนทำ Research อยู่แถวตู้ซื้อตั๋วเป็นเวลา 10 นาทีในช่วงที่ Traffic ไม่มาก เพื่อดูพฤติกรรมผู้ใช้เพื่อดูความเสี่ยงว่ามีโอกาสเท่าไหร่ที่จะเจอ "คนที่ถือบัตรแบบไม่ระวังและยังรูดแถบแม่เหล็กด้วย" ผลออกมาเป็นตามนี้ครับ

1) มีผู้มาใช้ตู้ 8 กลุ่ม (ส่วนใหญ่ไม่ได้มาคนเดียว)

2) คนที่ถือบัตรไม่ระวังจนเห็นเลขบัตรเครดิตชัดเจนมี 4 คน คิดเป็นถึง 50%

3) มีคนเสียบ Chip Card 3 คน

4) มีคนรูดแถบแม่เหล็ก 2 คน

5) มีคนไม่ยอมรูดแถบแม่เหล็กแล้วให้พนักงานไปรูดที่เคาน์เตอร์ 1 คน (เจ๋งดี)

6) อีกสองคนมากดดูรอบเฉย ๆ แล้วจากไป

7) มีคนที่ถือบัตรไม่ระวัง (ข้อ 2) และเลือกจะรูดแถบแม่เหล็ก (ข้อ 4) รวม 2 คน ซึ่งนี่คือผู้ที่สามารถตกเป็นเหยื่อได้ครับ

หมายเหตุ: ระหว่าง Research ไม่มีการบันทึกภาพหรือข้อมูลใด ๆ ทั้งสิ้น เป็นการจดตัวเลขจำนวนคนล้วน ๆ มิต้องเป็นห่วง

สรุปคือแค่ใน 10 นาที ก็พบผู้ที่สามารถตกเป็นเหยื่อได้ถึง 2 คน ทั้งนี้เราทำในช่วง Traffic ต่ำด้วย (บ่ายสามนิด ๆ วันธรรมดา) ถ้าเป็นวันเสาร์-อาทิตย์หรือช่วงเลิกงานนี่น่าจะเยอะกว่านี้มาก

คำแนะนำไปทางผู้ใช้งาน

อย่างที่บอกว่าเราเขียนบล็อกนี้เพื่อให้ผู้ใช้งานระวังตัว เพราะเราไม่รู้ว่าเมเจอร์จะแก้ไขอะไรตรงนี้มั้ย เราเลยขออนุญาตแนะนำผู้ใช้งานดังนี้ครับ

1) ใช้แต่ช่อง Chip Card เท่านั้น

2) หากบัตรของท่านไม่มี Chip Card แนะนำให้ไปทำบัตรใหม่

3) หากการรูดแถบแม่เหล็กเป็นทางเลือกเดียวจริง ๆ (เช่นที่เคยเจอคือบางสาขาช่อง Chip Card ปิดปรับปรุงทุกเครื่อง) ให้ชำระผ่านทางช่องทางออนไลน์ เช่น เว็บหรือแอป ฯ Major หรือ AirPay ไม่ก็ไปดูที่อื่น

4) ไม่ควรถือบัตรให้ผู้คนเห็น ถ้าจะถือให้กำไว้ หรือจะให้ดีคืออย่าถือไว้จนกว่าจะใช้งาน

5) เวลาหยิบบัตรขึ้นมาเสียบให้รีบหยิบแล้วเก็บกลับอย่างรวดเร็วตอนใช้งานเสร็จครับ

6) เลือกใช้บัตรเครดิตที่มีการยืนยันผ่าน OTP ด้วย

อย่างที่บอก โอกาสที่จะ Jackpot แตกมีน้อย เพราะต้องรวมคอมโบของสิ่งเหล่านี้

- ถือบัตรไม่ระวัง

- เลือกจะรูดแถบแม่เหล็ก

- มีโจรอยู่แถวนั้นพอดี

- ซวย

แต่ในแง่ของความปลอดภัยแล้ว โอกาส 1% โจรก็เอาแล้ว แปลว่าใน 100 คนอาจจะมี 1 คนที่โดน และนั่นก็อาจจะเป็นใครก็ได้ ระวังตัวไว้ดีที่สุดครับ

ทั้งนี้รวมถึงผู้ให้บริการรายอื่น ๆ ที่ใช้วิธีเดียวกัน (ให้กรอก CVV / วันหมดอายุ หน้าตู้ Kiosk ในที่สาธารณะ) ก็ให้ใช้วิธีคิดเดียวกันคือห้ามทำและให้เปลี่ยนไปใช้วิธีอื่นครับ

คำแนะนำไปทางเมเจอร์

แนะนำให้เอาออปชั่นรูดบัตรเครดิต/บัตรเดบิตแถบแม่เหล็กออกจากตู้ครับ ให้พนักงานพาไปรูดที่เคาน์เตอร์หรืออะไรก็ได้ วิธีที่ตู้ของท่านทำอยู่นั้นไม่ปลอดภัยและไม่ได้มาตรฐานอย่างรุนแรงครับ

ซึ่งเจ้าช่องรูดแถบแม่เหล็กนี้ถ้าจะคงไว้ก็สำหรับบัตรภายในอย่าง M-Cash หรือ M-Gen อย่างเดียวจะดีกว่า

ฝากบอกผู้ใช้อีกสักอย่าง

คนที่ชอบเอาบัตรเครดิตมากรอกซื้อของออนไลน์บนสถานที่สาธารณะอย่างรถไฟฟ้า อันนี้ก็โดนไปหลายคนแล้วนะ แนะนำเลยว่าถ้าต้องใช้ข้อมูลพวกนี้ "ต้องทำในที่ส่วนตัวเท่านั้น" ไม่ว่ากรณีใด ๆ ครับ

Update ล่าสุด 21/12/2018

ล่าสุดเมเจอร์ติดต่อมาแล้วว่ากำลังดำเนินการแก้ไขตู้ E-Ticket อยู่ครับ น่าจะแล้วเสร็จเดือนหน้า (มกรา) ไว้ตอนนั้นจะแจ้งทุกคนอีกทีผ่านช่องทางต่าง ๆ พร้อมเอาบล็อกนี้ออกเพราะตอนนั้นเนื้อหาคงไม่ Valid แล้วครับ

ขอบคุณเมเจอร์ที่ทำงานว่องไวมากครับ =)

บทความที่เกี่ยวข้อง

May 9, 2018, 16:18
97577 views
รู้จัก Android Jetpack แบบจัดเต็ม เครื่องมือเร่งการพัฒนาแอป ฯ แอนดรอยด์ให้เร็วและโค้ดสวยงาม
Nov 28, 2018, 10:31
21595 views
สรุปงาน LINE Developer Day 2018 เมื่อ LINE กำลังก้าวเข้าสู่เฟสใหม่ จับ AI และ Blockchain เต็มตัว
0 Comment(s)
Loading