372/67 (IT) ประจำวันอังคารที่ 22 ตุลาคม 2567
นักวิจัยจาก ETH Zurich ค้นพบปัญหาด้านการเข้ารหัสที่ร้ายแรงในแพลตฟอร์มการจัดเก็บข้อมูลบนคลาวด์ที่ใช้ระบบเข้ารหัสแบบครบวงจร (E2EE) ซึ่งอาจทำให้ข้อมูลสำคัญของผู้ใช้งานรั่วไหลได้ รายงานนี้ชี้ว่าผู้ให้บริการรายใหญ่ 5 ราย เช่น Sync, pCloud, Icedrive, Seafile และ Tresorit ล้วนมีช่องโหว่ที่ถูกพบในกระบวนการจัดเก็บข้อมูลบนคลาวด์
นักวิจัยอย่าง Jonas Hofmann และ Kien Tuong Truong อธิบายว่า “เซิร์ฟเวอร์ที่เป็นอันตรายอาจถูกใช้เพื่อแทรกแซงหรือดัดแปลงข้อมูลไฟล์ รวมถึงเข้าถึงข้อมูลผู้ใช้ในรูปแบบข้อความธรรมดาได้” จุดอ่อนที่พบมีลักษณะการโจมตีหลายรูปแบบ เช่น การแทรกไฟล์ การดัดแปลงข้อมูลเมตา และการข้ามการพิสูจน์ตัวตน ซึ่งส่งผลกระทบต่อความลับและความปลอดภัยของข้อมูลผู้ใช้ นอกจากนี้ การโจมตีเหล่านี้ไม่จำเป็นต้องอาศัยทักษะการเข้ารหัสขั้นสูง ทำให้การดำเนินการง่ายและเข้าถึงได้แม้โดยผู้โจมตีที่มีทรัพยากรน้อย
Sync, pCloud, Seafile และ Tresorit ได้ยอมรับรายงานดังกล่าวและกำลังดำเนินการแก้ไขปัญหา ขณะที่ Icedrive เลือกที่จะไม่ดำเนินการ แม้จะมีการเปิดเผยข้อมูลในช่วงปลายเดือนเมษายน 2024 การค้นพบนี้ชี้ให้เห็นถึงความสำคัญของการตรวจสอบและปรับปรุงระบบเข้ารหัสในแพลตฟอร์มคลาวด์ เพื่อป้องกันการถูกโจมตีทางไซเบอร์จากผู้ไม่หวังดีในอนาคต
แหล่งข่าว https://thehackernews.com/2024/10/researchers-discover-severe-security.html
