ครูพันธุ์ใหม่ดอทคอม www.krupunmai.com เว็ปไซต์ข่าวการศึกษา เผยแพร่ผลงานวิชาการสำหรับครู
เพจ “สอนแฮกเว็บแบบแมวๆ” แฉระบบข้อมูลของเว็บ TCAS โดนมือดีเข้าไปแก้ไขข้อมูลเพิ่ม ฮอกวอตส์ เข้าไปในระบบ สำหรับเป็นทางเลือกของเด็กนักเรียนชั้น มัธยมปลาย ซึ่งเหตุการณ์ดังกล่าวทำให้รู้ถึงความสะเพร่า ของระบบฐานข้อมูลการศึกษาไทย
เมื่อวันที่ 2 ธ.ค. เพจ “สอนแฮกเว็บแบบแมวๆ” ได้โพสต์รูปภาพโค้ดของเว็บไซต์ TCAS ที่มีคนเข้าไปเพิ่มมหาวิทยาลัย Hogwarts University of Witchcraft and Wizardry ซึ่งเป็นเป็นโรงเรียนสอนเวทมนตร์สมมติ ในภาพยนต์เรื่อง แฮร์รี่ พอตเตอร์ สำหรับเปิดให้เด็กนักเรียนชั้นมัธยมปลาย ได้เลือกสมัครเข้าเรียนในระดับอุดมศึกษา ซึ่งเหตุการณ์ดังกล่าว แสดงให้เห็นว่าระบบฐานข้อมมูลของเว็บไซต์ TCAS มีการป้องกันที่ต่ำมาก ปล่อยให้บุคคลภายนอกสามารถอ่านฐานข้อมูลได้ทั้งก้อน และยังยอมให้เขียนได้ด้วย โดยไม่ต้อง login
ทั้งนี้ ทางเพจ “สอนแฮกเว็บแบบแมวๆ” ได้ระบุข้อความว่า “[ข่าวด่วน] ประเทศไทยตอนนี้เปิดให้เด็ก ม.6 สมัครเรียนเข้า โรงเรียนพ่อมดฮอกวอตส์ เรียบร้อยนะครับ มีผู้ไม่ประสงค์ออกนามแจ้งมาว่า น่าจะมีคนแฮกเข้าไปแก้ไขฐานข้อมูลของเว็บ TCAS (ระบบแอดมิชชัน) ที่ตั้งค่ามาอย่างไม่ปลอดภัยมากๆ ยอมให้ใครก็ได้ อ่านฐานข้อมูลได้ทั้งก้อน และยังยอมให้เขียนได้ด้วย โดยไม่ต้อง login ใดๆ คล้ายๆ เคส S3 Bucket ของ True เป๊ะเลยตั้งค่าผิดเปิด world readable/writable ฝากถึงทีมงาน TCAS ช่วยคัดเลือกบริษัทมาทำระบบของประเทศชาติ ที่รู้และเข้าใจเรื่อง security และ infra ที่ดีกว่านี้ในครั้งหน้าด้วยนะครับ
หมายเหตุ: การเข้าถึงข้อมูลในรูปเป็นการเข้าถึงแบบ public ไม่ใช่การแฮกใดๆ เพราะตัวระบบใช้งานส่วนของฐานข้อมูลบน cloud แต่แต่งค่ามาให้พิมพ์ URL กด enter โหลดข้อมูลกลับมาได้หมดเลย แค่เข้าหน้าเว็บเฉยๆ นะฮะ”
อย่างไรก็ตาม โพสต์ดังกล่าวได้ถูกแชร์ออกสู่โลกโซเชียลแล้วกว่า 3,000 ครั้ง พร้อมกับคอมเมนต์วิพากษ์วิจารณ์ระบบของหน่วยงานการศึกษาไทยเป็นจำนวนมากอีกด้วย
ที่มา https://mgronline.com/onlinesection/detail/9610000120684
