จากกรณีที่ THNIC ออกมาประกาศว่าพบร่องรอยการเจาะระบบของ THNIC และประกาศให้ผู้ใช้ดำเนินการเปลี่ยนรหัสผ่าน ผมได้ทำการสอบถามเพิ่มเติมไปทาง THNIC และรับคำตอบมาดังต่อไปนี้ครับ
ระบบที่ถูกจู่โจมคือระบบการบริหารจัดการโดเมนของลูกค้า ซึ่งพบว่ามีการเข้ามาแก้ไขข้อมูลไปทั้งสิ้น 18 แถว แต่ทาง THNIC ก็แก้ไขข้อมูลกลับภายในวันเดียวกัน และปิดระบบการล็อกอินเป็นเวลา 3 วัน โดยในช่วงระยะเวลาดังกล่าว ทาง THNIC ได้ตรวจสอบจนพบช่องโหว่ และมีการแก้ไขช่องโหว่ดังกล่าว แล้วเปลี่ยนเครื่องเซิร์ฟเวอร์เพื่อป้องกันกรณีหากผู้จู่โจมทิ้งคำสั่งอะไรไว้ โดยอุปกรณ์ชุดเก่าทั้งหมดได้ถูกเก็บไว้เป็นหลักฐานในการดำเนินการทางกฎหมายต่างๆ ต่อไป
สำหรับประเด็นที่คนคงสงสัยกันมากที่สุดคือรหัสผ่านชุดเดิมที่อาจถูกนำออกไปนั้นได้รับการเข้ารหัสไว้หรือไม่ ทาง THNIC ได้ยืนยันว่ารหัสผ่านเดิมได้ถูกเข้ารหัสไว้ แต่เพื่อความแน่ใจจึงแนะนำให้ลูกค้าเปลี่ยนรหัสผ่านใหม่ทั้งหมดเช่นเดียวกัน โดยเมื่อผู้ใช้ล็อกอินเข้ามาครั้งแรกหลังจากเกิดเหตุการณ์ จะต้องผ่านระบบการยืนยันตัวบุคคล และถูกบังคับให้เปลี่ยนรหัสผ่านใหม่
ทาง THNIC ยืนยันว่าระบบ DNS นั้นปลอดภัย ไม่มีการเข้าถึง ส่วนข้อมูลลูกค้าอื่นๆ ไม่มีหลักฐานที่ยืนยันได้ว่าผู้บุกรุกได้นำออกไปหรือไม่ อย่างไรก็ตามข้อมูลเหล่านี้สามารถเข้าถึงได้ผ่านระบบ Whois อยู่แล้ว
ในกรณีที่ลูกค้าจดทะเบียนโดเมนผ่านตัวแทนจำหน่ายอย่างเป็นทางการ จะไม่ได้รับผลกระทบใดๆ จากเหตุการณ์นี้ โดยสามารถตรวจสอบรายชื่อผู้แทนจำหน่ายอย่างเป็นทางการได้ที่ http://reseller.thnic.co.th
หลังจากตรวจพบร่องรอยการจู่โจม ทาง THNIC ได้ประสานและรับคำปรึกษาจากทาง ThaiCERT มาโดยตลอด และปัจจุบันกำลังอยู่ในระหว่างการหารือกับทาง DSI เพื่อดำเนินการทางกฎหมายต่อไป
ที่มา - อีเมลจาก THNIC
อัปเดท 1 (13/07/55) - ผมได้รับอีเมลแจ้งจากทาง THNIC ระบุว่าการเข้ารหัสของรหัสผ่านชุดเดิมเป็นแบบสองทาง ไม่ใช่การ hash นะครับ