วันนี้เว็บไซต์ LeakedSource ได้ออกมารายงานว่าเว็บบอร์ดหลักของเกม DotA2 (http://dev.dota2.com/) ถูกแฮ็กไปเมื่อวันที่ 10 สิงหาคมที่ผ่านมา ส่งผลให้ข้อมูลผู้ใช้เกือบสองล้านบัญชีหลุดออกไป
โดยข้อมูลที่หลุดออกไปนั้นประกอบด้วยชื่อผู้ใช้, รหัสผ่าน (ที่เข้ารหัสไว้), อีเมล, และไอพีแอดเดรสของผู้ใช้
ปัญหาคือทางเว็บ LeakedSource ตรวจสอบพบว่ารหัสผ่านที่เข้ารหัสไว้นั้น ใช้วิธีการเข้ารหัสแบบ MD5 ซึ่งปัจจุบันสามารถถอดรหัสกลับออกมาได้ไม่ยากนัก อีกทั้งทีมงาน LeakedSource ยังสามารถแกะรหัสผ่านของบัญชีกว่า 80% กลับออกมาเป็นรหัสผ่านปกติได้อีกต่างหาก
หากใครที่เป็นสมาชิกเว็บบอร์ดนี้อยู่ สามารถเข้าไปตรวจสอบข้อมูลว่าบัญชีของตนเองหลุดออกไปด้วยหรือไม่ ผ่านหน้าเว็บของ LeakedSource ครับ
ความเห็นของเรา
โดยปกติผู้ใช้บริการมักจะเข้ารหัสให้กับรหัสผ่านของเราเอาไว้ชั้นหนึ่ง ทำให้เมื่อรหัสหลุดออกไปแฮ็กเกอร์จะไม่สามารถรู้ได้ว่ารหัสผ่านจริงๆ ของผู้ใช้คืออะไร ซึ่งวิธีการเข้ารหัสนั้นก็มีอยู่มากมายหลายวิธี และการเข้ารหัสแบบ MD5 ก็เคยเป็นวิธีการเข้ารหัสยอดนิยมอยู่ในยุคหนึ่งเลยทีเดียว (ก็สักสิบปีก่อนได้)
ตอนหลังมีการพิสูจน์กันว่าการเข้ารหัสแบบ MD5 นั้นไม่ได้ปลอดภัยอย่างที่เราคิดกัน ระยะหลังมานี้จึงมีการพยายามรณรงค์ให้เปลี่ยนไปใช้วิธีการเข้ารหัสแบบอื่นที่ปลอดภัยกว่าแทน เช่น SHA1 ครับ
ซึ่งก็น่าแปลกใจอยู่เช่นกันที่บริษัทยักษ์ใหญ่อย่าง Valve ยังคงใช้วิธีการเข้ารหัส MD5 นี้อยู่ ระหว่างนี้ก็ต้องดูต่อไปว่าทาง Valve จะออกมาจัดการกับเรื่องนี้อย่างไรครับ
ที่มา – Engadget
