How the Pwnedlist Got Pwned

Bob Hodges ได้เปิดเผยถึงช่องโหว่ที่ทำให้เว็บไซต์ PwnedList.com โดนแฮ็กข้อมูลทั้งหมด 866 ล้าน Account ซึ่งมีความเสี่ยงที่ผุ้โจมตีจะสามารถ Dump ข้อมูลออกไป
PwnedList เป็นเว็บไซด์ที่ให้บริการตรวจสอบข้อมูล Email หรือ Username ของเราว่าถูกแฮ็กหรือไม่ เพื่อแจ้งเตือนผู้ใช้ได้ทันที

โดยช่องโหว่ที่ Hodges พบคือ Parameter Tampering ทำให้แฮ็กเกอร์สามารถแก้ไข Request เพื่อสอดส่องข้อมูลที่รั่วไหลออกมาจากแต่ละโดเมนได้

ทางเว็บไซด์มีการแก้ไขช่องโหว่แล้ว และประกาศว่าจะปิดให้บริการในวันที่ 16 พฤษภาคม 2559 เพื่อเป็นการแสดงความรับผิดชอบต่อเหตุการณ์ดังกล่าว

ที่มา : KrebsonSecurity

Read more