นักวิจัยด้านความปลอดภัยพบข้อบกพร่องของแอปพลิเคชั่น Django ซึ่งทำให้เสี่ยงต่อการถูกขโมยข้อมูลสำคัญ เช่น API key, รหัสผ่านเครื่องเซิร์ฟเวอร์, AWS Access Token

Fábio Castro นักวิจัยด้านความปลอดภัยชาวบราซิลบอกว่าสาเหตุหลักของเรื่องนี้คือผู้พัฒนาแอปลืมที่จะปิดฟังก์ชัน debug mode ของตัวแอป ตัวแอป Django เป็น Python framework ที่มีประสิทธิภาพสูง และสามารถปรับแต่งได้ ซึ่งส่วนใหญ่จะใช้ในการสร้าง Web Application และเป็น App Backend ซึ่ง Castro บอกกับทาง Bleeping Computer ว่าพบแอป Django กว่า 28,165 แอปที่มีการลืมปิดฟังก์ชัน Debug ทำให้แฮคเกอร์สามารถเข้าถึงข้อมูลที่สำคัญของตัวแอป และในบางกรณี รหัสผ่านเข้าฐานข้อมูล และ AWS access token อาจทำให้เข้าถึงข้อมูลสำคัญในส่วนอื่นๆ ของแอพพลิเคชั่น

Castro บอกกับทาง Bleeping Computer เพิ่มเติมว่านี่ไม่ใช่ความผิดพลาดของตัว Django เพียงแต่เป็นการลืมปิด debug mode เท่านั้น ซึ่งก็ได้ให้คำแนะนำไว้ว่าให้ปิดโหมดดังกล่าวทุกครั้งก่อนนำขึ้นใช้งานจริง แต่จากรายงานของนักวิจัยซึ่งเป็นประธานของ GDI Foundation ชื่อว่า Victor Gevers ระบุว่ามีเซิร์ฟเวอร์บางตัวที่ถูกแฮ็คแล้ว Gevers ได้ทำการเตือนไปยังเจ้าของเซิร์ฟเวอร์เกี่ยวกับการรั่วไหลของข้อมูลดังกล่าว ซึ่งในตอนนี้มีรายงานยืนยันออกมาแล้วว่าเซิร์ฟเวอร์ที่ได้รับการแก้ไขแล้วหรือนำออกจากการใช้งาน 143 เครื่องจาก 1,822 เครื่องที่ได้รับผลกระทบ

ที่มา : Bleepingcomputer