หลังจากตรวจสอบความเสียหายทั้งหมดอย่างละเอียดถี่ถ้วน เราพบความเสียหายที่เกิดขึ้นกับเฉพาะบัญชีของทีมรามสูรและ RightShift เท่านั้น ไม่พบความเสียหายกับผู้ใช้งานคนอื่น แต่แม้กระนั้นฬาเทศก็ยังไม่ได้นิ่งนอนใจ ได้ให้ความร่วมมือกับทีม dev ของ LNbits จนเร่งออกเวอร์ชั่นปรับปรุงใหญ่ได้เมื่อวาน ฬาเทศจึงขออัพเดทใหญ่เป็นเวอร์ชั่น 2 และมีมาตรการดังนี้
1. ถึงแม้เราจะมั่นใจว่าคนร้ายไม่สามารถ intrude บัญชีอื่นได้ แต่เพื่อความไม่ประมาท เราขอให้ทางผู้ใช้งานทุกคนกรุณาอัพเดทบัญชีของตัวเองอย่างเร่งด่วนที่สุด โดยการอัพเดทนั้นมี 3 ระดับ ไล่จากความปลอดภัยสูงสุดไปจนถึงไม่ปลอดภัยดังนี้
1.1 ปลอดภัยสูงสุด - สร้างบัญชีใหม่ด้วยระบบ authentication แบบใหม่
วิธีทำ - เข้าไปในบัญชีเก่าด้วยวิธีเดิม คลิก logout ที่มุมบนขวา คุณจะออกมาที่หน้าต่าง user authentication
สร้างบัญชีใหม่โดยคลิก Register อันล่างสุด
(***ห้ามเลือก Create New Wallet เพราะนั่นเป็นการสร้างบัญชีแบบเดิม***)
จะได้หน้าต่าง create account ให้ใส่ username/password พอได้บัญชีใหม่แล้วให้กลับไปยังบัญชีเก่าด้วยวิธี user ID (ข้อมูลอยู่ในหน้าต่าง My Account มุมบนขวา) ให้ทำการย้ายเงินทั้งหมดจากบัญชีเก่าไปบัญชีใหม่ ไม่ว่าจะด้วยวิธีการสร้าง invoice ในบัญชีใหม่เพื่อเรียกเก็บเงินจากบัญชีเก่าหรือวิธีอื่นใดก็ตามแต่
เมื่อทำงานการโอนเงินจากบัญชีเก่าไปบัญชีใหม่จนพึงพอใจแล้วจะ delete ทิ้งบัญชีเก่าหรือไม่ก็ย่อมได้ ไม่สำคัญ
ในอนาคตให้เข้าบัญชีใหม่ด้วยวิธี username/password เท่านั้น (โดยปกติถ้ายังไม่ logout เมื่อกลับเข้ามา ระบบจะ login โดยอัตโนมัติ ไม่มีปัญหาแต่อย่างใด) เพราะฬาเทศจะปิดทิ้งการ login เข้าแบบเดิมที่ใช้ user ID ในอีกไม่กี่วันข้างหน้า
1.2 ปลอดภัยพอสมควร - ไม่ต้องเปลี่ยนบัญชีใหม่แต่อัพเดทวิธีการ authenticated
วิธีทำ - login เข้าไปในบัญชีเก่าด้วยวิธีเดิม คลิก My Account ที่มุมบนขวา ใส่ Username คลิก change password ที่มุมล่างขวา ใส่ password แล้วคลิก update account
ทดสอบระบบด้วยการคลิก logout ระบบจะนำท่านมาที่หน้า user authentication ให้ login ด้วยวิธี username/password ท่านควรจะกลับมาเข้า account เดิมของท่านได้ตามปกติ
จุดอ่อนของวิธีนี้คือยังสามารถ login ด้วยวิธีเก่าที่ใช้ user ID ได้ แต่ไม่เป็นอะไรครับ ผมจะปิดวิธีนี้ทิ้งในอีก 3 วันข้างหน้าเพื่อความปลอดภัยของท่านเอง
1.3 ไม่ปลอดภัย - ไม่ทำอะไรเลย
ท่านจะยังคงกลับมาใช้บัญชีของท่านด้วยวิธีเดิมเหมือนกับไม่มีอะไรเกิดขึ้นได้อีก 3 วัน หลังจากนั้นท่านจะกลับเข้าบัญชีไม่ได้ เพราะผมกับทีมงานเจ็บปวดมาเพียงพอแล้ว เราไม่ยินดีให้ท่านเจ็บปวดเหมือนพวกเราอีก เราจึงขอร้องแกมบังคับให้ท่านอัปเดตครับ
2. เหตุใดการ login ด้วย user ID แบบเดิมจึงไม่ปลอดภัย?
เพราะ user ID ถึงแม้จะยาวมากแต่มันก็ไม่ได้ซ่อน คนร้ายสามารถใช้วิธีการ over the shoulder attack แอบถ่ายคลิปขณะที่ท่านใช้งานบัญชี แล้วนำไปแกะหาวิธีเข้าบัญชีของท่านได้ กรณีของฬาเทศเป็นที่รับรู้กันใน LNbits community ทั่วโลกว่าเป็นครั้งที่ 2 ที่ LNbits user ถูกโจมตีด้วยวิธีนี้ครับ
สำหรับวิธีใหม่ มีความปลอดภัยเพิ่มขึ้นอีก 2 ขั้น 1.จะไม่ปรากฏ user ID ให้เห็นอีกต่อไป 2.ในกรณี logout แล้ว ถ้าจะกลับเข้าบัญชีใหม่ต้องใส่ username และ password เสมอ การปรับปรุงครั้งนี้ถึงแม้จะป้องกัน over the shoulder attack ไม่ได้ 100% (ถ้าคนร้ายเป็นมนุษย์ล่องหนแอบยืนอยู่ข้างหลังดูท่านขณะล็อกอินได้ เขาก็ยังแอบเข้าบัญชีท่านได้) แต่ก็นับเป็น security measurement ที่ได้มาตรฐานสากล
3. ผมทราบว่าความบกพร่องของผมที่เกิดขึ้นและความเสียหายที่ตามมาในครั้งนี้ทำให้ท่านสูญเสียความมั่นใจในฬาเทศ ผมเสียใจและรู้สึกผิดมากกว่าจำนวนเงินที่สูญเสียไปมากมายนัก คนร้ายทำอะไรจิตใจผมไม่ได้เลย แต่คนร้ายทำลายเครดิตที่ผมสั่งสมมานานนับปีลงหมดสิ้น แต่ผมจะทำอะไรได้นอกจากสอบสวนเหตุการณ์ที่เกิดขึ้นให้ดีที่สุด ลุกขึ้นยืนแล้วเดินหน้าต่อไป ชีวิตผมไม่เคยมีคำอื่นนอกจากคำว่า Never Give Up
ดังนั้นเพื่อเยียวยาความไม่สะดวกที่ท่านใช้งานฬาเทศไม่ได้เกือบ 1 สัปดาห์ ฬาเทศจะงดเก็บค่าธรรมเนียมการใช้งาน 8 วันจนจัด workshop วันที่ 17กพ.เสร็จ หลังจากนั้นผมจะแจก admin privilege ฟรี ให้ผู้ที่สนใจจะเปิด Nostr market (ต้องเป็น admin เท่านั้นถึงจะใช้งาน extension ตัวนี้ได้ ปกติจะไม่เปิดฟรีเนื่องจากมันกินกำลัง server)
เพียงแต่ท่านให้โอกาสฬาเทศอีกครั้ง กลับมาใช้งานฬาเทศก่อนวันที่ 18กพ. หลังจากนั้นท่านเพียงส่ง user ID มา ผมจะอนุมัติ admin user ให้ครับ
กรุณาให้โอกาสผมอีกครั้งนะครับ
#siamstr #lates2 #lightningatm #lightningpos #lnbits