Raw Record Source

{
  "$type": "site.standard.document",
  "bskyPostRef": {
    "cid": "bafyreifdii6okpmihmjihfxeh2m7yqidoyvozsplpznmsz5dwu6qku3tzu",
    "uri": "at://did:plc:46dtqwuc6bckm3ewbfuqlnxt/app.bsky.feed.post/3mjmee543b5r2"
  },
  "path": "/node/150275",
  "publishedAt": "2026-04-15T19:23:09.000Z",
  "site": "https://www.blognone.com",
  "tags": [
    "ในไทยเองเลิกใช้งานได้เมื่อต้นปี 2020",
    "ส่วนการเลิกออกบัตรแม่เหล็กทั่วโลกน่าจะใช้เวลาถึงปี 2033",
    "ออกนโยบายว่าใครเป็นผู้รับผิดชอบหากลูกค้าถูกขโมยเงิน",
    "YouTube: Veritasium",
    "lew"
  ],
  "textContent": "นักวิจัยสาธิตขโมยเงิน MKBHD ทีเดียว 10,000 ดอลลาร์ ผ่าน Apple Pay ผ่านบัตรวีซ่าด้วยช่องโหว่เก่า 5 ปี, วีซ่าระบุหากลูกค้าถูกโจมตีสามารถขอเงินคืนภายหลังได้\n\nBody\n\nทีมวิจัยจากมหาวิทยาลัย Surrey และมหาวิทยาลัย Birmingham สาธิตขโมยเงิน 10,000 ดอลลาร์จาก MKBHD ยูทูบเบอร์ชื่อดัง ผ่านช่อง Veritasium ช่องสารคดีบนยูทูบที่มีผู้ติดตามกว่า 20 ล้านคน โดยทีมวิจัยสามารถสั่งจ่ายเงินผ่าน Apple Pay ที่ล็อกหน้าจอโทรศัพท์อยู่ และโทรศัพท์อนุมัติการจ่ายเงิน 10,000 ดอลลาร์โดยไม่ขอคำยืนยันจากผู้ใช้โทรศัพท์แต่อย่างใด\n\nการโจมตีนี้เป็นการดักคั่นการเชื่อมต่อ (man in the middle attack - MITM) ช่องโหว่นี้อาศัยฟีเจอร์ Express Mode ของ Apple Pay ที่อนุมัติการจ่ายเงินจำนวนน้อยๆ เช่น การเดินทางขนส่งสาธารณะให้สามารถจ่ายได้ทันทีโดยไม่ต้องปลดล็อกหน้าจอ นอกจากนี้ Apple Pay ยังไม่ตรวจสอบจำนวนเงินที่ขออนุมัติจ่าย แต่เชื่อ flag ระบุธุรกรรมมูลค่าสูงจากเครื่องรับบัตรโดยตรงแทน ทำให้นักวิจัยสามารถแปลงข้อความให้กลายเป็นธุรกรรมมูลค่าต่ำได้ หลังจากนั้นอาศัยแนวทางของวีซ่าที่ไม่บังคับให้เครื่องอ่านบัตรต้องยืนยันลายเซ็นดิจิทัลของข้อความอนุมัติการจ่ายเงินจากบัตรหากเครื่องอ่านบัตรออนไลน์อยู่ ทำให้การแปลงข้อความระหว่างทางทำได้ ขณะที่ Mastercard บังคับให้ทุกธุรกรรมต้องตรวจสอบลายเซ็นข้อความตลอดเวลา\n\nทีมวิจัยระบุว่าได้แจ้งทั้งแอปเปิลและวีซ่าแล้วตั้งแต่ปี 2021 ในรายการนี้ Veritasium ขอความเห็นทั้งแอปเปิลและวีซ่า แอปเปิลระบุว่าวีซ่ายืนยันว่าลูกค้าได้รับความคุ้มครองผ่าน zero liability policy แล้ว ขณะที่ Micheal Jabbara รองประธานอาวุโสวีซ่าระบุว่าการโจมตีมีโอกาสน้อยที่คนร้ายจะโจมตีเป็นวงกว้าง และในกรณีที่ถูกโจมตีลูกค้าสามารถขอเงินคืนได้\n\nประวัติของการใช้เทคโนโลยีรักษาความปลอดภัยของวงการธนาคารโดยรวมไม่ดีนัก เนื่องจากให้น้ำหนักกับการรักษาความเข้ากันได้กับเครื่องรับบัตรจำนวนมหาศาลในตลาด เช่น กระบวนการเลิกใช้งานบัตรแม่เหล็กนั้นกินเวลาหลายสิบปี ในไทยเองเลิกใช้งานได้เมื่อต้นปี 2020 หลังจากมีเหยื่อถูกสำเนาบัตรจำนวนมากอยู่หลายรอบ ส่วนการเลิกออกบัตรแม่เหล็กทั่วโลกน่าจะใช้เวลาถึงปี 2033 ที่ผ่านมามักอาศัยการออกนโยบายว่าใครเป็นผู้รับผิดชอบหากลูกค้าถูกขโมยเงิน มากกว่าจะเป็นการบังคับใช้เทคโนโลยีใหม่ที่ปิดช่องโหว่เดิมไปได้\n\nที่มา - YouTube: Veritasium\n\nlew Thu, 16/04/2026 - 02:23",
  "title": "นักวิจัยสาธิตขโมยเงิน MKBHD ทีเดียว 10,000 ดอลลาร์ ผ่าน Apple Pay ผ่านบัตรวีซ่าด้วยช่องโหว่เก่า 5 ปี, วีซ่าระบุหากลูกค้าถูกโจมตีสามารถขอเงินคืนภายหลังได้"
}