พบข้อมูลรหัสผ่านกว่า 1,400 ล้านรายชื่อพร้อมให้ดาวน์โหลดผ่านเว็บใต้ดิน

ทีมนักวิจัยจาก 4iQ บริษัทที่ปรึกษาด้านความมั่นคงปลอดภัย ออกมาเปิดเผยถึงฐานข้อมูลชื่อผู้ใช้และรหัสผ่านในรูปของ Plain-text ที่มีขนาดใหญ่ที่สุด รวมแล้วกว่า 1,400 ล้านรายการ เปิดให้ดาวน์โหลดผ่าน Dark Web หรือเว็บใต้ดินรวมไปถึง Torrent

ฐานข้อมูลดังกล่าวถูกค้นพบบนฟอรัมเว็บบอร์ดใต้ดินเมื่อวันที่ 5 ธันวาคมที่ผ่านมา เป็นฐานข้อมูลชื่อผู้ใช้และรหัสผ่านในรูปของ Plain-text ที่รวบรวมมาจากเหตุการณ์ Data Breach ในอดีตจนถึงเดือนพฤศจิกายน 2017 จำนวนมากกว่า 252 ครั้ง ถึงแม้ว่าจะไม่ใช่ข้อมูลใหม่ที่เพิ่งรั่วออกสู่สาธารณะ แต่ก็ถือได้ว่าเป็นฐานข้อมูลที่มีขนาดใหญ่ที่สุด ซึ่งประกอบด้วยชื่อผู้ใช้ รหัสผ่าน และอีเมล รวมแล้วประมาณ 1,400 ล้านรายการ และมีขนาดไฟล์ใหญ่ถึง 41 GB

ฐานข้อมูลกว่า 1,400 ล้านรายการนี้ ประกอบด้วยบัญชีผู้ใช้ที่หลุดมาจาก Bitcoin, Pastebin, LinkedIn, MySpace, Netflix, YouPorn, Last.FM, Zoosk, Badoo, RedBox รวมไปถึงเกมอย่าง Minecraft และ Runescape และรายชื่อจาก Anti Public และ Exploit.in ที่น่าเป็นห่วงคือ รหัสผ่านที่ปรากฎในฐานข้อมูลเป็นรหัสผ่านเปล่าๆ ที่ไม่ได้ถูกเข้ารหัสหรือถูกแฮช ซึ่งทีมนักวิจัยได้ทำการสุ่มตรวจรหัสผ่านเหล่านั้นบางส่วน พบว่าส่วนใหญ่ยังคงสามารถใช้งานได้ นอกจากนี้ ยังพบว่าไฟล์และโฟลเดอร์ที่ดาวน์โหลดมีการจัดวางตามตัวอักษรอย่างเป็นระเบียบ ง่ายต่อการค้นหา แสดงให้เห็นว่าแฮ็กเกอร์รวบรวมข้อมูลมาอย่างจริงจังและพร้อมที่จะนำไปใช้โจมตี

เมื่อนำข้อมูลรหัสผ่านมาเรียงลำดับ จะพบว่ารหัสผ่านยอดนิยมอันดับหนึ่งยังคงเป็น 123456 ตามมาด้วย 123456789, qwerty, password และ 111111

จนถึงตอนนี้ ยังไม่ทราบแน่ชัดว่าใครเป็นผู้นำข้อมูลรหัสผ่านเหล่านี้มาเผยแพร่บน Dark Web แนะนำให้ผู้ใช้ทุกคนหยุดใช้รหัสผ่านซ้ำกันในบริการออนไลน์ต่างๆ และหันมาใช้ Passwork Manager เพื่อจัดการกับรหัสผ่านของตน

ที่มา: https://thehackernews.com/2017/12/data-breach-password-list.html