ADPT

[BHAsia 2021] 6 บทเรียนจากข้อมูลที่รั่วกว่า 11,000 ล้านรายการบน Have I Been Pwned

ภายในงานสัมมนา Black Hat Asia 2021 ที่กำลังจัดอยู่ในขณะนี้ Troy Hunt ผู้ก่อตั้งเว็บ Have I Been Pwned ได้มาบรรยายในเซสชัน Keynote และแชร์สิ่งที่เขาได้เรียนรู้หลังจากเก็บรวบรวมข้อมูลที่รั่วไหลมากกว่า 11,000 ล้านรายการตลอด 8 ปีที่ผ่านมา ซึ่งสามารถสรุปได้ 6 บทเรียน ดังนี้

บทเรียนที่ 1: ภาพลักษณ์ของแฮ็กเกอร์

Hunt ระบุว่า แฮ็กเกอร์ถูกสร้างภาพให้มีความน่ากลัวในสายตาของบุคคลทั่วไป ไม่ว่าจะเป็นการใส่ฮูดสีดำเพื่อปกปิดหน้าตา ทำงานในที่มืดๆ ปฏิบัติการด้วยการพิมพ์ข้อความสีเขียวดูเหมือนรหัสบนฉากหลังสีดำ โดยเฉพาะเมื่อการเหตุการณ์ที่มีการสูญเสียมูลค่ามหาศาล หลายคนก็จินตนาการไปก่อนแล้วว่าจะต้องเป็นแฮ็กเกอร์มืออาชีพ มีรัฐบาลหนุนหลัง หรือเกี่ยวข้องกับการทหาร แต่อันที่จริงแล้ว เบื้องหลังของเหตุการณ์เหล่านั้นอาจเป็นเพียงเด็กหนุ่มที่ยังไม่บรรลุนิติภาวะก็เป็นได้

บทเรียนที่ 2: ข้อมูลอยู่ในรูปดิจิทัลมากกว่าที่คิด

แม้ว่าหลายๆ คนจะพยายามลด Digital Footprint บนโลกอินเทอร์เน็ตด้วยการหลีกเลี่ยงการกรอกข้อมูลลงบนเว็บไซต์หรือบริการต่างๆ แต่ด้วยการมาถึงของยุคดิจิทัล หลายองค์กรทั่วโลกได้ทำ Digitization ส่งผลให้ข้อมูลของเราที่เคยอยู่ในรูปเอกสาร ถูกแปลงเป็นข้อมูลดิจิทัลโดยที่เราไม่รู้ตัว ที่น่าเป็นห่วงคือข้อมูลเกี่ยวกับสุขภาพและพฤติกรรมทางเพศที่เราเคยกรอกเมื่อไปโรงพยาบาลหรือสภากาชาด

บทเรียนที่ 3: ข้อมูลที่รั่วไม่ได้มาจาก Dark Web เสมอไป

ข้อมูลที่ถูกขโมยหรือหลุดออกไป อาจจะไม่ได้อยู่แต่ใน Dark Web ซึ่งเป็นตลาดมืดของแฮ็กเกอร์ แต่อาจถูกอัปโหลดและแชร์โต้งๆ ผ่านทาง Facebook/Twitter ให้ทุกคนสามารถดาวน์โหลดได้ทันที กรณีแบบนี้เรียกว่าน่ากลัวว่ามาก เนื่องจากข้อมูลความลับทั้งหลายสามารถถูกเข้าถึงได้ง่ายกว่าที่คิด

บทเรียนที่ 4: ยกเลิกรหัสผ่านหมดอายุ

ตั้งแต่ยุค 60 แล้วที่รหัสผ่านเริ่มถูกใช้งาน จวบจนถึงปัจจุบัน คนส่วนใหญ่ยังมองรหัสผ่านเป็นเหมือนกำแพงที่คอยขัดขวางการใช้งานระบบคอมพิวเตอร์ ทำให้คนเหล่านั้นพยายามตั้งรหัสผ่านให้ง่ายที่สุด พิมพ์ได้สะดวกที่สุด เพื่อที่จะได้ผ่านเข้าไปใช้งานได้อย่างรวดเร็ว อย่างไรก็ตาม เมื่อต้องถูกบังคับจากองค์กรหรือบริการออนไลน์ให้ต้องสร้างรหัสผ่านที่มีความยาวและซับซ้อน ก็จะหาทางสร้างรหัสผ่านให้จำได้ง่าย เช่น “MySafeP@ssw0rd!” อย่างไรก็ตามรหัสผ่านดังกล่าวยังคงคาดเดาได้ง่าย (Predictable) เนื่องจากใช้คำศัพท์อังกฤษและการแทนที่ตัวอักษร รวมไปถึงต่อท้ายด้วยเครื่องหมาย “!” ซึ่งเป็นรูปแบบยอดนิยม

นอกจากนี้ เมื่อต้องเจอกับข้อกำหนดที่ต้องเปลี่ยนรหัสผ่านใหม่ทุก 90 วัน หลายคนมักต่อท้ายด้วยตัวเลขเป็นซีรี่ย์ เช่น “MySafeP@ssw0rd1!”, “MySafeP@ssw0rd2!”, “MySafeP@ssw0rd3!”, … ไปเรื่อยๆ ซึ่งเป็นการสร้างรูปแบบที่แฮ็กเกอร์สามารถคาดเดาได้ง่าย ที่น่ากลัวคือหลายคนยังแก้ปัญหาเรื่องการจำรหัสผ่านยากๆ ไม่ได้ด้วยการแปะรหัสผ่านไว้บนหน้าจอของตนเอง Hunt แนะนำว่าให้ยึดการสร้างรหัสผ่านตามคำแนะนำของ NIST และ NCSC คือ ไม่ต้องเน้นความยาก แต่เน้นความยาว และให้เปลี่ยนรหัสผ่านใหม่เมื่อพบว่า (อาจ) ถูกแฮ็กเท่านั้น

บทเรียนที่ 5: หยุดสร้างความสับสนในบริการของตนเอง

Hunt ระบุว่า เราถูกสอนให้ตรวจสอบลิงค์ URL ให้ดีก่อนคลิก เพื่อที่จะได้ไม่เป็นเหยื่อของการโจมตีแบบ Phishing อย่างไรก็ตาม เขาพบว่าหลายแคมเปญส่งเสริมการตลาดของหลายๆ องค์กร กลับสร้างความสับสนให้แก่ลูกค้าที่ใช้งานซะเอง เนื่องจากแทนที่จะใช้ URL ภายใต้โดเมนของตน กลับใช้วิธีการ Redirect บางอย่างที่ดูเหมือนจะเป็นการโจมตีแบบ Phishing แต่สุดท้ายกลายเป็นบริการที่ถูกต้องขององค์กร เมื่อลูกค้าเจอประสบการณ์แบบนี้หลายครั้งเข้า อาจทำให้ไม่สามารถแยกแยะการโจมตี Phishing กับบริการของจริงได้อีกต่อไป และอาจตกเป็นเหยื่อของแฮ็กเกอร์ได้ในอนาคต

บทเรียนที่ 6: เสริมความมั่นคงปลอดภัยให้ API

เราอยู่ในยุคดิจิทัลที่หลายๆ บริการมีการเชื่อมต่อกันผ่านทาง API เพื่อสร้างเป็น Ecosystem ที่สะดวกสบายให้กับลูกค้าที่ใช้งาน อย่างไรก็ตาม Hunt พบว่า API ของหลายๆ บริการถูกออกแบบมาโดยไม่ได้คำนึงถึงความมั่นคงปลอดภัย ส่งผลให้อาจเกิดเหตุข้อมูลส่วนบุคคลรั่วไหลหรือการส่งข้อมูลปลอมซึ่งในกรณีที่เลวร้ายที่สุดอาจส่งผลกระทบต่อชีวิตและทรัพย์สินได้

Have I Been Pwned เป็นฐานข้อมูลออนไลน์ที่รวบรวมข้อมูลล็อกอินที่ถูกแฮ็ก ช่วยให้ผู้ใช้สามารถตรวจสอบได้ว่า ข้อมูลล็อกอินของตน เช่น อีเมลและรหัสผ่าน ที่ใช้กับบริการอะไรถูกโจมตีและนำออกมาเผยแพร่สู่สาธารณะแล้วบ้าง Have I Been Pwned เริ่มเก็บรวบรวมข้อมูลและให้บริการตั้งแต่ปี 2013 ปัจจุบันมีข้อมูลล็อกอินที่หลุดสู่สาธารณะรวมกว่า 11,000 ล้านรายการ เมื่อครั้งที่มัลแวร์ Emotet ถูกจัดการในเดือนมกราคมที่ผ่านมา FBI ได้ทำการตรวจสอบอีเมลที่หลุดออกไป พบว่ามีข้อมูลอยู่ใน Have I Been Pwned แล้วมากถึง 39%


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Dell Technologies ขอเชิญร่วมงานสัมมนาออนไลน์ “Cyber Recovery & Business Resiliency: Be Ready for the Next Decade” [25 มิถุนายน 2564]

Dell Technologies ขอเรียนเชิญ ผู้บริหารในสายงานเทคโนโลยีสารสนเทศ ผู้วางแผนกลยุทธ์ด้านไอที ผู้ที่มีส่วนร่วมในระบบ IT Infrastructure เข้าร่วมงานสัมมนาออนไลน์ “Cyber Recovery & Business Resiliency: Be Ready …

[video webinar] Data Management for The New Way of Working

สำหรับผู้ที่พลาดการเข้าฟังบรรยายจาก Computer Union ในหัวข้อ “Data Management for The New Way of Working” ที่ท่านจะได้เรียนรู้ไปกับโซลูชัน IBM Storage …