Microsoft Azure by Ingram Micro (Thailand)

[BHAsia 2021] 6 บทเรียนจากข้อมูลที่รั่วกว่า 11,000 ล้านรายการบน Have I Been Pwned

ภายในงานสัมมนา Black Hat Asia 2021 ที่กำลังจัดอยู่ในขณะนี้ Troy Hunt ผู้ก่อตั้งเว็บ Have I Been Pwned ได้มาบรรยายในเซสชัน Keynote และแชร์สิ่งที่เขาได้เรียนรู้หลังจากเก็บรวบรวมข้อมูลที่รั่วไหลมากกว่า 11,000 ล้านรายการตลอด 8 ปีที่ผ่านมา ซึ่งสามารถสรุปได้ 6 บทเรียน ดังนี้

บทเรียนที่ 1: ภาพลักษณ์ของแฮ็กเกอร์

Hunt ระบุว่า แฮ็กเกอร์ถูกสร้างภาพให้มีความน่ากลัวในสายตาของบุคคลทั่วไป ไม่ว่าจะเป็นการใส่ฮูดสีดำเพื่อปกปิดหน้าตา ทำงานในที่มืดๆ ปฏิบัติการด้วยการพิมพ์ข้อความสีเขียวดูเหมือนรหัสบนฉากหลังสีดำ โดยเฉพาะเมื่อการเหตุการณ์ที่มีการสูญเสียมูลค่ามหาศาล หลายคนก็จินตนาการไปก่อนแล้วว่าจะต้องเป็นแฮ็กเกอร์มืออาชีพ มีรัฐบาลหนุนหลัง หรือเกี่ยวข้องกับการทหาร แต่อันที่จริงแล้ว เบื้องหลังของเหตุการณ์เหล่านั้นอาจเป็นเพียงเด็กหนุ่มที่ยังไม่บรรลุนิติภาวะก็เป็นได้

บทเรียนที่ 2: ข้อมูลอยู่ในรูปดิจิทัลมากกว่าที่คิด

แม้ว่าหลายๆ คนจะพยายามลด Digital Footprint บนโลกอินเทอร์เน็ตด้วยการหลีกเลี่ยงการกรอกข้อมูลลงบนเว็บไซต์หรือบริการต่างๆ แต่ด้วยการมาถึงของยุคดิจิทัล หลายองค์กรทั่วโลกได้ทำ Digitization ส่งผลให้ข้อมูลของเราที่เคยอยู่ในรูปเอกสาร ถูกแปลงเป็นข้อมูลดิจิทัลโดยที่เราไม่รู้ตัว ที่น่าเป็นห่วงคือข้อมูลเกี่ยวกับสุขภาพและพฤติกรรมทางเพศที่เราเคยกรอกเมื่อไปโรงพยาบาลหรือสภากาชาด

บทเรียนที่ 3: ข้อมูลที่รั่วไม่ได้มาจาก Dark Web เสมอไป

ข้อมูลที่ถูกขโมยหรือหลุดออกไป อาจจะไม่ได้อยู่แต่ใน Dark Web ซึ่งเป็นตลาดมืดของแฮ็กเกอร์ แต่อาจถูกอัปโหลดและแชร์โต้งๆ ผ่านทาง Facebook/Twitter ให้ทุกคนสามารถดาวน์โหลดได้ทันที กรณีแบบนี้เรียกว่าน่ากลัวว่ามาก เนื่องจากข้อมูลความลับทั้งหลายสามารถถูกเข้าถึงได้ง่ายกว่าที่คิด

บทเรียนที่ 4: ยกเลิกรหัสผ่านหมดอายุ

ตั้งแต่ยุค 60 แล้วที่รหัสผ่านเริ่มถูกใช้งาน จวบจนถึงปัจจุบัน คนส่วนใหญ่ยังมองรหัสผ่านเป็นเหมือนกำแพงที่คอยขัดขวางการใช้งานระบบคอมพิวเตอร์ ทำให้คนเหล่านั้นพยายามตั้งรหัสผ่านให้ง่ายที่สุด พิมพ์ได้สะดวกที่สุด เพื่อที่จะได้ผ่านเข้าไปใช้งานได้อย่างรวดเร็ว อย่างไรก็ตาม เมื่อต้องถูกบังคับจากองค์กรหรือบริการออนไลน์ให้ต้องสร้างรหัสผ่านที่มีความยาวและซับซ้อน ก็จะหาทางสร้างรหัสผ่านให้จำได้ง่าย เช่น “MySafeP@ssw0rd!” อย่างไรก็ตามรหัสผ่านดังกล่าวยังคงคาดเดาได้ง่าย (Predictable) เนื่องจากใช้คำศัพท์อังกฤษและการแทนที่ตัวอักษร รวมไปถึงต่อท้ายด้วยเครื่องหมาย “!” ซึ่งเป็นรูปแบบยอดนิยม

นอกจากนี้ เมื่อต้องเจอกับข้อกำหนดที่ต้องเปลี่ยนรหัสผ่านใหม่ทุก 90 วัน หลายคนมักต่อท้ายด้วยตัวเลขเป็นซีรี่ย์ เช่น “MySafeP@ssw0rd1!”, “MySafeP@ssw0rd2!”, “MySafeP@ssw0rd3!”, … ไปเรื่อยๆ ซึ่งเป็นการสร้างรูปแบบที่แฮ็กเกอร์สามารถคาดเดาได้ง่าย ที่น่ากลัวคือหลายคนยังแก้ปัญหาเรื่องการจำรหัสผ่านยากๆ ไม่ได้ด้วยการแปะรหัสผ่านไว้บนหน้าจอของตนเอง Hunt แนะนำว่าให้ยึดการสร้างรหัสผ่านตามคำแนะนำของ NIST และ NCSC คือ ไม่ต้องเน้นความยาก แต่เน้นความยาว และให้เปลี่ยนรหัสผ่านใหม่เมื่อพบว่า (อาจ) ถูกแฮ็กเท่านั้น

บทเรียนที่ 5: หยุดสร้างความสับสนในบริการของตนเอง

Hunt ระบุว่า เราถูกสอนให้ตรวจสอบลิงค์ URL ให้ดีก่อนคลิก เพื่อที่จะได้ไม่เป็นเหยื่อของการโจมตีแบบ Phishing อย่างไรก็ตาม เขาพบว่าหลายแคมเปญส่งเสริมการตลาดของหลายๆ องค์กร กลับสร้างความสับสนให้แก่ลูกค้าที่ใช้งานซะเอง เนื่องจากแทนที่จะใช้ URL ภายใต้โดเมนของตน กลับใช้วิธีการ Redirect บางอย่างที่ดูเหมือนจะเป็นการโจมตีแบบ Phishing แต่สุดท้ายกลายเป็นบริการที่ถูกต้องขององค์กร เมื่อลูกค้าเจอประสบการณ์แบบนี้หลายครั้งเข้า อาจทำให้ไม่สามารถแยกแยะการโจมตี Phishing กับบริการของจริงได้อีกต่อไป และอาจตกเป็นเหยื่อของแฮ็กเกอร์ได้ในอนาคต

บทเรียนที่ 6: เสริมความมั่นคงปลอดภัยให้ API

เราอยู่ในยุคดิจิทัลที่หลายๆ บริการมีการเชื่อมต่อกันผ่านทาง API เพื่อสร้างเป็น Ecosystem ที่สะดวกสบายให้กับลูกค้าที่ใช้งาน อย่างไรก็ตาม Hunt พบว่า API ของหลายๆ บริการถูกออกแบบมาโดยไม่ได้คำนึงถึงความมั่นคงปลอดภัย ส่งผลให้อาจเกิดเหตุข้อมูลส่วนบุคคลรั่วไหลหรือการส่งข้อมูลปลอมซึ่งในกรณีที่เลวร้ายที่สุดอาจส่งผลกระทบต่อชีวิตและทรัพย์สินได้

Have I Been Pwned เป็นฐานข้อมูลออนไลน์ที่รวบรวมข้อมูลล็อกอินที่ถูกแฮ็ก ช่วยให้ผู้ใช้สามารถตรวจสอบได้ว่า ข้อมูลล็อกอินของตน เช่น อีเมลและรหัสผ่าน ที่ใช้กับบริการอะไรถูกโจมตีและนำออกมาเผยแพร่สู่สาธารณะแล้วบ้าง Have I Been Pwned เริ่มเก็บรวบรวมข้อมูลและให้บริการตั้งแต่ปี 2013 ปัจจุบันมีข้อมูลล็อกอินที่หลุดสู่สาธารณะรวมกว่า 11,000 ล้านรายการ เมื่อครั้งที่มัลแวร์ Emotet ถูกจัดการในเดือนมกราคมที่ผ่านมา FBI ได้ทำการตรวจสอบอีเมลที่หลุดออกไป พบว่ามีข้อมูลอยู่ใน Have I Been Pwned แล้วมากถึง 39%

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

ผสาน Automation และ Intelligence เข้าไปยังความสามารถของงานด้านการผลิต โดย Infor

การนำเทคโนโลยีใหม่ๆเข้ามาใช้งานในธุรกิจนั้นไม่ใช่เรื่องง่าย และแต่ละอุตสาหกรรมก็มีความท้าทายเฉพาะตัวที่ต้องเผชิญหน้า ในอุตสาหกรรมการผลิตเองก็เช่นกันที่ได้รับผลกระทบจากการเปลี่ยนแปลงของเทคโนโลยี ความต้องการของลูกค้า Supply Chain และอื่นๆ 

Cisco ปิดดีลเข้าซื้อ Splunk มูลค่า 1 ล้านล้านบาท

หลังจากผ่านการตรวจสอบอย่างเข้มข้นจนได้รับอนุมัติเรียบร้อย ล่าสุดทาง Cisco ได้ประกาศถึงความสำเร็จในการเข้าซื้อกิจการของ Splunk ที่มูลค่า 28,000 ล้านเหรียญหรือราวๆ 1 ล้านล้านบาทอย่างเป็นทางการแล้ว