พบเซิร์ฟเวอร์อีเมลกว่า 3 ล้านเครื่องไม่เข้ารหัส TLS เสี่ยงถูกดักจับข้อมูล

ShadowServer เผยพบเซิร์ฟเวอร์อีเมลแบบ POP3 และ IMAP กว่า 3.3 ล้านเครื่องที่ไม่ได้เปิดใช้งานการเข้ารหัส TLS เสี่ยงถูกดักจับข้อมูล

จากการตรวจสอบของแพลตฟอร์มเฝ้าระวังภัยคุกคาม ShadowServer พบว่ามีเซิร์ฟเวอร์อีเมลจำนวนมากที่ยังไม่ได้เปิดใช้งานโปรโตคอล TLS ซึ่งเป็นมาตรฐานการเข้ารหัสข้อมูล ส่งผลให้ข้อมูลสำคัญอย่างชื่อผู้ใช้และรหัสผ่านถูกส่งในรูปแบบที่ไม่ได้เข้ารหัส ทำให้ผู้โจมตีสามารถใช้เครื่องมือดักจับข้อมูลเครือข่าย (Network Sniffer) เพื่อขโมยข้อมูลได้ โดยเฉพาะอย่างยิ่งในกรณีของเซิร์ฟเวอร์ POP3 และ IMAP ที่ใช้สำหรับเข้าถึงอีเมลจากอุปกรณ์หลายเครื่อง ซึ่ง IMAP จะเก็บข้อมูลไว้บนเซิร์ฟเวอร์และซิงค์ระหว่างอุปกรณ์ต่างๆ ในขณะที่ POP3 จะดาวน์โหลดอีเมลมาไว้ที่อุปกรณ์ปลายทาง

ShadowServer ได้เริ่มแจ้งเตือนผู้ดูแลระบบให้เปิดใช้งาน TLS บนเซิร์ฟเวอร์ POP3 และ IMAP โดยเร็ว พร้อมแนะนำให้พิจารณาว่าจำเป็นต้องเปิดให้บริการเหล่านี้หรือไม่ หรืออาจย้ายไปอยู่หลัง VPN แทน ทั้งนี้ การไม่เปิดใช้งาน TLS ไม่เพียงทำให้เสี่ยงต่อการดักจับข้อมูลเท่านั้น แต่ยังเปิดโอกาสให้ผู้โจมตีสามารถพยายามเดารหัสผ่านเพื่อเข้าถึงเซิร์ฟเวอร์ได้อีกด้วย

ในช่วงหลายปีที่ผ่านมา บริษัทเทคโนโลยีชั้นนำอย่าง Microsoft, Google, Apple และ Mozilla ได้ประกาศยกเลิกการรองรับ TLS เวอร์ชัน 1.0 และ 1.1 ที่ไม่ปลอดภัยตั้งแต่ปี 2020 และแนะนำให้ใช้ TLS 1.3 ซึ่งเป็นเวอร์ชันล่าสุดที่ได้รับการอนุมัติจาก Internet Engineering Task Force (IETF) ในปี 2018 หลังจากผ่านการพัฒนาและทดสอบมาถึง 28 เวอร์ชัน นอกจากนี้ NSA ยังได้ออกคำแนะนำเกี่ยวกับการตรวจสอบและเปลี่ยนโปรโตคอล TLS รุ่นเก่าเป็นทางเลือกที่ทันสมัยและปลอดภัยกว่า โดยระบุว่าการใช้การตั้งค่าที่ล้าสมัยอาจทำให้ผู้โจมตีสามารถถอดรหัสข้อมูลหรือแทรกแซงการสื่อสารผ่านการโจมตีแบบ Man-in-the-Middle ได้โดยอย่างง่ายดาย

ที่มา: https://www.bleepingcomputer.com/news/security/over-3-million-mail-servers-without-encryption-exposed-to-sniffing-attacks/