CEO Blog

รหัสผ่าน ‘admin’ ความเสี่ยงซ้ำรอยเดิมๆ

By นักรบ เนียมนามธรรม28 ต.ค. 2019 เวลา 16:31 น.
รหัสผ่าน ‘admin’ ความเสี่ยงซ้ำรอยเดิมๆ

ความเสี่ยงร้ายแรงที่แม้แต่บุคคลทั่วไปยังต้องระวัง

ดูเหมือนว่าความผิดพลาดในการแก้ไขช่องโหว่ “Apache Struts” ไม่ใช่ความผิดพลาดเดียวที่ “Equifax” บริษัทตรวจสอบเครดิตในสหรัฐเคยทำพลาดและนำไปสู่ความเสียหายครั้งใหญ่ในเหตุการณ์ข้อมูลรั่วไหลเมื่อปี 2560

ล่าสุดพบว่า การยืนยันตัวตนของ Equifax มีช่องโหว่ที่ร้ายแรง เนื่องจากมีการใช้ชื่อและรหัสผ่านในการเข้าใช้งานพอร์ทัลคือชื่อผู้ใช้ “admin” และรหัสผ่าน “admin” ซึ่งง่ายแก่การเจาะระบบ ขณะเดียวกันนับเป็นความเสี่ยงร้ายแรงที่แม้แต่บุคคลทั่วไปยังต้องระวัง ไม่น่าเชื่อทีเดียวว่าผู้ให้บริการยักษ์ใหญ่ที่ถือครองข้อมูลส่วนบุคคลจำนวนมากจะเลือกใช้ชื่อที่ง่ายแก่การเจาะข้อมูลเช่นนี้

ทาง Equifax ได้ยอมรับว่าข้อมูลส่วนบุคคลที่สำคัญของชาวอเมริกันกว่าร้อยล้านคนไม่ได้ถูกเข้ารหัส แต่ถูกเก็บไว้ในลักษณะของข้อความธรรมดาที่สามารถอ่านออกได้โดยง่าย จนเรียกได้ว่าไม่เป็นการยากเลยหากบุคคลภายนอกอยากจะเข้าไปอ่านหรือเอาข้อมูลไปใช้โดยมิชอบ

นอกจากนี้ บุคคลทั่วไปยังสามารถเข้าถึงข้อมูลที่ไม่ได้เข้ารหัสได้อย่างอิสระ จึงเป็นสาเหตุที่อาจทำให้ผู้ไม่ประสงค์ดีสามารถเจาะเข้าเซิร์ฟเวอร์ได้อย่างรวดเร็วและเข้าถึงข้อมูลส่วนบุคคลที่ไม่ได้เข้ารหัสเหล่านั้นได้อย่างง่ายดาย

ยังไม่จบเพียงเท่านั้นยังคงมีช่องโหว่อื่นอีกด้วย เช่น การไม่ได้เข้ารหัสบนแอพพลิเคชั่นมือถือ ซึ่งหมายความว่าข้อมูลส่วนบุคคลเหล่านั้นไม่ได้ถูกเข้ารหัสและถูกเก็บไว้บนระบบของตัวมันเอง 

ดังนั้นการถ่ายโอนข้อมูลไปสู่อินเทอร์เน็ตก็ไม่ได้มีการเข้ารหัสไว้เช่นกัน และต่อให้ Equifax ได้ทำการเข้ารหัสข้อมูลแล้วก็ตาม ก็ยังคงทิ้งกุญแจสำหรับเข้ารหัสไว้ในเซิร์ฟเวอร์เดียวกันกับที่เป็นสาธารณะอีก เรียกได้ว่าไม่ได้ช่วยให้ปลอดภัยขึ้นเลยสักนิดเพราะผู้ไม่ประสงค์ดีก็ยังสามารถนำกุญแจไปใช้ถอดรหัสข้อมูลได้อยู่ดี

ย้อนไปในปี 2560 Equifax เคยทำข้อมูลรั่วไหลครั้งใหญ่ ทำให้ข้อมูลส่วนบุคคลของผู้ใช้ 148 ล้านคนหลุดออกไป ถือเป็นเหตุการณ์ข้อมูลรั่วไหลครั้งใหญ่เลยทีเดียว ซึ่งในเดือนก.ค.ที่ผ่านมา Equifax ที่กำลังมีคดีความกับหน่วยงานอิสระ Federal Trade Commission ยินยอมที่จะจ่ายค่าชดเชยให้กับผู้เสียหายเป็นจำนวนเงินราว 330 ล้านถึง 425 ล้านดอลลาร์

การดูแลรักษาความปลอดภัยทางไซเบอร์เป็นพันธกิจที่บริษัทต้องปฏิบัติอย่างต่อเนื่อง แม้จะเคยเกิดเหตุการณ์ขึ้นแล้วก็ใช่ว่าในอนาคตจะไม่มีเหตุการณ์อื่นใดซ้ำรอยอีก ฝ่ายตรวจสอบหรือฝ่ายไอทีของบริษัทมีหน้าที่ที่ต้องคอยอัพเดทข้อมูล ข่าวสาร รวมทั้งวางรูปแบบโครงสร้างการรักษาความปลอดภัยไซเบอร์ที่จะช่วยให้บริษัทสามารถอยู่รอดปลอดภัยอย่างสม่ำเสมอ

สำหรับกรณีของ Equifax ซึ่งเป็นบริษัทยักษ์ใหญ่มีมูลค่าสูงก็ยังไม่แคล้วเกิดช่องโหว่ในการรักษาความปลอดภัย หากเป็นบริษัทที่มีขนาดเล็กกว่าก็ถือว่าน่าเป็นห่วงเช่นกัน

ในส่วนของประเทศไทยเราก็จะได้เห็นถึงพระราชบัญญัติที่ออกมาในช่วงที่ผ่านมานี้ มีเนื้อหาสำคัญที่เกี่ยวข้องกับการรักษาความปลอดภัยทางไซเบอร์ รวมไปถึงการรักษาข้อมูลส่วนบุคคล ซึ่งแสดงให้เห็นชัดเจนว่าเรื่องนี้เป็นเรื่องสำคัญที่ประชาชนชาวไทยควรตระหนักและตื่นตัวที่จะก้าวให้ทันโลกไซเบอร์

ผมได้แต่หวังว่าความผิดพลาดที่เราได้เรียนรู้จากหลากกรณีที่เกิดขึ้นในต่างประเทศ จะช่วยให้คนไทยอย่างเราเรียนรู้และสามารถปกป้องบริษัท รวมถึงข้อมูลส่วนบุคคลของตนเองให้พ้นจากภัยคุกคามทางไซเบอร์รูปแบบต่างๆ ครับ