เว็บไซต์สำนักข่าวเอ็กเพลส www.express.co.uk ของประเทศอังกฤษ ได้รายงานเมื่อวันที่ 6 มีนาคม 2560 เรื่อง บัญชีอีเมล์ Gmail และ Yahoo กว่าหนึ่งล้านบัญชีถูกขโมยเพื่อการซื้อขายในเว็บมืด โดยแฮกเกอร์ที่ใช้ชื่อว่า “SunTzu583” เป็นผู้เสนอขายข้อมูล ที่ประกอบด้วย ชื่อผู้ใช้ (user name) บัญชีอีเมล์ (email address) และรหัสผ่าน (password) ที่ได้รับการถอดรหัสข้อมูลให้อยู่ในรูปแบบของข้อความธรรมดาแล้ว ในจำนวนนี้เป็นบัญชีอีเมล์ของ Yahoo 100,000 บัญชี ที่รั่วไหลมาจาก Last.fm ในปี 2555 นอกจากนั้น Yahoo ยังมีบัญชีรั่วไหลอีกกว่า 145,000 บัญชี ซึ่งมาจาก Adobe ในเดือนตุลาคม ปี 2556 และ MySpace ในปี 2551
เว็บไซต์ HackRead กล่าวว่า บัญชีอีเมล์ของ Gmail ที่ถูกขโมย จำนวน 500,000 บัญชี ได้รั่วไหลมาจาก Bitcoin Security Forum ในปี 2557 ,Tumblr ในปี 2556 และ MySpace ในปี 2551 และบัญชีที่ถูกละเมิดอีกกว่า 450,000 บัญชีของ Gmail มีการนำเสนอขายผ่านเว็บไซต์ ซึ่งเป็นข้อมูลที่ถูกขโมยมาระหว่างปี 2553 ถึงปี 2559 จาก Dropbox, Adobe และแหล่งอื่นๆ
นายลี มันสัน (Lee Munson) ผู้วิจัยด้านการรักษาความปลอดภัยของ Comparitech.com ได้ตั้งข้อสังเกตว่า “หลังจากเกิดเหตุละเมิดข้อมูลในปีที่ผ่านๆ มา ผู้ที่ถูกขโมยข้อมูลส่วนตัวมีปฏิกิริยาตอบโต้ที่เหมาะสม ซึ่งไม่น่าเป็นสาเหตุให้น่ากังวล แต่คนอีกจำนวนมากอยู่ในความเสี่ยง เพราะเขามักไม่เปลี่ยนรหัสผ่าน และยังนำรหัสผ่านเดียวกันไปใช้ในบัญชีอื่นอีกหลายบัญชี” นอกจากนี้นายมันสันยังกระตุ้นให้ผู้ใช้ตรวจสอบข้อมูลบัญชีที่ถูกละเมิดของตนเองได้ ในเว็บไซต์ haveibeenpwned.com
ข้อพิจารณา
- จากเนื้อหาข่าวพบว่า บัญชีอีเมล์ที่รั่วไหลนั้นไม่ได้มาจากผู้ให้บริการอีเมล์ (email client) แต่มาจากช่องโหว่ในการรักษาความปลอดภัยของเว็บไซต์บริษัทชั้นนำ เช่น Adobe, MySpace, Dropbox ฯลฯ โดยแบ่งลักษณะของการละเมิดได้เป็น 2 กรณี กรณีแรก แฮกเกอร์ทำการเจาะข้อมูลจากฐานข้อมูลของบริษัทฯ โดยตรง อย่างเช่น Adobe มีเงื่อนไขให้ทำการลงทะเบียนเป็นสมาชิกบนเว็บไซต์ก่อนการใช้บริการ เพื่อป้องกันไม่ให้ผู้ใช้บริการติดตั้งโปรแกรมละเมิดลิขสิทธิ์ ซึ่งข้อมูลของลูกค้าทั้งหมดจะถูกเก็บไว้บนฐานข้อมูลออนไลน์ ในทางกลับกันก็เป็นช่องทางให้แฮกเกอร์เจาะเข้าสู่ระบบได้ง่ายขึ้น กรณีที่สอง แฮกเกอร์สร้างโปรแกรมประสงค์ร้าย (malware) ขึ้นมา โดยแทรกเข้าไปในโปรแกรมของบริษัทที่มีช่องโหว่ เมื่อโปรแกรมประสงค์ร้ายถูกติดตั้งเข้าไปยังเครื่องคอมพิวเตอร์ของผู้ใช้ แฮกเกอร์สามารถดึงข้อมูลของผู้ใช้ออกมาได้ ทั้งสองกรณีนี้เป็นการขโมยข้อมูลของผู้ใช้ได้เป็นจำนวนมาก
- ข้อมูลบัญชีอีเมล์ที่ถูกเสนอขายผ่านทางเว็บไซต์นั้นไม่ใช่ข้อมูลทั้งหมดที่แฮกเกอร์ขโมยมาได้ เพราะบริษัท Yahoo ได้แถลงการณ์เมื่อวันที่ 22 ก.ย.2559 ว่า ข้อมูลที่หลุดออกไปประกอบด้วยชื่อ อีเมล์ หมายเลขโทรศัพท์ วันเกิด ค่าแฮชของรหัสผ่าน (เป็นแบบ bcrypt) รวมถึงในบางรายมีข้อมูลคำถามคำตอบสำหรับกู้คืนรหัสผ่านหลุดออกไปด้วย
- ปัจจุบันการทำธุรกรรมออนไลน์ เช่น การซื้อขายสินค้าผ่านเว็บไซต์เป็นที่นิยมมาก เนื่องจากความรวดเร็วและความสะดวกสบาย บริษัทผู้ขายหลายรายกำหนดให้ลูกค้าสมัครเป็นสมาชิกของเว็บไซต์ก่อนการรับบริการ โดยผู้ใช้ต้องกรอกข้อมูลส่วนบุคคล พร้อมทั้งยืนยันตัวบุคคลผ่านทางอีเมล์หรือโทรศัพท์ ข้อมูลส่วนบุคคลเหล่านั้นจะถูกเก็บบนฐานข้อมูลของบริษัท หากเป็นบริษัทที่ไม่มีการรักษาความปลอดภัยระบบสารสนเทศที่ดีเพียงพอ มีความเสี่ยงสูงที่ข้อมูลส่วนบุคคลจะถูกละเมิดหรือรั่วไหล แม้ในประเทศไทยยังไม่ปรากฏผู้เสียหายจากการซื้อ-ขายบัญชีอีเมล์ผ่านทางเว็บไซต์มืด แต่ก็ยังพบว่าบางบริษัทขายข้อมูลส่วนบุคคลที่ได้จากการลงทะเบียนสมาชิกให้กับบริษัทขายตรง
- ข้อแนะนำสำหรับผู้ใช้บริการอีเมล์และการลงทะเบียนสมาชิกเว็บไซต์
4.1 ขั้นตอนการลงทะเบียน ควรเปิดใช้งานการยืนยันตัวตนแบบสองขั้นตอน (2 step verification) ซึ่งใช้การกรอกหมายเลขโทรศัพท์ เพื่อรับรหัสสำหรับใช้ล็อกอินผ่านทาง SMS เป็นการป้องกันการถูกแฮกเกอร์ลักลอบเข้าถึงบัญชี
4.2 ตั้งรหัสผ่านที่ทำให้คาดเดาได้ยาก โดยรหัสผ่านควรมีทั้งตัวอักษรพิมพ์เล็ก พิมพ์ใหญ่ และตัวเลข และควรเปลี่ยนรหัสผ่านเป็นประจำอย่างน้อยปีละ 1 ครั้ง
4.3 ไม่ควรตั้งรหัสผ่านที่เป็นรหัสเดียวกัน เพราะจะทำให้แฮกเกอร์สามารถเข้าถึงการทำธุรกรรมออนไลน์ได้ทั้งหมด
4.4 ไม่เปิดสิ่งที่แนบมากับอีเมล์ที่ไม่รู้จัก หรือจากแหล่งที่ไม่คุ้นเคย
4.5 หลีกเลี่ยงการใช้งานจากเครื่องคอมพิวเตอร์ หรือสัญญาณไวไฟ (WiFi) สาธารณะ เมื่อต้องเข้าสู่ระบบโดยใช้รหัสผ่าน หรือการลงทะเบียนใดๆ
4.6 เลือกลงทะเบียน สมัครสมาชิก ดาวน์โหลด หรือติดตั้งโปรแกรม/แอปพลิเคชัน เฉพาะผู้ให้บริการที่มีความน่าเชื่อถือ และไว้ใจเท่านั้น
4.7 ใช้อีเมล์ของรัฐ (MailGoThai) ในการรับ-ส่งข้อมูลข่าวสารทางราชการ แทนการใช้อีเมล์สาธารณะ และแยกการใช้งานอีเมล์ส่วนตัวออกจากกัน “กรณีผู้ใช้บริการเป็นเจ้าหน้าที่ของรัฐควรใช้ระบบจดหมายอิเล็กทรอนิกส์กลางเพื่อการสื่อสารของหน่วยงานภาครัฐ MailGoThai ในการรับส่ง”
