จากกระทู้
ผมกำลังโดน Hecker heck มือถือ iphone !! ผมได้เคยให้ข้อเสนอแนะให้เจ้าของกระทู้ดังกล่าวลองนำอีเมลไปตรวจสอบดูว่าอีเมลรั่วไหลมาจากที่ไหน อย่างไร เพราะเจ้าของกระทู้อ้างว่าคนที่ส่งอีเมลเข้ามาในระบบรู้รหัสผ่านเก่าในอีเมลนั้น หลังจากลองค้นหาข้อมูล ยังไม่พบว่ามีคนพูดถึงเว็บไซต์ Have I Been Pwned เท่าที่ควร เลยนำเว็บไซต์นี้มานำเสนอครับ
เชื่อว่าหลายคนน่าจะเคยเห็นข่าวที่ว่าข้อมูลรั่วจากหน่วยงานไม่ว่าของราชการหรือเอกชนในประเทศไทย ไม่ว่าจะเป็นเพราะความปลอดภัยของข้อมูลไม่ดีพอจนทำให้มีการเจาะระบบได้ หรือมีการเอาข้อมูลไปขายต่อโดยบุคลากรภายในก็ตาม ในหลายกรณี Hacker สามารถเจาะเข้าไปในระบบรักษาความปลอดภัยของข้อมูลแล้วขโมยข้อมูลออกมา แล้ว Blackmail ให้ผู้ที่ถูกขโมยข้อมูลจ่ายค่าดำเนินการเพื่อแลกกับการไม่เปิดเผยข้อมูล (กระนั้นก็ดี ก็ไม่ได้หมายความว่าจ่ายเงินไปแล้ว Hacker จะทำตามที่พูดจริง) ผู้ที่ถูกขโมยข้อมูลส่วนใหญ่มักจะไม่ยอมจ่ายเงินจำนวนนี้ Hacker เลยนำข้อมูลดังกล่าวมาเปิดเผยหรือขายต่อให้กับกลุ่มมิจฉาชีพ ซึ่งทำให้แทนที่จะมีมิจฉาชีพเพียงกลุ่มเดียว ก็อาจมีมิจฉาชีพหลาย ๆ กลุ่มที่ระดมหลอกเหยื่อที่ถูกขโมยข้อมูลไปซ้ำแล้วซ้ำเล่า
แม้ว่าปัจจุบันในประเทศไทยจะยังไม่มีระบบที่สามารถตรวจสอบการรั่วไหลของข้อมูลได้ แต่ในต่างประเทศ มีนักวิจัยด้านความปลอดภัยไซเบอร์ชื่อ Troy Hunt ได้ศึกษาข้อมูลที่รั่วไหลออกมาแล้วพบว่า น่าจะเป็นการดีที่จะสามารถแจ้งเตือนประชาชนที่ข้อมูลอาจรั่วไหลได้ และได้สร้างเว็บไซต์ชื่อ Have I Been Pwned ขึ้นมาเพื่อให้ประชาชนสามารถตรวจสอบได้ว่าข้อมูลของตนเองรั่วไหลหรือเปล่าในปี 2013 โดยในปัจจุบันนี้ HIBP เก็บข้อมูลของเว็บไซต์ที่ข้อมูลรั่วไหลไปกว่า 700 เว็บไซต์ คิดเป็นบัญชีที่รั่วไหลไปกว่า 13,000 ล้านบัญชี
หน้าเว็บของ
https://haveibeenpwned.com มีส่วนหลัก ๆ อยู่สี่ส่วน หน้าแรกสุด (Home) จะเป็นช่องให้ใส่อีเมล ผู้ใช้สามารถใส่อีเมลเข้าไปเพื่อตรวจสอบว่าข้อมูลรั่วไหลมาจากที่ใดบ้างได้ ตัวอย่างของผมพบว่ามีข้อมูลรั่วไหลไปถึง 11 แห่ง แต่ละแห่งข้อมูลที่รั่วไหลไปก็จะไม่เหมือนกัน บางที่รั่วไหลไปแค่อีเมล บางที่ก็รั่วไปจนถึงชื่อผู้ใช้ (Username) และรหัสผ่าน (Password) ด้วย (หมายเหตุ: วงใน (Wongnai) ซึ่งเป็นแอปรีวิวร้านอาหารในประเทศไทย ก็มีข้อมูลอยู่ในฐานข้อมูลนี้ด้วยเนื่องจากวงในเองให้ข้อมูลส่วนที่รั่วไหลไปเก็บไว้ใน HIBP เพื่อการตรวจสอบด้วย)
ส่วนที่สองคือ Notify me ผู้ใช้สามารถกรอกอีเมลที่ต้องการรับการแจ้งเตือนเรื่องการรั่วไหลของข้อมูลได้ ส่วนที่สามคือ Who's been Pwned เป็นการสรุปรายละเอียดการรั่วไหลของข้อมูลคร่าว ๆ (ข้อมูลส่วนนี้จะแสดงเมื่อมีการตรวจแล้วเจอข้อมูลรั่วไหลตอนที่กรอกอีเมลด้วย) ส่วนที่สี่คือ Pwned Password ส่วนนี้ก็เป็นอีกส่วนหนึ่งที่น่าสนใจ เพราะเป็นการตรวจสอบรหัสผ่านกับฐานข้อมูลว่าตรงกับรหัสผ่านที่เคยมีการรั่วไหลมาก่อนหรือไม่ จากการทดสอบของผม รหัสผ่านที่ผมเคยใช้มีการรั่วไหลไปแล้วถึง 29 ครั้ง ถ้ายิ่งรั่วไหลมาก ยิ่งต้องรีบเปลี่ยนรหัสผ่านให้ปลอดภัยยิ่งขึ้นครับ
หวังว่าเว็บไซต์ HIBP (
https://haveibeenpwned.com) จะช่วยให้ทุกคนเฝ้าระวังภัยที่เกิดขึ้นจากการรั่วไหลของข้อมูล และรับมือกับภัยของมิจฉาชีพ/Hacker ที่มีอยู่ในปัจจุบันได้ไม่มากก็น้อยครับ
แนะนำเว็บไซต์ Have I Been Pwned สำหรับตรวจการรั่วไหลของอีเมล
เชื่อว่าหลายคนน่าจะเคยเห็นข่าวที่ว่าข้อมูลรั่วจากหน่วยงานไม่ว่าของราชการหรือเอกชนในประเทศไทย ไม่ว่าจะเป็นเพราะความปลอดภัยของข้อมูลไม่ดีพอจนทำให้มีการเจาะระบบได้ หรือมีการเอาข้อมูลไปขายต่อโดยบุคลากรภายในก็ตาม ในหลายกรณี Hacker สามารถเจาะเข้าไปในระบบรักษาความปลอดภัยของข้อมูลแล้วขโมยข้อมูลออกมา แล้ว Blackmail ให้ผู้ที่ถูกขโมยข้อมูลจ่ายค่าดำเนินการเพื่อแลกกับการไม่เปิดเผยข้อมูล (กระนั้นก็ดี ก็ไม่ได้หมายความว่าจ่ายเงินไปแล้ว Hacker จะทำตามที่พูดจริง) ผู้ที่ถูกขโมยข้อมูลส่วนใหญ่มักจะไม่ยอมจ่ายเงินจำนวนนี้ Hacker เลยนำข้อมูลดังกล่าวมาเปิดเผยหรือขายต่อให้กับกลุ่มมิจฉาชีพ ซึ่งทำให้แทนที่จะมีมิจฉาชีพเพียงกลุ่มเดียว ก็อาจมีมิจฉาชีพหลาย ๆ กลุ่มที่ระดมหลอกเหยื่อที่ถูกขโมยข้อมูลไปซ้ำแล้วซ้ำเล่า
แม้ว่าปัจจุบันในประเทศไทยจะยังไม่มีระบบที่สามารถตรวจสอบการรั่วไหลของข้อมูลได้ แต่ในต่างประเทศ มีนักวิจัยด้านความปลอดภัยไซเบอร์ชื่อ Troy Hunt ได้ศึกษาข้อมูลที่รั่วไหลออกมาแล้วพบว่า น่าจะเป็นการดีที่จะสามารถแจ้งเตือนประชาชนที่ข้อมูลอาจรั่วไหลได้ และได้สร้างเว็บไซต์ชื่อ Have I Been Pwned ขึ้นมาเพื่อให้ประชาชนสามารถตรวจสอบได้ว่าข้อมูลของตนเองรั่วไหลหรือเปล่าในปี 2013 โดยในปัจจุบันนี้ HIBP เก็บข้อมูลของเว็บไซต์ที่ข้อมูลรั่วไหลไปกว่า 700 เว็บไซต์ คิดเป็นบัญชีที่รั่วไหลไปกว่า 13,000 ล้านบัญชี
หน้าเว็บของ https://haveibeenpwned.com มีส่วนหลัก ๆ อยู่สี่ส่วน หน้าแรกสุด (Home) จะเป็นช่องให้ใส่อีเมล ผู้ใช้สามารถใส่อีเมลเข้าไปเพื่อตรวจสอบว่าข้อมูลรั่วไหลมาจากที่ใดบ้างได้ ตัวอย่างของผมพบว่ามีข้อมูลรั่วไหลไปถึง 11 แห่ง แต่ละแห่งข้อมูลที่รั่วไหลไปก็จะไม่เหมือนกัน บางที่รั่วไหลไปแค่อีเมล บางที่ก็รั่วไปจนถึงชื่อผู้ใช้ (Username) และรหัสผ่าน (Password) ด้วย (หมายเหตุ: วงใน (Wongnai) ซึ่งเป็นแอปรีวิวร้านอาหารในประเทศไทย ก็มีข้อมูลอยู่ในฐานข้อมูลนี้ด้วยเนื่องจากวงในเองให้ข้อมูลส่วนที่รั่วไหลไปเก็บไว้ใน HIBP เพื่อการตรวจสอบด้วย)
ส่วนที่สองคือ Notify me ผู้ใช้สามารถกรอกอีเมลที่ต้องการรับการแจ้งเตือนเรื่องการรั่วไหลของข้อมูลได้ ส่วนที่สามคือ Who's been Pwned เป็นการสรุปรายละเอียดการรั่วไหลของข้อมูลคร่าว ๆ (ข้อมูลส่วนนี้จะแสดงเมื่อมีการตรวจแล้วเจอข้อมูลรั่วไหลตอนที่กรอกอีเมลด้วย) ส่วนที่สี่คือ Pwned Password ส่วนนี้ก็เป็นอีกส่วนหนึ่งที่น่าสนใจ เพราะเป็นการตรวจสอบรหัสผ่านกับฐานข้อมูลว่าตรงกับรหัสผ่านที่เคยมีการรั่วไหลมาก่อนหรือไม่ จากการทดสอบของผม รหัสผ่านที่ผมเคยใช้มีการรั่วไหลไปแล้วถึง 29 ครั้ง ถ้ายิ่งรั่วไหลมาก ยิ่งต้องรีบเปลี่ยนรหัสผ่านให้ปลอดภัยยิ่งขึ้นครับ
หวังว่าเว็บไซต์ HIBP (https://haveibeenpwned.com) จะช่วยให้ทุกคนเฝ้าระวังภัยที่เกิดขึ้นจากการรั่วไหลของข้อมูล และรับมือกับภัยของมิจฉาชีพ/Hacker ที่มีอยู่ในปัจจุบันได้ไม่มากก็น้อยครับ