โกลาหลไปทั่วโลก หลังพบไฟล์รหัสผ่านอีเมล์ถึง 773 ล้านบัญชี ขนาดกว่า 87GB ถูกซื้อขายในเว็บบอร์ดแห่งหนึ่ง ล่าสุดมีเว็บให้ตรวจเช็คแล้วว่า อีเมล์ของเราโดนด้วยหรือไม่
ช่วงนี้หลายคนคงได้ยินข่าว ‘อีเมล์ 773 ล้านบัญชี ถูกแฮก’ พร้อมกับ ‘สามารถเช็คได้ว่าโดนหรือไม่โดนได้ที่เว็บ haveibeenpwned.com’ เดี่ยวมาไล่ดูกันครับว่า
เกิดอะไรขึ้น ?
เมื่อวันที่ 17 มกราคม เว็บไซต์ troyhunt.com ได้เผยว่า พบไฟล์ข้อมูลขนาดใหญ่ถึง 87GB โดยมีชื่อว่า Collection #1 ซึ่งภายในมีรายชื่อเว็บไซต์ต่าง ๆ ในรูปแบบ .txt (เปิดด้วย Notepad นั้นแล) ซึ่งดูเหมือนไม่มีอะไร แต่ทางเว็บเผยว่า เมื่อลองคลิกตัวไฟล์ดังกล่าว กลับพบชื่ออีเมล์กับรหัส พร้อม Username หรือ User ID เป็นหมื่น ๆ รายชื่อ โดยมีไฟล์ทั้งหมดนี้ถึง 12,000 ไฟล์ จาก 2,000 แหล่ง ลองรวมรายชื่ออีเมล์กับรหัสผ่านได้เป็นจำนวน 773 ล้านบัญชี ข่าวร้ายคือ รายชื่อทั้งหมดนี้ถูกนำไปขายในเว็บบอร์ดแห่งหนึ่ง ที่อุดมไปด้วยเหล่าผู้ไม่หวังดี (หรือ ‘แครกเกอร์’ นั้นเอง) เท่ากับว่ามีอีเมล์ถึง 773 ล้านบัญชีทั่วโลก ถูกแฮกรหัสผ่านแล้วเรียบร้อย !!
แล้วทำไมรหัสผ่านอีเมล์ถึงหลุดออกไปได้ ?
สาเหตุก็มาจากเหล่าเว็บไซต์ในที่นี้เอง ซึ่งบ้างก็เป็นเว็บบอร์ด เว็บขายของออนไลน์ หรือเว็บอะไรก็ตามที่หากต้องการใช้บริการ ต้องทำการสมัครชื่อผู้ใช้งานก่อน แน่นอนว่าแทบทุกเว็บ ต้องใช้ชื่ออีเมล์ของเราในการสมัคร ส่วนรหัสผ่าน เพื่อให้จำง่าย ๆ ก็ใช้รหัสผ่านเดียวกับที่ใช้ในอีเมล์ของเราซะเลย ผลคือเราได้ฝากชื่ออีเมล์พร้อมรหัสผ่านในเว็บไซต์เหล่านั้น ความซวยคือ เว็บเหล่านี้ส่วนมากระบบความปลอดภัยจะไม่ค่อยแข็งแรงมากนัก จึงถูกเจาะได้ง่าย…
มีวิธีเช็คอย่างไร
สำหรับเว็บไซต์ troyhunt.com ก็เป็นของนาย Troy Hunt ผู้เชี่ยวชาญด้านระบบความปลอดภัยและ Cloud ทั้งยังเป็น Microsoft Regional Director (ดูประวัติได้ที่นี่) กับ MVP (รางวัลบุคคลทรงค่าจาก Microsoft) ด้วย โดยตัว Troy ได้จัดทำเว็บ https://haveibeenpwned.com/ เป็นเว็บหรือเครื่องมือใช้สำหรับตรวจสอบว่า ชื่ออีเมล์ของเราถูกแฮกหรือติดอยู่ในกลุ่ม 773 ล้านบัญชีหรือไม่
วิธีดูก็ง่าย ๆ เลย ให้กรอกชื่ออีเมล์ของเราในช่อง pwned? หากผลออกมาเป็น “Good news — no pwnage found!” ก็แสดงว่าไม่โดน แต่ถ้าเป็น “Oh no, pwned” ก็ไปเปลี่ยนรหัสผ่านของอีเมล์ที่กรอกด่วน ๆ เลยครับ เพื่อความปลอดภัย
เชื่อถือได้ไหม ?
อาจมีบางท่าน ลองสุ่มกรอกตัวอักษรลงไปมั่ว ๆ ก็ยังพบคำว่า “Oh no, pwned” อาจทำให้เกิดคำถามว่า เว็บตรวจนี้เชื่อถือได้หรือไม่ ? อย่างแรก จุดนี้เชื่อว่าอาจเป็นเพราะคำดังกล่าว ดันไปตรงกับชื่อข้อมูลใน Collection #1 ก็เป็นได้ครับ
และอย่างที่สอง นาย Troy Hunt ที่เป็นคนสร้างเว็บนี้เอง ก็เป็นหนึ่งในเหล่า Microsoft Regional Director และยังมีตรา MVP ประดับตัว ความน่าเชื่อถือคงไม่ต้องสืบ ทั้งนี้ตัวเว็บเอง ก็มีให้กรอกเฉพาะชื่ออีเมล์เท่านั้น ไม่ได้มีช่องให้กรอกรหัสแต่อย่างใด
สุดท้ายนี้ ไม่ว่าเราจะโดนหรือไม่โดนก็ตาม สิ่งที่ควรทำทุกครั้งเวลาสมัครใช้บริการอีเมล์หรือชื่อเข้าระบบต่าง ๆ 1 ตั้งรหัสผ่านให้ยาก ๆ เข้าไว้ 2 อย่าใช้รหัสผ่านอันเดียวกันทุกเว็บ (โดยเฉพาะรหัสอีเมล์) และ 3 ถ้าเขามี ‘การยืนยันตัวตน 2 ชั้น’ หรือ Two Factor Authentication ควรใช้เป็นอย่างยิ่ง โดยเฉพาะใครที่ใช้ Gmail หรือ Facebook ลองไปตรวจเช็คกันก่อนเลยครับ ลองดูรายละเอียดเพิ่มเติมได้ที่ Facebook โดนแฮก บัญชีถูกสวมรอย มาดูวิธีรับมือและแก้ไขกัน
ที่มา : Techspot
