สัปดาห์ที่ผ่านมา New York Times กระพือข่าวการโจรกรรมข้อมูลรหัสผ่านกว่า 1,200 พันล้านแอคเคาท์ทั่วโลกโดยแก๊งอาชญากรไซเบอร์ของรัสเซีย ซึ่งตามข่าวระบุว่าใช้เวลาตามสืบเรื่องนี้อยู่นานถึง 18 เดือนโดย Hold Security บริษัทที่ให้บริการด้านความปลอดภัยบนอินเทอร์เน็ตในสหรัฐฯ แต่ประเด็นนี้ก็ยังเป็นที่ถกเถียงกันในหมู่ผู้เชี่ยวชาญด้านความปลอดภัยว่ามันเป็นเรื่องจริงหรือไม่ และถ้ามันเป็นเรื่องจริง แล้วมันสำคัญยังไงล่ะ?
โอเค ถึงเราจะทำเป็นลืมๆ ไปว่ารัสเซียกับอเมริกาเคยขัดแข้งขัดขากันมาหลายครั้ง แต่บทความจาก Mashable ก็ออกมาตั้งคำถามในหลายๆ ประเด็นเกี่ยวกับข่าวนี้
ประเด็นเกี่ยวกับบริษัท Hold Security
คำถามที่ว่าทำไม Hold Security จึงออกมาเปิดเผยข้อมูลนี้ ตอบได้ไม่ยากนัก เพราะทันทีที่ข่าวนี้ออกสู่สาธารณชน ผู้ใช้งานทั่วไป โดยเฉพาะอย่างยิ่งผู้ให้บริการ Web Service ย่อมตื่นตัวและอยากตรวจสอบว่าข้อมูลของตนเองถูกโจรกรรมไปด้วยหรือไม่ แน่นอนว่าต้องไปใช้บริการจาก Hold Security โดยมีค่าใช้จ่ายอยู่ที่ 120 เหรียญสหรัฐฯ หรือเกือบๆ 4000 บาทต่อปี
อย่าลืมว่าการใช้ภัยคุกคามบนโลกไซเบอร์มาเป็นตัวกระตุ้นให้เกิดความต้องการซื้อสินค้าและบริการของตนเองเป็นสิ่งที่บริษัทประเภทนี้ทำมาโดยตลอดอยู่แล้ว
ข้อสงสัยประการแรกคือ Hold Security ไม่ใช่บริษัทที่เป็นที่รู้จักมากนัก นักวิจัยหลายๆ คนที่ทำงานใน Milwaukee (เมืองที่ตั้งของบริษัท) ก็ยังไม่เคยได้ยินชื่อบริษัทนี้ด้วยซ้ำ หรือแม้แต่ชื่อผู้ก่อตั้งบริษัท Alex Holden
และที่น่าประหลาดใจยิ่งกว่านั้น Bruce Schneier กูรูด้านความปลอดภัยเขียนไว้ในบล็อกส่วนตัวว่า บริษัทนี้ไม่เคยมี Official Website ของตัวเองเลยด้วยซ้ำ จนกระทั่งวันที่มีข่าวนี้ ประเด็นนี้มันอาจจะไม่น่าสนใจเท่าไรนัก ถ้าไม่คิดว่าบริษัทที่ออกมาแฉการโจรกรรมใหญ่ๆ ระดับนี้เพิ่งจะโผล่มาให้โลกรู้จักได้เพียง 2 วันเท่านั้น
แต่ก็ไม่ใช่ว่าผู้เชี่ยวชาญทุกคนจะออกมาสงสัยเรื่องนี้หรอกนะ ยังมี Brian Krebs ผู้คร่ำหวอดในวงการสื่อไอทีที่ออกมารับรองข่าวนี้ อันที่จริงต้องบอกว่าการสำรวจของ Holden (เจ้าของ Hold Security) ถูกนำมาอ้างอิงในสกู๊ปข่าวหลายๆ ชิ้นของ Krebs รวมทั้งเรื่องการขโมยพาสเวิร์ดของ Adobe ด้วย (Krebs เคยออกมากระพือข่าวนี้ไปแล้วรอบนึง)
ถ้าไม่ติดว่า Krebs ได้รับการแต่งตั้งให้เป็น Trusted advisor ของ Hold Security ละก็…ประเด็นนี้คงน่าเชื่อถืออยู่บ้าง
ประเด็นเกี่ยวกับการตรวจสอบข้อมูล
พักประเด็นความน่าเชื่อถือของตัวบริษัทไว้ก่อน มีอีกประเด็นที่ฟังดูแปลกประหลาดไม่น้อยไปกว่ากัน ตามที่ Graham Cluley นักวิจัยอิสระด้านความปลอดภัย ออกมาบอกว่า “มันมีบางอย่างผิดปกติ” ข่าวการโจรกรรมข้อมูลนี้อาจทำให้บริษัททำเงินได้มากขึ้น และที่เลวร้ายกว่านั้นคือตัวบริษัทเองนั่นแหละที่อาจจะพยายามขโมยข้อมูลของผู้ใช้งาน
จากการรายงานข่าวนี้ ไม่มีการเปิดเผยว่ารหัสทั้ง 1.2 พันล้านที่ถูกขโมยนั้นเป็นของใครและที่ไหนบ้าง หากผู้ใช้งานต้องการตรวจสอบข้อมูล ก็ต้องเข้าไปใช้บริการของ Hold Security ซึ่ง Cluley อธิบายว่าผู้ใช้งานจะต้องสมัครใช้บริการที่มีชื่อว่า Consumer Hold Identity Protection Service (CHIPS) ซึ่งคล้ายๆ กับบริการมอร์นิเตอร์ความปลอดภัยของข้อมูลสมาชิก และที่แปลกประหลาดคือระบบจะขอให้ผู้ใช้งานกรอกพาสเวิร์ดที่ใช้กับอีเมลนั้นๆ ด้วย
ทั้งๆ ที่ Hold Security ออกมาอ้างว่าจะไม่ขอให้ผู้ใช้งานบอกรหัสผ่าน แต่แบบฟอร์มสำหรับการขอเช็คข้อมูลกลับบังคับให้ต้องกรอกพาสเวิร์ด…เอ๊ะ ยังไง
และถึงแม้ว่าข่าวนี้จะเป็นเรื่องจริง มันอาจจะไม่ใช่เรื่องสำคัญก็ได้
จากบทความของ The Verge ระบุว่ามีความเป็นไปได้ที่รหัสผ่านจะถูกขโมย แต่จำนวนที่ดูมากขนาดนั้นก็ไม่ได้สะท้อนว่ามันเป็นข้อมูลที่มีความสำคัญแต่อย่างใด ข้อมูลที่บอกไว้ในข่าวก็ไม่ได้ระบุว่าการโจรกรรมข้อมูลถึง 1.2 พันล้านแอคเคาท์นี้นับจากการโจรกรรมเพียงครั้งเดียวหรือหลายๆ ครั้ง เพราะทาง Hold Security เองก็ระบุว่ากลุ่มอาชญากรไซเบอร์นี้นำข้อมูลมาจากแฮ็กเกอร์กลุ่มอื่นๆ ด้วย ซึ่งถ้าเป็นแบบนั้นจริง ความน่าสนใจของข่าวนี้ก็จะลดลงไปโดยปริยาย เพราะมีความเป็นไปได้ว่าพาสเวิร์ดจริงๆ ที่ถูกขโมยนั้นมีน้อยมาก ส่วนที่เหลือคือแอคเคาท์กับพาสเวิร์ดที่ไม่มีคนใช้มานานแล้ว
ต้องแยกให้ออกเรื่องปริมาณของพาสเวิร์ดกับคุณค่าของมัน ยกตัวอย่างเช่น ข้อมูลผู้ใช้งานตาม web forum ต่างๆ หรือ MySpace ย่อมมีคุณค่าต่างจากข้อมูลผู้ใช้งานใน Facebook กล่าวโดยสรุปคือ ท้ายที่สุดแล้วตัวเลข 1.2 พันล้านนั้นอาจจะไม่มีความสำคัญอะไรเลยก็ได้
สมมุติว่าข้อมูลทั้ง 1.2 พันล้านที่ถูกขโมยจะเป็นของใหม่ทั้งหมด และบางส่วนอาจจะเป็นข้อมูลที่มีคุณค่า มันก็ยังไม่ใช่เรื่องสำคัญอยู่ดีนั่นแหละ Bruce Schneier สรุปไว้ว่า “จากข่าวนี้ เราไม่ได้เห็นการโจรกรรมครั้งที่ใหญ่ที่สุด เราไม่ได้เห็นการไฮแจ็คข้อมูลผู้ใช้งาน แก๊งรัสเซียที่ว่านี้อาจจะมีพาสเวิร์ด 1.2 พันล้านแอคเคาท์มานานแล้วก็ได้ และทุกอย่างก็ยังดูเป็นปกติดีไม่ใช่เหรอ?”
แทนที่จะตั้งความหวังว่าข้อมูลของคุณจะไม่ถูกแฮ็ค ก็คิดไปเลยว่ามันอาจจะเกิดขึ้นก็ได้ แต่คุณก็ควรทำในสิ่งที่ต้องทำเพื่อลดความเป็นไปได้ที่มันจะเกิดขึ้น ด้วยการใช้ระบบป้องกันที่มีอยู่ รวมไปถึงใช้พาสเวิร์ดที่เดาได้ยาก หรือใช้ two-factor authentication และหลีกเลี่ยงการใช้พาสเวิร์ดเดียวกันในอีเมลที่เชื่อมโยงไปยังแอคเคาท์อื่นๆ เช่น Facebook หรือ Twitter
Bruce กล่าวว่า “ยังมีข้อสงสัยอีกมากเกี่ยวกับแก๊งอาชญากรไซเบอร์รายนี้ ความเป็นไปได้ที่มันจะเป็นเรื่องจริงนั้นมีน้อยมาก แต่ถ้าพูดเรื่องความปลอดภัยของข้อมูลบนโลกไซเบอร์แล้วล่ะก็ บอกได้เลยว่ามันไม่ปลอดภัยหรอก แต่มันก็โอเค”
สำหรับข่าวนี้ยังต้องตามกันต่ออีกมาก ถ้าเป็นเมืองไทยละก็…นักสืบตามเว็บบอร์ดคงทำงานสนุกเลยทีเดียว