จากแก๊งโอริโอสู่ ภัยความมั่นคงไซเบอร์ เมื่อธุรกิจขนส่งยักษ์ข้อมูลรั่ว

ฉากหน้าของการก่อเหตุทำร้ายร่างกายคู่อริโดยแก๊ง “โอริโอ” มีเบื้องหลังที่ขยายผลแล้ว พบว่าเป็นอาชญากรรมไซเบอร์ระดับที่เข้าถึงข้อมูลส่วนบุคคลนับล้านคน ซึ่งหลุดรอดมาจาก “อุตสาหกรรมโลจิสติกส์” ซึ่งกำลังสะเทือนการใช้งานระบบดิจิทัล และความปลอดภัยไซเบอร์ทั้งประเทศ

พลอากาศตรี อมร ชมเชย เลขาธิการคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) เปิดเผยว่า จากการตรวจสอบแหล่งข้อมูลที่วัยรุ่นชายวัย 16 ปี ซึ่งได้ขายให้กับ “แก๊งโอริโอ” เพื่อนำไปใช้ก่อเหตุทำร้ายร่างกายคู่อรินั้น แม้เบื้องต้นระบุว่าเป็นข้อมูลปัจจุบันของชื่อ ที่อยู่ปัจจุบัน ที่ดูเหมือนว่าได้มาจากข้อมูลทะเบียนราษฎร เป็นผลให้แก๊งดังกล่าวตามหาที่อยู่ และไปดักทำร้ายคู่อริได้

เรียกได้ว่า “ค้นแค่เบอร์ ก็เจอหน้าบ้าน” ที่อยู่จริง ๆ ด้วย

แท้จริงแล้วข้อมูลดังกล่าวไม่ได้หลุดรั่วมาจากฐานข้อมูลทะเบียนราษฎร ของกระทรวงมหาดไทย แต่มาจากธุรกิจขนส่งพัสดุ ซึ่งมีช่องโหว่ในระบบอยู่ 2 ระดับคือ ในระดับการพัฒนาเว็บ และระดับการใช้งานของพนักงานในธุรกิจระบบขนส่งเอง

จากปากคำของวัยรุ่นชายที่ขายข้อมูลให้แก๊งโอริโอ พบว่ามีการสมรู้ร่วมคิดจากคนในบริษัทขนส่งดัง และพบว่าในซอร์ซโค้ดของระบบการจัดส่งพัสดุของบริษัทขนส่งนั้นมีช่องโหว่ โดยคนทั่วไปสามารถเข้าถึง API (Application Programing Interface) ของแพลตฟอร์มแล้วเข้าไปสุ่ม Username-Password ของพนักงาน เพื่อเข้าถึงข้อมูลการจัดส่งพัสดุ ซึ่งมีชื่อ เบอร์ และ “ที่อยู่จริง” ตามปลายทางของการซื้อของออนไลน์และจัดส่งถึงบ้าน

ต่างกับข้อมูลทะเบียนราษฎร ที่อาจมีที่อยู่ตามที่แจ้ง ไม่ได้เป็นที่อยู่ “จริง ๆ” ของบุคคลนั้น ๆ

สิ่งที่ค้นพบนี้ ทำให้เห็นว่ามีการรั่วไหลข้อมูลและความเสี่ยงเกี่ยวกับการเข้าถึงข้อมูลจำนวนมากโดยบุคคลที่ไม่ได้รับอนุญาต จากระบบของโลจิสติกส์ซึ่งมีขนาดใหญ่มาก ณ ปัจจุบัน ยังไม่ทราบว่ามีการเรียกใช้ API เพื่อเข้าถึงข้อมูลประชาชนไปมากเท่าไหร่แล้ว

ข้อมูลล่าสุดพบว่า ซอร์ซโค้ดของบริษัทโลจิสติกส์แห่งหนึ่ง โพสต์บนแพลตฟอร์มโอเพ่นซอร์ซสำหรับนักพัฒนาเว็บไซต์ เช่น Github, Gitlab หรือ Postman มานานกว่า 2 ปี ซึ่งระหว่างนี้อาจจะมีการเข้าถึงข้อมูลประชาชนจำนวนมากมาตั้งแต่ช่วงเวลานั้นแล้ว

ซึ่งการเผยแพร่ซอร์ซโค้ดเป็นเรื่องปกติที่นักพัฒนาหรือ Developer จะแลกเปลี่ยนการเขียนโค้ดและช่วยกันพัฒนาซอฟต์แวร์ ทว่าซอร์ซโค้ดที่เผยแพร่บนโอเพ่นซอร์ซ จะต้องปกปิดส่วนสำคัญ เช่น การเข้าถึงยูสเซอร์เนมหรือรหัสผ่านไว้ ซึ่งโค้ดของบริษัทเอกชนไทยรายดังกล่าวได้เปิดช่องโหว่ตรงนี้ไว้ด้วย

ตรงนี้เองที่ถือว่าเป็น “ภัยคุกคามความมั่นคงไซเบอร์ที่เกิดจาก Developer”

“อย่างไรก็ตาม การเผยแพร่ซอร์ซโค้ดอาจไม่ได้ตั้งใจ เพราะเราพบว่านักพัฒนาของหลายบริษัทก็อาจหลงลืม แล้วแปะซอร์ซโค้ดทั้งดุ้นลงบนโอเพ่นซอร์ซ และได้ประสานไปยังสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล หรือ สคส. ให้ดูแลเรื่องนี้ต่อไปแล้ว”

ความปลอดภัยของ API และความท้าทายใหม่

ผู้สื่อข่าวรายงานว่า การใช้ API จะทำให้นักพัฒนาเข้าถึงระบบหลังบ้านได้โดยตรง ไม่ต้องกรอกพาสเวิร์ดผ่านหน้าต่างของเว็บไซต์ ในส่วนนี้หากนักพัฒนาไม่ได้หน่วงเวลา จะทำให้ผู้ไม่ประสงค์ดีสุ่มรหัสไปเรื่อย ๆ จนสามารถเข้าสู่ระบบของบริษัทหรือรัฐบาลได้โดยตรง

แต่ API ที่ไม่ปลอดภัยอาจถูกโจมตีโดยการเข้าถึงโดยตรงโดยไม่ผ่านแอปพลิเคชั่น ซึ่งองค์กรขนาดใหญ่ หรือหน่วยงานภาครัฐมีความเสี่ยงสูง เนื่องจากระบบอาจซับซ้อน และยากต่อการตรวจสอบความปลอดภัย

โดยเฉพาะกับความประมาทของผู้ใช้งานระบบ อย่างพนักงานองค์กรนั้น ๆ ที่ถือครองยูสเซอร์เนมและรหัสผ่านเอง และมีการตั้งไว้อย่างไม่ปลอดภัย

ทั้งนี้ ขึ้นกับการพัฒนาเว็บไซต์และระบบงานข้างหลังด้วยว่ามีการป้องกันกลไกสุ่มรหัสเพื่อเรียกใช้ API หรือไม่

สิ่งที่ผู้บริหารองค์กรควรตระหนัก

การจัดการซอร์ซโค้ดของนักพัฒนาซอฟต์แวร์ รวมถึงการบริหารจัดการรหัสผ่านของพนักงานจึงเป็นเรื่องที่กำลังคุกคามความมั่นคงไซเบอร์ที่กระทบกับคนทั้งชาติ เฉพาะบริษัทเอกชนที่ถือครองข้อมูลด้านการขนส่งล้วนมีฐานข้อมูลประชากรมากกว่า 1 ล้านคน

บางครั้งผู้บริหารองค์กรอาจจะโฟกัสในการดำเนินธุรกิจ การตลาด และการเงิน ซึ่งการทำงานของเหล่านักพัฒนาซอฟต์แวร์อาจถูกมองข้ามจนไม่ได้ตรวจตราว่า “ซอร์ซโค้ด” ของบริษัทอาจถูกนำไปเผยแพร่ในที่สาธารณะ รวมถึงการทำงานหน้างานของพนักงานที่อาจหย่อนยานในการรักษา “Username-Password” เมื่อเข้าใช้งาน

ทั้งนี้ หน่วยงานและภาคเอกชนจำนวนมากยังไม่ได้ตระหนักถึงความสำคัญตรงนี้ ระบบความปลอดภัยพื้นฐานอย่างรหัสผ่านที่ผสมผสานตัวเลขและตัวอักษรหลายตัวมีความสำคัญ แต่ระบบหลังบ้านหลายแอปพลิเคชั่น หลายแพลตฟอร์มยังใช้แค่ตัวเลข เพราะสะดวกในการเข้าถึงผ่านโทรศัพท์ โดยเฉพาะเลข PIN แต่ครั้งจะทำระบบชีวมาตร (Biometric) ก็ต้องมีการลงทุนที่สูงขึ้น สร้างภาระแก่การประกอบการ

แนะรัฐ-เอกชน ปรับปรุงระบบความปลอดภัยพื้นฐาน

พลอากาศตรี อมร ชมเชย กล่าวทิ้งท้ายว่า กรณี API ของบริษัทขนส่งที่ทำให้ข้อมูลรั่วนี้ ได้มีการปิดระบบการเข้าถึงข้อมูลแล้ว แต่เพื่อไม่ให้เกิดปัญหาซ้ำรอย บริษัทขนส่งพัสดุ รวมถึงภาครัฐ และบริษัทอื่น ๆ ที่มีฐานข้อมูลประชาชน และให้พนักงานเข้าถึงเพื่อปฏิบัติงานได้ จึงควรเร่งแก้ไขวิธีการเข้าถึงข้อมูลที่จำเป็น รวมถึงการเฝ้าระวังการเข้าถึงข้อมูลที่ผิดปกติ ซึ่งไม่จำเป็นต้องลงทุนอะไรมาก สามารถจัดการได้จากส่วนกลางของระบบ ไม่เดือดร้อนหน่วยงาน หรือหน้าร้านที่มีสาขาทั่วประเทศ

โดยแนะนำวิธีการดังนี้

1. ระบบพาสเวิร์ด ต้องคาดเดายาก
   แน่นอนว่าการผสมตัวอักษรและตัวเลขเป็นพื้นฐานที่เราคุ้นชิน แต่ด้วยการทำงานกับสมาร์ทโฟน อย่างพนักงานขนส่งต้องออกไปหน้างาน จำเป็นต้องใช้รหัสที่พิมพ์ด้วยมือเดียวอย่างตัวเลข หรือ PIN ก็ควรมีกลไกตรวจสอบการป้อนรหัสผ่าน หากผิดหลายครั้ง ควรหน่วงเวลา หรือระงับใช้ชั่วคราว
2. หลีกเลี่ยงการฝังยูสเซอร์เนม พาสเวิร์ดบนซอร์ซโค้ด รวมถึงโค้ดพื้นฐานอย่าง API key, Token, Secret key
3. หลีกเลี่ยงการเปิดเผยซอร์ซโค้ด บนแพลตฟอร์มที่เข้าถึงได้โดยสาธารณะ เช่น Github, Gitlab, Postman, Colab แม้ว่าจะเป็นวัฒนธรรมของนักพัฒนาที่จะต้องแบ่งวิธีการทำงาน การแก้ไขโค้ดร่วมกันก็ต้องพึงระวัง หากจำเป็นต้องปกปิดการฝังโค้ดพื้นฐานลงบนซอร์ซโค้ดที่เผยแพร่
4. จำกัดเวลา Session Token, Session Cookie ให้มีระยะเวลาที่เหมาะสม
   เช่น เมื่อเราเข้าสู่ระบบจากอุปกรณ์หนึ่งนานเกิน 15-30 นาที ให้บังคับออกแล้วเข้ารหัสใหม่ หรือทุกการเปลี่ยนอุปกรณ์ให้มีการเข้าสู่ระบบใหม่เสมอ
5. กำหนดให้มีการเข้ารหัสในการเรียกใช้ API เพื่อป้องกันการดักจับข้อมูล
6. กำหนดให้มีกลไกในการตรวจสอบ ว่าใครเข้าถึงข้อมูลของประชาชนได้บ้าง (Log การใช้งาน) ไม่ใช่ว่าพนักงานทุกระดับที่มีรหัสผ่าน ล้วนสามารถเข้าถึงฐานข้อมูลทั้งหมดขององค์กรได้
7. กำหนดให้มีกลไกในการตรวจสอบการเข้าถึงข้อมูลจากผู้ใช้งานบุคคลเดียวกัน
   เมื่อถูกเรียกใช้งานจำนวนมากในระยะสั้น หรือการล็อกอินจากคนละพื้นที่ เช่น หน้าร้านอยู่ขอนแก่น แต่เข้ารหัสที่นราธิวาสในวันเดียวกัน มันเป็นไปไม่ได้ กลไกการตรวจสอบเหล่านี้ แสดงว่าต้องมีความผิดปกติและอาจตกเป็นเครื่องมือของมิจฉาชีพในการแฮ็กเข้าไปค้นหาที่อยู่ ซึ่งส่วนกลางก็ต้องมีการแจ้งเตือน ตรวจสอบ และมีการกำหนดข้อจำกัดในการค้นหาที่อยู่ ที่สำคัญคือต้องกำชับเรื่องการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล