773 ล้าน account ถูกเปิดเผย ทำยังไงดี

เมื่อ 2-3 วันก่อนมีการเปิดเผยจากเว็บไซด์ haveibeenpwned ของ Troy Hunt เซเลปในโลก security ชื่อดังว่าได้ไปซื้อข้อมูลในเว็บไซด์ private แห่งหนึ่งในราคา 40$ แล้วได้ข้อมูลมาประมาณ 87GB ซึ่งมีข้อมูลของ user ที่ถูกแฮ็คจากเว็บไซด์มาจำนวนมากรวมทั้งสิ้นประมาณ​  1,160,253,228 account และ password โดยเป็น email ที่ไม่ซ้ำกันเลยประมาณ 772,904,991 email และ password ที่ไม่ซ้ำกันเลยประมาณ 21,222,975 password โดยฐานข้อมูลนี้ถูกตั้งชื่อว่า “Collection#1” ซึ่งเหตุการณ์แบบนี้นั้นมันเกิดมา อย่างต่อเนื่องในหลายๆปีที่ผ่านมา ไม่ได้เป็นเรื่องใหม่แต่อย่างใด ประเด็นคือเราจะทำยังไงกับเหตุการณ์แบบนี้

วิธีการตรวจสอบว่าเป็นหนึ่งใน Collection#1 หรือไม่

เราสามารถตรวจสอบได้ว่าเราเป็น 1 ใน email, user ที่อยู่ใน Collection#1 หรือไม่ ให้เข้าไปที่ https://haveibeenpwned.com/ จากนั้นใส่ email address ของเรา หากว่าได้ผลออกมาเป็น

• Oh no, pwned แสดงว่าเสียใจด้วย คุณเป็นหนึ่งในคนที่ข้อมูลหลุด แนะนำให้เข้าไปเปลี่ยน password ของเว็บไซด์ทุกๆเว็บไซด์ที่มันแจ้งขึ้นมาว่าข้อมูลของเราถูกหลุดออกมาจากเหตุการณ์แฮ็คอันไหน และอย่าลืมไปเปลี่ยน password ในทุกเว็บไซด์ที่ใช้ email และ password เดียวกันด้วยนะครับ เผื่อ email, password ที่หลุดไปนั้นจะถูกนำไปลอง login เข้าเว็บไซด์อื่นๆครับ

• Good news — no pwnage found! ยินดีด้วยแสดงว่า email ของคุณไม่เคยหลุดจากเว็บไซด์ไหนเลย แต่ก็อย่างนิ่งนอนใจ ไปดูกันที่วิธีป้องกันต่ออีกทีครับ

วิธีการป้องกัน

แน่นอนว่าผลกระทบนึงที่เกิดขึ้นแน่ๆคือ เราจำเป็นต้องเข้าไปเปลี่ยน password ตามเว็บไซด์ต่างๆที่ถูกแจ้งเตือนว่ามีการถูกแฮ็คและข้อมูลหลุดออกไป หรือไม่แน่ว่ากว่าที่เราจะได้รับการแจ้งเตือนจากเว็บไซด์นั้นๆ Hacker อาจจะนำ account ของเราไปใช้งานแล้วก่อนก็ได้ (ในกรณีที่ hacker สามารถ crack password ของเราได้หรือว่าเว็บไซด์นั้นมันเก็บ password เป็นแบบ plaintext คือไม่เข้ารหัสอะไรเลย (นี่ปี 2019 แล้ว หวังว่าจะไม่มีอะไแบบนั้นนะ =_=”)) ซึ่งวิธีการป้องกันที่ทำให้เราได้รับผลกระทบน้อยที่สุดคืออะไร มาดูกันครับ

1.) ให้เรา subscribe ไปยังเว็บไซด์ https://haveibeenpwned.com/ แล้วกดไปที่ Notify จากนั้นก็กรอก email ของเรา เพื่อว่าถ้ามีการ breach จากเว็บใดๆแล้วถูกนำมาปล่อยในแหล่งใดๆ เราจะได้รับการแจ้งเตือน เพื่อรีบเข้าไปแก้ไขได้ทันท่วงที

2.) ตั้ง password ให้ยากต่อการคาดเดา เพื่อให้เราไม่ได้รับผลกระทบจากการถูกการสุ่มเดา password ได้ (ข้อนี้อาจไม่ได้เกี่ยวกับเรื่องนี้เท่าไหร่ แต่ก็ยังถือว่าเป็นข้อที่ควรจะทำอยู่ดี)

3.) ใช้ username และ password ไม่ซ้ำกันในทุกๆเว็บไซด์ ซึ่งแน่นอนว่าคนเรามันจะจำได้ซักกี่ password กันแวะ ดังนั้นแนะนำให้ใช้ Password Manager เพื่อช่วยในการสร้าง password ที่ยากจะเดาได้ พร้อมกับเป็นตัวเก็บ password ให้ด้วยในตัวครับ

4.) แนะนำใช้ 2-Factor Authentication ในเว็บไซด์ทุกๆเว็บไซด์ที่มี feature นี้ เพื่อจะให้ต่อให้ password หลุดไป เค้าก็ยังไม่สามารถเข้าระบบได้เพราะติดอีก factor นึงนั่นเอง

Source

• https://www.wired.co.uk/article/collection-1-have-i-been-pwned
• https://www.haveibeenpwned.com
• https://www.bleepingcomputer.com/news/security/data-breach-collection-with-773-million-email-entries-leaked-online/