Research Article โดย Dr. Manhattan, Cybereer และ ทีม R&D ACinfotec

Mega Data Breach หรือเหตุการณ์ข้อมูลรั่วไหลระดับหนึ่งล้านรายการขึ้นไป เกิดขึ้นบ่อยครั้งในต่างประเทศ และทวีความรุนแรงมากขึ้นในระยะหลัง ทั้งในด้านความถี่ของเหตุการณ์และจำนวนข้อมูลที่รั่วไหล เว็บไซต์ csoonline.com ได้จัดอันดับ 15 biggest data breaches of the 21st century ไว้ซึ่งมีหน่วยงานชั้นนำจำนวนมากที่ตกเป็นเหยื่อของการโจมตีทางไซเบอร์และถูกผู้โจมตีขโมยข้อมูลส่วนบุคคลของผู้ใช้งานออกไปเป็นจำนวนมหาศาล

ในประเทศไทย เมื่อวันที่ 7 กันยายน 2564 กระทรวงสาธารณสุขได้ออกแถลงการณ์ยอมรับถึงการรั่วไหลและการถูกขโมยข้อมูลผู้ป่วยกว่า 16 ล้านรายการ โดยข้อมูลได้ถูกนำออกไปและโพสต์ขายในเว็บ raidforums.com ซึ่งเป็น เว็บไซต์ที่มักมีการขายข้อมูลที่ได้จากการโจรกรรมผ่านระบบคอมพิวเตอร์ต่าง ๆ โดยข้อมูลนั้นประกอบไปด้วย ข้อมูลผู้ป่วย ที่อยู่ เบอร์โทรศัพท์ รหัสประจำตัว วันเดือนปีเกิด ชื่อโรงพยาบาล ฯลฯ ซึ่งรายละเอียดที่เกิดขึ้นกำลังอยู่ในระหว่างการสืบสวนสอบสวน [2]

หน้าเว็บ raidforums.com ที่มีการขายข้อมูล (Leaks Market)

เหตุการณ์ที่เกิดขึ้นครั้งนี้ไม่ใช่ครั้งแรกที่ข้อมูลของคนไทยรั่วไหลและถูกนำไปขายโดยมิจฉาชีพ แต่ยังมีอีกหลายครั้ง ทั้งที่เป็นข่าวและไม่เป็นข่าว และที่น่ากังวลใจคือสาเหตุของข้อมูลรั่วไหลหลายครั้งมาจากหน่วยงานภาครัฐ ซึ่งควรต้องปกป้องข้อมูลของประชาชนให้ดีกว่านี้

ข้อมูลของประชาชนที่อยู่ในความดูแลของภาครัฐ

เพื่ออำนวยความสะดวกให้แก่ประชาชน ข้อมูลจำนวนมากถูกนำเข้าสู่ระบบคอมพิวเตอร์ทุกวัน และมีแนวโน้มเพิ่มขึ้นอย่างต่อเนื่อง จากการเปิดให้บริการประชาชนผ่านช่องทางออนไลน์ตามนโยบายของรัฐบาลที่สนับสนุนการก้าวไปสู่สังคมดิจิทัลเต็มรูปแบบ และในช่วงปี 2563-2564 การแพร่ระบาดของ COVID-19 ยิ่งกระตุ้นให้หน่วยงานภาครัฐหลายหน่วยงานเร่งพัฒนาแอปพลิเคชัน เว็บไซต์ และระบบฐานข้อมูลของตนเอง เพื่อเปิดเป็นช่องทางให้ประชาชนเข้าใช้งาน ไม่ว่าจะเป็นแอปพลิเคชั่น เป๋าตัง หมอพร้อม ไทยชนะ คนละครึ่ง และอีกมากมาย ช่องทางที่สร้างขึ้นเหล่านี้นอกจากจะให้ประโยชน์กับประชาชนแล้ว ก็อาจเป็นช่องทางให้ผู้ไม่ประสงค์ดีเข้าถึงข้อมูลของประชาชนได้เช่นกัน เปรียบเสมือนความสะดวกสบายที่แลกมาด้วยความเสี่ยงที่เพิ่มมากขึ้น แต่เนื่องจากระบบเหล่านี้เป็นของหน่วยงานภาครัฐที่ควรจะมีความมั่นคงปลอดภัยในระดับที่เชื่อถือได้ รวมถึงเป็นช่องทางที่ประชาชนจะเข้าถึงสิทธิและการเยียวยาของภาครัฐภายใต้สถานการณ์การแพร่ระบาด ทำให้คนไทยเกือบทุกคนต้องใช้งานระบบและแอปพลิเคชันเหล่านี้อย่างหลีกเลี่ยงไม่ได้ จากเหตุการณ์การรั่วไหลและการถูกขโมยข้อมูลที่เกิดขึ้นอย่างต่อเนื่อง แสดงให้เห็นถึงความพลั้งพลาดของหน่วยงานภาครัฐในการรักษาความมั่นคงปลอดภัยทางไซเบอร์ ทำให้ประชาชนตกเป็นเหยื่อของอาชญากรรมทางคอมพิวเตอร์โดยไม่สามารถป้องกันตนเองได้ และแน่นอนว่าเหตุการณ์ในลักษณะนี้จะยังคงอยู่กับประเทศไทยไปเรื่อย ๆ หากไม่มีการแก้ไขอย่างจริงจัง

“จากเหตุการณ์การรั่วไหลและการถูกขโมยข้อมูลที่เกิดขึ้นอย่างต่อเนื่อง แสดงให้เห็นถึงความพลั้งพลาดของหน่วยงานภาครัฐในการรักษาความมั่นคงปลอดภัยทางไซเบอร์ ทำให้ประชาชนตกเป็นเหยื่อของอาชญากรรมทางคอมพิวเตอร์โดยไม่สามารถป้องกันตนเองได้ และแน่นอนว่าเหตุการณ์ในลักษณะนี้จะยังคงอยู่กับประเทศไทยไปเรื่อย ๆ หากไม่มีการแก้ไขอย่างจริงจัง”

---

การรั่วไหลของข้อมูลยังไม่จบและอาจเกิดเหตุการณ์ที่เลวร้ายกว่านี้

จากประสบการณ์ของทีมงานเอซีอินโฟเทคที่เคยตรวจสอบความมั่นคงปลอดภัยทางไซเบอร์ให้แก่หน่วยงานภาครัฐมากกว่า 100 หน่วยงาน ร่วมด้วยทีมนักวิจัยในเครือข่ายของเรา ในบทความนี้เราจะเปิดเผยและวิเคราะห์สองสาเหตุหลักที่นำไปสู่การทำให้ข้อมูลของประชาชนรั่วไหล ได้แก่ (1) จุดอ่อนในแอปพลิเคชันจากหน่วยงานภาครัฐ และ (2) จุดอ่อนในฐานข้อมูลของหน่วยงานภาครัฐ

หน้าเว็บ raidforums.com ที่มีการขายข้อมูล (Leaks Market)

จุดอ่อนในแอปพลิเคชันจากหน่วยงานภาครัฐ

แอปพลิเคชันเป็นหนึ่งในช่องทางที่เปิดให้ประชาชนสามารถเข้ารับบริการของรัฐได้ง่ายขึ้น แอปพลิเคชันเหล่านี้เปิดให้ผู้ใช้ทำการเพิ่มและเรียกดูข้อมูล ซึ่งล้วนเป็นข้อมูลที่มีความสำคัญ ตัวอย่างที่เห็นชัดในช่วงปี 2563-2564 คือ แอปพลิเคชันต่าง ๆ ที่รัฐบาลจัดทำเพื่อให้ประชาชนลงทะเบียนรับสิทธิต่าง  เช่น แอปพลิเคชันเป๋าตัง ที่สามารถเข้าถึงข้อมูลทางการเงินของประชาชน [3] แอปพลิเคชันหมอพร้อม ที่เปิดให้บุคคลทั่วไปลงทะเบียนเพื่อรับการฉีดวัคซีนป้องกัน COVID-19 และสามารถเข้าถึงข้อมูลสุขภาพของประชาชน [4] เป็นต้น

ตัวอย่างหน้าแอพลิเคชันเป๋าตังและแอพลิเคชันหมอพร้อม

เราได้ทำการรีวิวแอปพลิเคชันเหล่านี้ในเบื้องต้น และพบว่ามีแอปพลิเคชั่นจากหน่วยงานภาครัฐบางตัวยังมีจุดอ่อน (weakness) หลายประการที่เปิดโอกาสให้ผู้ไม่ประสงค์ดีสามารถเข้าถึงและขโมยข้อมูลส่วนบุคคลของประชาชนได้ เช่น ชื่อ นามสกุล เพศ อายุ วันเดือนปีเกิด ที่อยู่ เบอร์โทรศัพท์ ทั้งนี้เนื่องมาจากความผิดพลาดในขั้นตอนของการพัฒนาแอปพลิเคชันที่ไม่ได้คำนึงถึงว่าผู้โจมตีนั้นจะสามารถศึกษาตัวแอปพลิเคชันในเชิงวิศวกรรมย้อนกลับ (reverse engineering) เพื่อค้นหาจุดอ่อนและใช้จุดอ่อนที่พบในการเข้าถึงข้อมูลที่สำคัญของประชาชน

---

“มีแอปพลิเคชั่นจากหน่วยงานภาครัฐที่ยังมีจุดอ่อนหลายประการที่เปิดโอกาสให้ผู้ไม่ประสงค์ดีสามารถเข้าถึงและขโมยข้อมูลส่วนบุคคลของประชาชนได้”

---

จุดอ่อนในฐานข้อมูลของหน่วยงานภาครัฐ

เนื่องจากผู้โจมตีมักค้นหาช่องโหว่ต่าง ๆ ที่มีในระบบเพื่อใช้ในการโจมตี โดยเฉพาะระบบที่สามารถเข้าถึงได้ผ่านอินเทอร์เน็ต หากพบว่ามีฐานข้อมูลที่สามารถเข้าถึงได้ (open database) ผู้โจมตีจะเริ่มการค้นหาจุดอ่อนของฐานข้อมูลนั้น เทคนิคการโจมตีนี้เป็นเทคนิคพื้นฐานและเป็นขั้นตอนเบื้องต้นเพื่อหาทางเข้าถึงข้อมูลละเอียดอ่อนที่อยู่ในฐานข้อมูล [5, 6] ทีมนักวิจัยในเครือข่ายของเอซีอินโฟเทค พบว่าหน่วยงานภาครัฐหลายหน่วยงานมีข้อผิดพลาดดังกล่าว ซึ่งเปิดโอกาสให้ผู้ไม่ประสงค์ดีสามารถเข้าถึงข้อมูลของประชาชนได้ โดยเราได้ค้นพบฐานข้อมูลของหน่วยงานภาครัฐแห่งหนึ่งที่มีข้อมูลของประชาชนมากกว่า 1.6 ล้านรายการที่มีความเสี่ยงนี้ และเชื่อว่าผู้ไม่ประสงค์ดีจะสามารถนำข้อมูลของประชาชนออกไปจากฐานข้อมูลดังกล่าวได้ และมีข้อมูลจำนวนมากที่เป็นข้อมูลละเอียดอ่อน เช่น ชื่อ นามสกุล เพศ วันเดือนปีเกิด อายุ หมายเลขโทรศัพท์ เลขที่บัตรประชาชน เป็นต้น ซึ่งหากเกิดขึ้นจริงจะมีผลกระทบที่รุนแรงกว่าเหตุการณ์ที่เกิดขึ้นไปแล้วอย่างมาก สาเหตุหลักของปัญหาคือ ผู้จัดทำระบบของหน่วยงานขาดความระมัดระวังและความรู้ด้านความมั่นคงปลอดภัยในการจัดทำระบบ ทำให้มีจุดอ่อนที่เปิดโอกาสให้ผู้ไม่ประสงค์ดีสามารถเข้าถึงฐานข้อมูลของหน่วยงานได้ผ่านระบบอินเทอร์เน็ตโดยตรง

---

“ฐานข้อมูลของหน่วยงานภาครัฐแห่งหนึ่งที่มีข้อมูลของประชาชนมากกว่า 1.6 ล้านรายการมีความเสี่ยงนี้ และเชื่อว่าผู้ไม่ประสงค์ดีจะสามารถนำข้อมูลของประชาชนออกไปจากฐานข้อมูลดังกล่าวได้ โดยมีข้อมูลจำนวนมากที่เป็นข้อมูลละเอียดอ่อน เช่น ชื่อ นามสกุล เพศ วันเดือนปีเกิด อายุ หมายเลขโทรศัพท์ เลขที่บัตรประชาชน เป็นต้น”

---

ข้อผิดพลาดที่เกิดขี้นเหล่านี้ ไม่ใช่เรื่องใหม่ และเคยเกิดขึ้นแล้วในระบบและแอปพลิเคชันชื่อดังมามากมาย เช่น [7, 8, 9] และมักเกิดจากข้อผิดพลาดของผู้พัฒนาระบบที่ไม่มีการตรวจสอบด้านความมั่นคงปลอดภัยอย่างเหมาะสม [10] ดังนั้นจึงจำเป็นอย่างยิ่งที่รัฐบาลและหน่วยงานภาครัฐต้องมีการควบคุม ตรวจสอบ และจัดหาบุคลากรที่มีความรู้ความสามารถมาดูแลและป้องกันความเสี่ยง ก่อนเผยแพร่แอปพลิเคชั่นให้ประชาชนใช้งาน เพื่อไม่ให้จุดอ่อนเหล่านี้กลายเป็นเครื่องมือของผู้ไม่ประสงค์ดี

ก้าวไปสู่การป้องกันทางไซเบอร์เชิงรุก

หากถามว่า “ถึงเวลาหรือยังที่พวกเราทุกคนต้องให้ความสำคัญกับป้องกันทางไซเบอร์เชิงรุก” คำตอบคงอยู่ที่พวกเรา “ทุกคน” และ “ทุกองค์กร” ในฐานะผู้ใช้งานเทคโนโลยี พวกเราทุกคนต้องรู้ให้เท่าทันกับภัยคุกคามทางไซเบอร์และปฏิบัติตนอย่างเหมาะสมเพื่อลดความเสี่ยงที่อาจมีต่อตัวเรา ไม่ต่างจากการที่ทุกคนต้องคอยติดตามข้อมูลข่าวสารที่เกี่ยวข้อง ปฏิบัติตนอย่างเหมาะสมด้วยการสวมหน้ากากอนามัยและเว้นระยะห่าง รวมถึงป้องกันเชิงรุกด้วยการฉีดวัคซีน เพื่อให้ปลอดภัยจาก COVID-19 และก็เหมือนกับการป้องกัน COVID-19 หน่วยงานภาครัฐย่อมมีบทบาทที่สำคัญในการสร้างความตระหนักด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ให้กับประชาชน และทำการป้องกันเชิงรุกด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์ของระบบโครงสร้างพื้นฐานสำคัญทางสารสนเทศ (CII) และแอปพลิเคชันที่มีการจัดเก็บและประมวลผลข้อมูลส่วนบุคคล

---

“จำเป็นอย่างยิ่งที่รัฐบาลและหน่วยงานภาครัฐต้องมีการควบคุม ตรวจสอบ และจัดหาบุคลากรที่มีความรู้ความสามารถมาดูแลและป้องกันความเสี่ยง ก่อนเผยแพร่แอปพลิเคชั่นให้ประชาชนใช้งาน”

---

การป้องกันเชิงรุกนี้ ต้องทำอย่างต่อเนื่องและจริงจัง ตั้งแต่ระดับนโยบายไปจนถึงระดับเจ้าหน้าที่ผู้ปฏิบัติงาน และทำให้ดีที่สุด (best effort) โครงการจัดซื้อจัดจ้างของภาครัฐที่เป็นงานด้าน Cybersecurity ก็ควรใช้หลักเกณฑ์การคัดเลือกแบบ Price-Performance ไม่ใช่เลือกที่ราคาถูกที่สุด หากการป้องกันทางไซเบอร์เชิงรุก (proactive cyber defence) เปรียบเสมือนการฉีดวัคซีนป้องกัน COVID-19 เราจะเลือกวัคซีนที่ถูกที่สุด หรือวัคซีนที่ดีทีสุด ทุกคนคงมีคำตอบในใจอยู่แล้ว

Next Research Article

ในบทความหน้า เราจะหยิบยกแนวทางการป้องกันทางไซเบอร์เชิงรุกที่อ้างอิงจาก standards, frameworks & best practices มาแนะนำให้หน่วยงานต่าง ๆ นำไปปรับใช้

อ้างอิง

[1] The 15 biggest data breaches of the 21st century – http://www.csoonline.com/article/2130877/the-biggest-data-breaches-of-the-21st-century.html [2] อนุทินยอมรับฐานข้อมูลคนไข้ถูกเจาะ สั่งยกระดับการป้องกันระบบคอมพิวเตอร์ สธ. – http://www.bbc.com/thai/thailand-58472276 [3] เป๋าตัง – http://play.google.com/store/apps/details?id=com.ktb.customer.qr [4] หมอพร้อม – http://play.google.com/store/apps/details?id=com.mor.promplus [5] Search Open Technical Databases – http://attack.mitre.org/techniques/T1596/ [6] Search Open Websites/Domains – http://attack.mitre.org/techniques/T1593/ [7] Is Your Mobile App Leaking Secrets? – http://dzone.com/articles/is-your-mobile-app-leaking-secrets-1 [8] 4.6 Million Snapchat Usernames, Partial Phone Numbers Leaked in Breach – http://threatpost.com/4-6-million-snapchat-usernames-partial-phone-numbers-leaked-in-breach/103388/ [9] Yahoo Announces 500 Million Users Impacted by Data Breach – http://www.lifelock.com/learn-data-breaches-company-data-breach.html [10] API security best practices – http://developers.google.com/maps/api-security-best-practices