เมื่อความประมาทคือตัวปัญหา 50 องค์กรทั่วโลก ถูกเจาะ เพราะไม่เปิด MFA

เหตุการณ์โจมตีทางไซเบอร์ครั้งล่าสุดที่ถูกเปิดเผยออกมา กลายเป็นตัวอย่างชัดเจนว่าภัยคุกคามยุคดิจิทัลไม่จำเป็นต้องใช้เทคนิคซับซ้อนเสมอไป เมื่ออาชญากรไซเบอร์เพียงคนเดียวสามารถเข้าถึงระบบขององค์กรระดับโลกมากกว่า 50 แห่งได้สำเร็จ ด้วยวิธีที่เรียบง่ายอย่างน่าตกใจ เพียงแค่ บัญชีผู้ใช้ที่ถูกขโมยและระบบยืนยันตัวตนแบบหลายปัจจัย (MFA) ที่ไม่ถูกเปิดใช้งาน ก็เพียงพอให้แฮกเกอร์ “เปิดประตูหน้า” เข้าสู่ระบบขององค์กรใหญ่ๆ หลายสิบแห่งทั่วโลก

โดยแฮกเกอร์ที่ใช้นามแฝงว่า Zestix หรือ Sentap ใช้ประโยชน์จากข้อมูลล็อกอินที่ถูกขโมยมาจากมัลแวร์ประเภท infostealer เพื่อเข้าถึงระบบเก็บไฟล์บนคลาวด์ เช่น ShareFile, OwnCloud และ Nextcloud ขององค์กรกว่า 50 แห่ง และนำข้อมูลสำคัญออกมาเผยแพร่หรือประกาศขายในพื้นที่ใต้ดินออนไลน์โดยไม่ต้องผ่านการพิสูจน์ตัวตนอื่นใดเลย

นี่ไม่ใช่การโจมตีทางเทคนิคระดับสูง แต่เป็น “การเดินเข้าประตูหน้าเพียงรหัสผ่านเดียว” เพราะ MFA ไม่ถูกใช้ในระบบเหล่านี้นั่นเอง

ตัวอย่างองค์กรที่ถูกระบุว่ามีข้อมูลสำคัญถูกเข้าถึง เช่น Pickett & Associates บริษัทวิศวกรรมด้านยูทิลิตี้ของสหรัฐฯ ที่สูญเสียข้อมูลกว่า 139.1 GB ซึ่งรวมถึงแผนที่และไฟล์ LiDAR ของโครงข่ายไฟฟ้า, Iberia Airlines สายการบินใหญ่ของสเปนที่มีข้อมูลสำคัญเกี่ยวกับการซ่อมบำรุงกว่า 77 GB, และ Intecro Robotics ที่เอกสารเกี่ยวกับชิ้นส่วนเครื่องบินถูกเปิดเผยกว่า 11.5 GB ข้อมูลด้านสุขภาพของ Maida Health ที่เก็บไว้ในระบบคลาวด์ของตำรวจทหารบราซิลกว่า 2.3 เทราไบต์ ก็ถูกเปิดเผยด้วย

หากตีเป็นมูลค่าความเสียหายทางธุรกิจทั้งในแง่ข้อมูลที่รั่วไหลและผลกระทบด้านความเชื่อมั่นของลูกค้า อาจสูงถึง หลายพันล้านบาท เมื่อคิดจากต้นทุนข้อมูลเชิงธุรกิจ การฟื้นฟูระบบ และผลกระทบต่อชื่อเสียง แม้จะไม่มีตัวเลขแน่นอนออกมาในรายงานสาธารณะ แต่ก็ถือเป็นหนึ่งในเหตุการณ์ข้อมูลรั่วไหลที่มีผลกระทบ “ระดับองค์กรใหญ่ทั่วโลก” อย่างแท้จริง

เมื่อสิ่งที่ขาดไม่ใช่เทคโนโลยีล้ำ แต่คือพื้นฐานความปลอดภัย MFA

สิ่งที่ทำให้เหตุการณ์นี้ร้ายแรงคือ “ช่องโหว่พื้นฐาน” ไม่ใช่ช่องโหว่ซอฟต์แวร์หรือโจมตีระดับสูง แต่เป็นการ ละเลยมาตรการพื้นฐานอย่าง MFA ซึ่งเป็นการยืนยันตัวตนหลายขั้นตอนที่ควรเป็นมาตรฐานความปลอดภัยของระบบคลาวด์ทั้งธุรกิจขนาดเล็กและองค์กรขนาดใหญ่

โดยทีมวิจัยจาก Hudson Rock ระบุว่าแฮกเกอร์ไม่ได้ต้องเขียนโค้ดซับซ้อนหรือใช้ช่องโหว่ 0-day ใดๆ เพื่อเข้าถึงระบบของเหยื่อ เพียงแค่ใช้ข้อมูลล็อกอินที่ถูกขโมยจากมัลแวร์ infostealer และระบบที่ไม่มี MFA ก็ทำให้เขา “เดินเข้าประตูหน้า” ด้วยรหัสผ่านธรรมดาเท่านั้น

มัลแวร์ประเภท infostealer อย่าง RedLine, Lumma และ Vidar อาศัยการติดตั้งโดยไม่รู้ตัว — มักจะหลอกให้ผู้ใช้ดาวน์โหลดไฟล์อันตรายผ่านอีเมลฟิชชิงหรือเว็บปลอม แล้วค่อยเก็บรวบรวมบัญชีผู้ใช้และรหัสผ่านจากเบราว์เซอร์ของเครื่องนั้น ซึ่งข้อมูลเหล่านี้ถูกสะสมเป็นเวลานานและทิ้งไว้ในระบบจนแฮกเกอร์สามารถนำกลับมาใช้ได้หลายปีต่อมา

ที่มา