ภาพสดจากกล้องอินเทอร์เน็ต 40,000 ตัว “หลุดบนออนไลน์” เสี่ยงถูกสอดแนมทั่วโลก
รายงานล่าสุดจากบริษัทความมั่นคงไซเบอร์ BitSight เผยว่า มีกล้องอินเทอร์เน็ตกว่า 40,000 ตัว ทั่วโลกที่เปิดให้เข้าถึงได้อย่างไร้การป้องกัน โดยที่ผู้ใช้งานอาจไม่รู้ตัวเลยด้วยซ้ำ กล้องเหล่านี้รวมถึง กล้อง CCTV ในรถโดยสารสาธารณะ โรงพยาบาล เครื่องให้อาหารนกที่เชื่อมต่อเน็ต ไปจนถึงกล้องที่ตู้ ATM ต่างถูกเปิดให้เข้าถึงผ่านเบราว์เซอร์ธรรมดา โดยไม่ต้องใช้ทักษะการแฮกระดับสูง
นักวิจัยพบว่ากล้องดังกล่าว สามารถเข้าถึงได้ง่ายจนน่าตกใจ โดยพวกเขาสามารถเข้าถึงข้อมูลภาพและวิดีโอจากอุปกรณ์นับพัน ทั้งในบ้านและเชิงพาณิชย์ เช่น กล้องวงจรปิดตามสำนักงาน กล้อง Baby Monitor กล้องเฝ้าสัตว์เลี้ยง กล้องในห้าง ฟิตเนส ร้านซักรีด และไซต์ก่อสร้าง
กล้องบางส่วนยังถูกพบใน Dark Web ซึ่งมีการแชร์หรือขายลิงก์สตรีมภาพสด โดยเฉพาะ กล้องในโรงพยาบาลและคลินิกที่เฝ้าดูผู้ป่วย ซึ่งถือเป็นความเสี่ยงร้ายแรงต่อข้อมูลส่วนบุคคล
BitSight ระบุว่าความเสี่ยงเหล่านี้มาจาก 3 ปัจจัยหลัก: การใช้บัญชีและรหัสผ่านดีฟอลต์ ที่หาข้อมูลได้ง่ายบนอินเทอร์เน็ต เป็นกล้องรุ่นเก่า ที่ซอฟต์แวร์ไม่ได้รับการดูแลหรืออัปเดตอีกต่อไป และเป็นกล้องประเภทเสียบกล้องใช้งานทันที โดยไม่ตั้งค่าความปลอดภัยเพิ่มเติม เช่น การเปลี่ยนรหัสผ่าน หรือตั้งสิทธิ์การเข้าถึง
BitSight ย้ำว่า “ตลาดมีกล้องนับพันยี่ห้อและรุ่น ไม่มีทางรู้ได้แน่ชัดว่ากล้องไหนเปิดสตรีมให้ใครดูอยู่บ้าง”
โดยรายงานยังชี้ให้เห็นว่ากล้องที่เปิดไว้โดยไม่รู้ตัว อาจถูกใช้เพื่อละเมิดความเป็นส่วนตัวในหลากหลายรูปแบบ เช่น ใช้เป็นช่องทางในการแทรกซึมระบบองค์กร การตรวจสอบพฤติกรรมเจ้าของบ้านเพื่อลงมือโจรกรรม การ “แอบดูขณะกรอกรหัสผ่าน” (Shoulder Surfing) และการใช้ IP + ระบบจดจำใบหน้าเพื่อระบุตัวบุคคล
ลองทดสอบว่าดูได้จริงไหม
เพื่อให้รู้ว่าแอบเข้าไปดูได้จริงไหม ทีมงาน Enterprise Tech Review จึงขอลองทดสอบดู โดยใช้เครื่องมือบนอินเทอร์เน็ตในการค้นหาอุปกรณ์ที่ออนไลน์และไม่มีการป้องกัน พบว่าในประเทศไทย เราสามารถเข้าไปดูภาพสดของกล้องได้หลายร้อยตัว ได้โดยไม่มีการป้องกันใดๆ ทั้งสิ้น
ซึ่งติดตั้งกระจายอยู่ในจังหวัดต่างๆ ไม่ว่าจะเป็นกล้องในบ้าน สำนักงาน โรงงาน คลังสินค้า ร้านมือถือ ร้านอาหาร และที่จอดรถ เป็นต้น และมีการระบุหมายเลข IP ที่สามารถตามต่อหาจุดที่ตั้งแน่นอนได้ไม่ยาก ถือเป็นเรื่องที่น่ากังวลอยู่ไม่น้อย
กรณีศึกษาของของจริง
กรณีตัวอย่างของเหตุการณ์ที่เกิดขึ้นจริงเช่น เมื่อเดือนมีนาคม 2025 กลุ่มแฮกเกอร์ Akira ใช้กล้องที่ไม่ได้ล็อกอย่างแน่นหนาเจาะเข้าสู่ระบบองค์กร แม้จะถูกป้องกันรอบแรกได้
ในปี 2024 ทางการยูเครน สั่งปิดกล้องอินเทอร์เน็ตกว่า 10,000 ตัว หลังสายลับรัสเซียแฮกกล้องในคอนโดและลานจอดรถ หันกล้องไปยังโครงสร้างพื้นฐาน และใช้ข้อมูลในการวางแผนโจมตี และต่อเนื่องถึงปี 2025 รายงานร่วมของหลายหน่วยงานด้านความมั่นคงไซเบอร์ เตือนถึงความพยายามต่อเนื่องของสายลับรัสเซียในการแฮกกล้องภาคเอกชนและเทศบาลเพื่อติดตามขนส่งในยูเครน