แฮกระบบสภาวิศวกรช่วงสงกรานต์! ข้อมูลสมาชิกกว่า 3 แสนรายรั่ว หลังช่องโหว่ช่วงอัปเกรดระบบ
เหตุการณ์ด้านความปลอดภัยไซเบอร์ครั้งสำคัญในไทย โดยเกิดขึ้นกับระบบของสภาวิศวกร Facebook ของคุณ ชูเลิศ จิตเจือจุน วุฒิวิศวกรโยธา ได้โพสต์ประกาศเกี่ยวกับเหตุการณ์ด้านความปลอดภัยไซเบอร์ครั้งสำคัญ ระบุว่าเซิร์ฟเวอร์ของสภาวิศวกรถูกแฮก และข้อมูลส่วนตัวของสมาชิกมากกว่า 300,000 ราย ได้ตกไปอยู่ในมือของมิจฉาชีพเรียบร้อยแล้ว สร้างความกังวลอย่างมากต่อความปลอดภัยของข้อมูลบุคคลในวงวิชาชีพวิศวกรของประเทศไทย
โดยเหตุการณ์นี้เกิดขึ้นในช่วงเทศกาลสงกรานต์ ซึ่งเป็นช่วงเวลาที่มีการอัปเกรดระบบจาก COE Service 2 ไปสู่ COE Service 3 และกลายเป็นจังหวะสำคัญที่ทำให้เกิดช่องโหว่โดยไม่ตั้งใจ
ช่องโหว่จากการอัปเกรด เปิดทางเข้าถึงข้อมูลทั้งหมด
โดยปกติ ระบบจะจำกัดสิทธิ์ให้กรรมการผู้ชำนาญสามารถเข้าถึงข้อมูลสมาชิกได้เฉพาะรายที่ตนเองรับผิดชอบเท่านั้น ซึ่งมีจำนวนเพียงหลักสิบราย แต่ในช่วงการเปลี่ยนผ่านระบบ กลับเกิดความผิดพลาดด้านการตั้งค่าสิทธิ์ ทำให้กรรมการสามารถเข้าถึงข้อมูลของสมาชิกทั้งหมดได้
ช่องโหว่นี้เปิดโอกาสให้ผู้ไม่หวังดีใช้บัญชีผู้ใช้งานที่มีสิทธิ์สูงในการเข้าถึงระบบ โดยมีการนำ Username และ Password ของผู้ดูแลระบบ (Admin Server) รวมถึงบัญชีของกรรมการผู้ชำนาญอีก 3 ราย มาใช้ในการดึงข้อมูลออกจากระบบ
ผลลัพธ์คือข้อมูลของสมาชิกทั้งหมดถูกเข้าถึงและถูกดูดออกไปในช่วงเวลานั้น โดยไม่มีการป้องกันที่เพียงพอ
ข้อมูลสำคัญรั่วไหล เสี่ยงถูกนำไปใช้ในทางหลอกลวง
ข้อมูลที่ถูกขโมยออกไปประกอบด้วยข้อมูลส่วนบุคคล เช่น ที่อยู่ เบอร์โทรศัพท์ สถานที่ทำงาน รวมถึงข้อมูลระดับวิศวกรของสมาชิกแต่ละราย ซึ่งถือเป็นข้อมูลที่สามารถนำไปใช้ในการสร้างความน่าเชื่อถือเพื่อหลอกลวงได้
มีการเปิดเผยเพิ่มเติมว่าหนึ่งในบัญชีผู้ใช้งานที่ถูกนำไปใช้ในการดึงข้อมูลนั้น มีชื่อของกรรมการผู้เปิดเผยเหตุการณ์รวมอยู่ด้วย รวมถึงยังมีบัญชีของบุคคลสำคัญในแวดวงวิศวกรรม ซึ่งเป็นผู้มีชื่อเสียงระดับสูง ถูกใช้ในการเข้าถึงข้อมูลครั้งนี้เช่นกัน
เหตุการณ์นี้ทำให้สมาชิกสภาวิศวกรทั้งหมดต้องเพิ่มความระมัดระวัง เนื่องจากข้อมูลที่หลุดออกไปอาจถูกนำไปใช้โดยแก๊งคอลเซ็นเตอร์ หรือมิจฉาชีพที่ใช้ข้อมูลเฉพาะทางด้านวิศวกรรมมาสร้างสถานการณ์หลอกลวงได้อย่างแนบเนียน