24 พันล้านเรคคอร์ดถูกเปิดเผย: ทำไม VPN ถึงช่วยคุณไม่ได้

24 พันล้านเรคคอร์ดถูกเปิดเผย: ทำไม VPN ถึงช่วยคุณไม่ได้

นักวิจัยจาก Cybernews ได้ค้นพบหนึ่งในฐานข้อมูลที่ไม่ปลอดภัยขนาดใหญ่ที่สุดเท่าที่เคยพบมา ซึ่งบรรจุเรคคอร์ด 24 พันล้านรายการ มีทั้งชื่อผู้ใช้ ที่อยู่อีเมล รหัสผ่านแบบข้อความล้วน และ URL สำหรับเข้าสู่ระบบ เหตุการณ์ข้อมูลรั่วไหลพันล้านรายการนี้ไม่ใช่การแฮ็กองค์กรในรูปแบบเดิม ๆ แต่เป็นคลังข้อมูลล็อกอินที่ถูกขโมยมาและรวบรวมไว้อย่างเปิดเผย ไม่มีการป้องกัน วางทิ้งไว้บนโลกออนไลน์ พร้อมให้ใครก็ตามที่มีเครื่องมือที่เหมาะสมเข้ามาใช้ประโยชน์ได้ หากคุณคิดว่าการสมัครใช้งาน VPN จะทำให้คุณปลอดภัยจากการเปิดเผยแบบนี้ รายละเอียดของการค้นพบนี้น่าจะทำให้คุณต้องคิดใหม่จริงจัง

ฐานข้อมูล 24 พันล้านเรคคอร์ดมีอะไรอยู่บ้าง

ขนาดของฐานข้อมูลนี้ยากจะทำความเข้าใจ เรคคอร์ด 24 พันล้านรายการไม่ได้หมายความว่ามีคน 24 พันล้านคนที่ได้รับผลกระทบ ฐานข้อมูลที่รวบรวมจากข้อมูลรั่วไหลแบบนี้มักจะรวมข้อมูลมาจากการรั่วไหลหลายร้อยครั้งในช่วงหลายปี นั่นหมายความว่าข้อมูลประจำตัวของคนคนเดียวกันอาจปรากฏซ้ำหลายสิบครั้งในรายการต่าง ๆ

สิ่งที่ทำให้การเปิดเผยครั้งนี้อันตรายเป็นพิเศษคือการมีรหัสผ่านแบบข้อความล้วน ฐานข้อมูลหลายแห่งจัดเก็บรหัสผ่านเป็นค่าที่ผ่านการแฮช ซึ่งอย่างน้อยก็เป็นอุปสรรคก่อนนำข้อมูลไปใช้ แต่รหัสผ่านแบบข้อความล้วนไม่ต้องใช้ความพยายามในการถอดรหัสเลย ผู้โจมตีสามารถนำชื่อผู้ใช้ จับคู่กับรหัสผ่านที่เกี่ยวข้อง แล้วลองเข้าสู่ระบบได้ทันที

ในฐานข้อมูลยังมี URL เข้าสู่ระบบ ซึ่งก็คือที่อยู่เว็บเฉพาะของแต่ละชุดข้อมูลประจำตัว รายละเอียดนี้มักถูกมองข้าม แทนที่จะได้แค่รายชื่ออีเมลกับรหัสผ่านที่ผู้โจมตีต้องเดาว่าตรงกับบริการไหน ฐานข้อมูลนี้กลับส่งแผนที่โดยตรงให้: นี่คือบัญชี นี่คือตำแหน่งเข้าสู่ระบบ และนี่คือรหัสผ่าน ความชัดเจนระดับนี้ลดอุปสรรคระหว่างเรคคอร์ดที่รั่วไหลกับการยึดบัญชีสำเร็จลงอย่างมาก

การยัดข้อมูลประจำตัว (Credential Stuffing) เปลี่ยนรหัสผ่านที่รั่วไหลให้กลายเป็นการยึดบัญชีได้อย่างไร

การยัดข้อมูลประจำตัวคือช่องทางหลักที่ฐานข้อมูลแบบนี้ถูกนำมาใช้เป็นอาวุธ เครื่องมืออัตโนมัติจะวนทดสอบคู่ชื่อผู้ใช้-รหัสผ่านด้วยความเร็วมหาศาล ต่อกรกับหน้าล็อกอินของบริการหลายร้อยแห่งพร้อมกัน เนื่องจากหลายคนใช้รหัสผ่านซ้ำกันในหลายบัญชี ข้อมูลประจำตัวที่รั่วจากบริการหนึ่งจึงสามารถปลดล็อกบัญชีบนแพลตฟอร์มที่แตกต่างกันโดยสิ้นเชิงได้

การที่มี URL เข้าสู่ระบบในฐานข้อมูลนี้ยิ่งทำให้ขั้นตอนอัตโนมัตินั้นมีประสิทธิภาพมากขึ้น ผู้โจมตีไม่จำเป็นต้องเดาว่าผู้เสียหายใช้บริการไหน ข้อมูลบอกพวกเขาแล้ว เรคคอร์ดเพียงรายการเดียวอาจกลายเป็นบัญชีธนาคารที่ถูกบุกรุก กล่องข้อความอีเมล หรือพอร์ทัล VPN ขององค์กร หากผู้เสียหายใช้รหัสผ่านนั้นซ้ำที่อื่น

นี่ไม่ใช่ความเสี่ยงในเชิงทฤษฎี การโจมตีด้วยการยัดข้อมูลประจำตัวเชื่อมโยงกับการยึดบัญชีในสถาบันการเงิน บริการสตรีมมิ่ง แพลตฟอร์มอีคอมเมิร์ซ และระบบองค์กร ปริมาณข้อมูลประจำตัวที่มีอยู่เพิ่มขึ้นจนถึงจุดที่แม้แต่ผู้โจมตีที่มีทรัพยากรไม่มากก็สามารถเปิดแคมเปญเช่นนี้ในวงกว้างได้

นอกจากนี้ ยังควรทราบว่าเทคนิคทางวิศวกรรมสังคมก็พัฒนาควบคู่ไปกับการขโมยข้อมูลประจำตัว ผู้โจมตีนำข้อมูลที่รั่วไหลไปผสมกับแคมเปญฟิชชิงแบบเจาะจงมากขึ้น การที่รู้ที่อยู่อีเมลของผู้เสียหาย บริการที่เกี่ยวข้อง และรหัสผ่าน ทำให้ผู้ไม่หวังดีมีบริบทพอที่จะสร้างการโจมตีติดตามผลที่น่าเชื่อถือ รวมถึงภัยคุกคามฟิชชิงที่ใช้ AI ซึ่งกำลังแยกแยะจากการสื่อสารจริงได้ยากขึ้น

ทำไมแค่ VPN เพียงอย่างเดียวถึงไม่ปกป้องคุณจากภัยคุกคามนี้

VPN เข้ารหัสทราฟฟิกอินเทอร์เน็ตและปิดบังที่อยู่ IP ของคุณ นับเป็นเครื่องมือความเป็นส่วนตัวที่มีประโยชน์อย่างแท้จริงสำหรับปกป้องข้อมูลระหว่างเดินทาง โดยเฉพาะบนเครือข่ายสาธารณะ แต่ภัยคุกคามจากฐานข้อมูล 24 พันล้านเรคคอร์ดนี้ไม่เกี่ยวกับการดักจับทราฟฟิกเลย

ข้อมูลประจำตัวของคุณไม่ได้ถูกขโมยขณะเดินทางผ่านเครือข่าย แต่มันถูกเอาไปจากบริการที่คุณเคยล็อกอิน จัดเก็บอย่างไม่ปลอดภัย และสุดท้ายถูกรวบรวมเข้าฐานข้อมูลที่นำมารวมกัน เมื่อฐานข้อมูลนั้นตกไปถึงมือผู้โจมตี VPN ก็ไม่มีบทบาทอะไรให้เล่น ความเสียหายเกิดขึ้นที่ระดับการจัดเก็บ ไม่ใช่ระดับการส่งผ่าน

นี่คือข้อแตกต่างสำคัญที่มักถูกละเลยในการตลาดและการพูดถึง VPN VPN ไม่สามารถปกป้องข้อมูลที่บริการบุคคลที่สามจัดเก็บไว้ไม่ดีได้ ไม่สามารถป้องกันการโจมตีด้วยการยัดข้อมูลประจำตัวที่ใช้รหัสผ่านซึ่งคุณสร้างไว้เมื่อหลายปีก่อนได้ ไม่สามารถแจ้งเตือนเมื่ออีเมลของคุณปรากฏในชุดข้อมูลที่รั่วไหลได้ เรื่องเหล่านี้เป็นหน้าที่ของเครื่องมือคนละประเภท

ขั้นตอนเร่งด่วน: การยืนยันตัวตนหลายปัจจัย, ผู้จัดการรหัสผ่าน และการเฝ้าระวังการรั่วไหลของข้อมูล

ข่าวดีคือแนวป้องกันการยัดข้อมูลประจำตัวนั้นเป็นที่เข้าใจกันดีและเข้าถึงได้ง่าย ความท้าทายคือคนส่วนใหญ่ยังนำมาใช้ไม่เต็มที่

เปิดใช้การยืนยันตัวตนหลายปัจจัย (MFA) ทุกที่มีบริการ ต่อให้ผู้โจมตีมีชื่อผู้ใช้และรหัสผ่านที่ถูกต้องของคุณ MFA จะต้องมีขั้นตอนยืนยันที่สองซึ่งพวกเขาแทบจะทำไม่ได้แน่นอน แอปยืนยันตัวตนปลอดภัยกว่ารหัสผ่านทาง SMS แต่ตัวเลือกใดก็ยังดีกว่าไม่มี MFA เลย จัดลำดับความสำคัญที่บัญชีอีเมล บัญชีการเงิน และบริการใด ๆ ที่เก็บข้อมูลการชำระเงิน

ใช้ผู้จัดการรหัสผ่านเพื่อสร้างและเก็บรหัสผ่านที่ไม่ซ้ำกัน การใช้รหัสผ่านซ้ำคือสิ่งที่เปลี่ยนข้อมูลประจำตัวที่รั่วไหลเพียงรายการเดียวให้กลายเป็นการบุกรุกหลายบัญชี ผู้จัดการรหัสผ่านช่วยลดภาระในการจำรหัสผ่านที่ไม่ซ้ำและซับซ้อนสำหรับทุกบริการ หากรหัสผ่านจากการรั่วไหลครั้งหนึ่งไม่สามารถปลดล็อกบัญชีอื่นได้ ความเสียหายจากการเปิดเผยครั้งเดียวก็จะถูกจำกัดวง

ตรวจสอบว่าข้อมูลประจำตัวของคุณปรากฏในการรั่วไหลที่รู้จักหรือไม่ บริการเฝ้าระวังการรั่วไหลที่น่าเชื่อถือหลายแห่งให้คุณกรอกที่อยู่อีเมลและดูว่ามันปรากฏในชุดข้อมูลที่รั่วไหลหรือไม่ ผู้จัดการรหัสผ่านหลายรายมีฟีเจอร์ตรวจสอบนี้ในตัวเรียบร้อยแล้ว การตรวจสอบนี้คือพื้นฐานที่ดีในการเข้าใจความเสี่ยงปัจจุบันของคุณ

ตรวจสอบบัญชีที่คุณมีอยู่ มองหาบริการที่คุณเลิกใช้แล้วและลบบัญชีเหล่านั้นทิ้งแทนที่จะทิ้งไว้เฉย ๆ บัญชีที่ไม่ได้ใช้งานแต่มีรหัสผ่านซ้ำคือความเสี่ยง การมีบัญชีที่ใช้งานอยู่น้อยลงหมายถึงพื้นที่ในการโจมตีที่เล็กลง

เรื่องนี้มีความหมายอย่างไรต่อคุณ

ข้อมูลประจำตัวหลายพันล้านรายการที่ถูกเปิดเผยในเหตุการณ์รั่วไหลครั้งนี้คือภัยคุกคามที่เกิดขึ้นจริงในปัจจุบัน ไม่ใช่ความเสี่ยงในอนาคตที่ยังไม่เกิด หากคุณมีบัญชีที่สร้างขึ้นก่อนที่คุณจะเริ่มต้นสุขอนามัยรหัสผ่านที่ดี ข้อมูลเก่าเหล่านั้นอาจอยู่ในฐานข้อมูลแบบนี้แล้ว

การตอบสนองที่ถูกต้องไม่ใช่การเลิกใช้ VPN หรือตื่นตระหนก แต่เป็นการตระหนักว่าความเป็นส่วนตัวและความปลอดภัยต้องใช้ชุดเครื่องมือที่เสริมกัน: VPN สำหรับปกป้องทราฟฟิก, ผู้จัดการรหัสผ่านสำหรับสุขอนามัยด้านรหัสผ่าน, MFA สำหรับควบคุมการเข้าถึงบัญชี และการเฝ้าระวังการรั่วไหลเพื่อความตระหนักรู้ ไม่มีเครื่องมือตัวไหนครอบคลุมทุกด้าน

ใช้เวลาสามสิบนาทีในสัปดาห์นี้เพื่อทบทวนการตั้งค่าความปลอดภัยของคุณ เปิด MFA ในบัญชีที่อ่อนไหวที่สุด ตรวจสอบอีเมลหลักว่าปรากฏในการรั่วไหลหรือไม่ และทบทวนว่าคุณยังใช้รหัสผ่านซ้ำกันในหลายบริการหรือเปล่า ขั้นตอนเหล่านี้จะปกป้องบัญชีของคุณจากผลพวงของฐานข้อมูล 24 พันล้านเรคคอร์ดได้มากกว่าเครื่องมือความเป็นส่วนตัวตัวใดเพียงลำพัง