วิกฤตแฮ็ก "อูเบอร์" ตอกย้ำระบบเก็บข้อมูลไม่ปลอดภัย

โดย...ทีมข่าวต่างประเทศโพสต์ทูเดย์

เมื่อไม่กี่เดือนก่อนหน้านี้ ดารา โคสโรวชาฮี ได้รับเลือกมาเป็นประธานเจ้าหน้าที่บริหาร (ซีอีโอ) คนใหม่ของบริษัท อูเบอร์ อิงค์ ธุรกิจไรด์-แชริ่งชื่อดังจากสหรัฐ เพื่อกอบกู้องค์กรจากภาวะวิกฤตครั้งใหญ่ของทีมผู้บริหาร พร้อมประกาศชัดเจนว่าจะเข้ามาปฏิรูปวัฒนธรรมองค์กรที่ย่ำแย่มาอย่างยาวนาน แต่ผ่านไปไม่ถึง 4 เดือนหลังครองตำแหน่ง ก็เกิดกรณีฉาวอีกครั้ง

อูเบอร์ เปิดเผยว่า ถูกแฮ็กเกอร์โจรกรรมข้อมูลผู้ใช้งาน 50 ล้านราย และพนักงานอีก 7 ล้านรายทั่วโลก เมื่อเดือน ต.ค. 2016 หลังแฮ็กเกอร์สามารถเข้าถึงแหล่งข้อมูลของบริษัทภายใน กิตฮับ ซึ่งเป็นผู้ให้บริการร่วมพัฒนาซอฟต์แวร์และรับฝากข้อมูลไว้ในระบบคลาวด์ แต่อูเบอร์ได้ปิดบังเหตุดังกล่าวและจ่ายเงิน 1 แสนดอลลาร์สหรัฐ (ราว 3.2 ล้านบาท) เพื่อให้แฮ็กเกอร์ลบข้อมูลทิ้ง

การเปิดเผยดังกล่าวส่งผลให้บรรดาหน่วยงานรัฐบาล อาทิ คณะกรรมการด้านการค้าแห่งชาติสหรัฐ (เอฟทีซี) เริ่มสืบสวนอูเบอร์กรณีปกปิดการแฮ็ก โดยอูเบอร์เสี่ยงจะโดนปรับเงินจากข้อหาดังกล่าว ในขณะที่ความน่าเชื่อถือของบริษัทเองก็ได้รับผลกระทบ

อย่างไรก็ดี นี่ไม่ใช่ครั้งแรกที่แฮ็กเกอร์เข้าถึงฐานข้อมูลของบริษัทไรด์-แชริ่งจากสหรัฐผ่านทางผู้ให้บริการรับฝากข้อมูล

เมื่อปี 2014 กลุ่มแฮ็กเกอร์โจรกรรมข้อมูลผู้ขับอูเบอร์ 5 หมื่นราย หลังค้นพบรหัสผ่านเข้าระบบของอูเบอร์เผยแพร่อยู่ในกิตฮับ โดยผู้พัฒนาซอฟต์แวร์ของอูเบอร์เอง ซึ่งเอฟทีซีเปิดเผยภายหลังว่า ข้อมูลผู้ขับอูเบอร์ที่ถูกโจรกรรมอาจมากถึง 1 แสนราย

ขณะเดียวกัน เหตุการณ์แฮ็กดังกล่าวบ่งชี้ถึงความเสี่ยงในการว่าจ้างบุคคลที่สามในการเก็บข้อมูล และแชร์โค้ดที่ใช้สำหรับเขียนโปรแกรม โดยบลูมเบิร์กรายงานว่า บริษัทจำนวนมากว่าจ้างบุคคลที่สาม อาทิ กิตฮับ กิตแล็บ และซอร์สฟอร์จ ที่ให้บริการระบบคลาวด์ ให้เข้ามาร่วมพัฒนาซอฟต์แวร์ของผู้จ้าง รวมไปถึงช่วยเผยแพร่ซอฟต์แวร์ดังกล่าว ดังนั้นบริษัทบุคคลที่สามดังกล่าวจึงเป็นเป้าหมายของแฮ็กเกอร์

“การฝากโค้ดโปรแกรมไว้กับบุคคลที่สามอาจสร้างปัญหาให้บริษัทได้” คริส บอยด์ นักวิเคราะห์จากบริษัท มัลแวร์ไบต์ส ที่พัฒนาระบบแอนตี้ไวรัสคอมพิวเตอร์ ทั้งนี้อูเบอร์เองก็ไม่ใช่บริษัทเดียวที่ข้อมูลรั่วไหลเพราะบุคคลที่สาม

ก่อนหน้านี้เมื่อเดือน ก.ย.ที่ผ่านมา อิควิแฟ็กซ์ อิงค์ บริษัทข้อมูลบัตรเครดิตรายใหญ่ ถูกโจมตีไซเบอร์จนแฮ็กเกอร์สามารถเข้าถึงข้อมูลส่วนตัวของลูกค้าได้ถึง 145.5 ล้านคน หรือเกือบครึ่งหนึ่งของประชากรทั้งหมดในสหรัฐ โดยบริษัทได้กล่าวโทษว่า บริษัทบุคคลที่สามที่อิควิแฟ็กซ์ว่าจ้างให้ประเมินประสิทธิภาพการทำงานของเว็บไซต์ ทำงานผิดพลาดโดยการใช้โค้ดโปรแกรมที่เปิดช่องให้แฮ็กเกอร์เข้าถึงข้อมูลลูกค้าที่เข้ามายังหน้าเว็บไซต์อิควิแฟ็กซ์

นอกจากนี้ แอพธอรีทีย์ บริษัทด้านความมั่นคงไซเบอร์ เปิดเผยเมื่อวันที่ 9 พ.ย.ที่ผ่านมาว่า ผู้พัฒนาของ บริษัท ทวิลิโอ อิงค์ ที่รับฝากข้อมูลผ่านระบบคลาวด์ ได้เปิดเผยโค้ดโปรแกรมที่เปิดทางให้แฮ็กเกอร์เข้าถึงข้อมูลส่วนตัวของผู้ใช้สมาร์ทโฟน ผ่านทางแอพพลิเคชั่นกว่า 685 แอพ

ด้าน เอ็ดวิน โฟวดิล ผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์ กล่าวกับบลูมเบิร์กว่า หลายบริษัทพลาดใส่รหัสผ่านและตัวเข้ารหัสไว้ในโค้ดโปรแกรมที่เก็บไว้ในระบบคลาวด์ของบุคคลที่สาม 

“บริษัทเหล่านั้นเชื่อว่า ข้อมูลที่เก็บไว้กับระบบคลาวด์ของบุคคลที่สามจะปลอดภัย เพราะต้องใช้รหัสผ่านในการเข้าถึง แต่มันเป็นความเชื่อที่ผิด เพราะข้อมูลโค้ดเหล่านั้นเข้าถึงง่ายกว่าที่หลายบริษัทคิด” โฟวดิล กล่าวพร้อมเสริมว่า แฮ็กเกอร์จะสแกนหาโค้ดโปรแกรมภายในระบบที่เปิดเป็นสาธารณะของกิตฮับ เพื่อควานหารหัสผ่านหรือตัวเข้ารหัสต่างๆ

ขณะเดียวกัน กลุ่มโปรแกรมเมอร์ 18เอฟ ที่ร่วมพัฒนาซอฟต์แวร์ให้กับรัฐบาลสหรัฐ ใช้กิตฮับในการเก็บโค้ดโปรแกรมเช่นกัน แต่ทางกลุ่มกำชับให้โปรแกรมเมอร์ใช้ซอฟต์แวร์ในการตรวจสอบว่า หลงเหลือรหัสผ่านหรือตัวเข้ารหัสอยู่ในโค้ดโปรแกรมหรือไม่ ก่อนโพสต์เข้าระบบทุกครั้ง

แต่โฟวดิลระบุว่า ซอฟต์แวร์ดังกล่าวที่ผู้พัฒนาใช้มักจะทำงานพลาด โดยระบุว่าโค้ดโปรแกรมทั่วไปมีรหัสผ่านหรือตัวเข้ารหัสฝังอยู่ ถึงแม้จะไม่มีก็ตาม ทั้งนี้โฟวดิลเสริมว่า ได้พบโค้ดโปรแกรมของ 18เอฟ ที่ฝังข้อมูลสำคัญไว้อยู่ระบบ ดังนั้นการเช็กโค้ดโปรแกรมด้วยตัวผู้พัฒนาเอง จึงเป็นวิธีที่ดีกว่าใช้ซอฟต์แวร์ตรวจจับ

อย่างไรก็ดี การแฮ็กอูเบอร์ก็อาจไม่ใช่กรณีสุดท้ายที่เกิดขึ้นกับบริษัทที่ฝากข้อมูลไว้กับบุคคลที่สาม โดยชูเอิร์ท แลงเคมเปอร์ ที่รับจ้างทดสอบความปลอดภัยของเว็บไซต์ ระบุว่า การใช้บริการบุคคลเก็บข้อมูลก็ยังคงมีข้อดีอยู่

“การเก็บข้อมูลในกิตฮับก็เปรียบเสมือนเก็บข้อมูลไว้ในกูเกิล ไดรฟ์ คือถึงแม้ว่าจะปลอดภัยน้อยกว่าการเก็บไว้ในฮาร์ดไดรฟ์ของคอมพิวเตอร์ส่วนตัว แต่ก็มีข้อดีมากกว่ามีความเสี่ยง” แลงเคมเปอร์ กล่าว