เผยบัญชี Zoom กว่า 500,000 รายการ หลุดบน dark web เหตุตั้งรหัสผ่านซ้ำกับที่หลุดมาจากบริการอื่น

กองบรรณาธิการ TCIJ 21 เม.ย. 2563 | อ่านแล้ว 1062 ครั้ง

เผยบัญชี Zoom กว่า 500,000 รายการ หลุดบน dark web เหตุตั้งรหัสผ่านซ้ำกับที่หลุดมาจากบริการอื่น

ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ประเทศไทย (ไทยเซิร์ต) อ้างอิงสื่อไอทีต่างประเทศ เผยบัญชีผู้ใช้งาน Zoom กว่า 500,000 รายการถูกประกาศขายบน dark web สาเหตุจากการตั้งรหัสผ่านซ้ำกับรหัสที่หลุดมาจากบริการอื่น ผู้ใช้งาน Zoom สามารถตรวจสอบว่าบัญชีของตนเองเคยถูกขโมยมาก่อนหน้านี้หรือไม่ ผ่านบริการของเว็บไซต์ haveibeenpwned.com และ amibreached.com | ที่มาภาพประกอบ: Bleeping Computer

ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ประเทศไทย (ไทยเซิร์ต) รายงานว่าเมื่อวันที่ 13 เม.ย. 2563 เว็บไซต์ Bleeping Computer ได้รายงานว่าบริษัทด้านความมั่นคงปลอดภัยชื่อ Cyble ได้พบรายการบัญชีผู้ใช้และรหัสผ่านสำหรับล็อกอินระบบ Zoom มากกว่า 500,000 รายการ ถูกประกาศขายบนฟอรัมของแฮ็กเกอร์และ dark web โดยข้อมูลดังกล่าวถูกขายในราคาบัญชีละไม่ถึงหนึ่งเพนนี และในบางกรณีก็เป็นการแจกฟรี ทางบริษัท Cyble ได้ติดต่อซื้อข้อมูลดังกล่าว (ประกอบไปด้วย อีเมล รหัสผ่าน ลิงก์สำหรับการประชุม และรหัสผ่านที่ใช้เข้าห้องประชุม) เพื่อทำการตรวจสอบ พบว่าสามารถใช้ล็อกอินได้จริง นอกจากนี้ผู้ใช้รายหนึ่งได้เปิดเผยกับเว็บไซต์ Bleeping Computer ว่ารหัสผ่านที่ถูกเผยแพร่ออกมานั้นเป็นรหัสเก่า บ่งชี้ว่าข้อมูลบางส่วนมีแนวโน้มที่จะมาจากการโจมตีที่เรียกว่า "credential stuffing" ซึ่งเป็นการที่ผู้ไม่ประสงค์ดีนำข้อมูลบัญชีผู้ใช้และรหัสผ่านของเหยื่อที่เคยถูกขโมยมาก่อนหน้านี้ มาทดสอบเข้าใช้งานระบบต่าง ๆ เช่น อีเมล โดยเฉพาะในกรณีนี้คือบัญชีการล็อกอินของระบบ Zoom กลวิธีดังกล่าวมักได้ผลสำเร็จสูงในกรณีที่ผู้ใช้งานเลือกใช้รหัสผ่านเดียวกันในทุก ๆ ระบบ

อย่างไรก็ตาม จากกรณีข่าวดังกล่าว ยังไม่มีการรายงานถึงการค้นพบช่องโหว่ของระบบ Zoom แต่อย่างใด หากแต่เป็นความไม่ระมัดระวังอย่างเพียงพอของผู้ใช้งานที่ใช้ชื่อบัญชีผู้ใช้ และรหัสผ่านเดียวกันในหลายระบบ ทั้งนี้ผู้ใช้งาน Zoom สามารถตรวจสอบว่าบัญชีของตนเองเคยถูกขโมยมาก่อนหน้านี้หรือไม่ ผ่านบริการของเว็บไซต์ https://haveibeenpwned.com/ และ https://www.amibreached.com/ ทั้งนี้ ทาง Zoom ได้แจ้งกับทาง Bleeping Computer ว่าได้ประสานกับบริษัทภายนอกเพื่อเข้ามาช่วยตรวจสอบบัญชีที่ได้รับผลกระทบ โดยเบื้องต้นจะล็อคการใช้งานบัญชีและแจ้งเตือนให้ผู้ใช้ที่ถูกนำบัญชีมาประกาศขายได้เปลี่ยนรหัสผ่านก่อนการใช้งานในครั้งถัดไป

ทั้งนี้ ไทยเซิร์ตขอแนะนำผู้ใช้งาน Zoom ถึงวิธีการป้องกันด้วยตัวเอง เพื่อไม่ให้ตกเป็นเหยื่อภัยคุกคามดังกล่าว ดังนี้

1.ให้รีบเปลี่ยนรหัสผ่านสำหรับบัญชีใช้งานของระบบ Zoom รวมถึงที่ระบบต่าง ๆ โดยเฉพาะบัญชีที่ใช้รหัสผ่านเดียวกัน ต้องรีบเปลี่ยนก่อน และไม่ควรเปลี่ยนให้เหมือนกันกับระบบอื่น
2.ในกรณีที่ใช้งานบัญชีที่เกี่ยวข้องกับการเงิน ให้แจ้งผู้ให้บริการทราบด้วย
3.ในกรณีที่เป็นบัญชีอีเมล (email) ให้หมั่นตรวจสอบประวัติการเข้าใช้งานย้อนหลังว่ามีการเข้าใช้ที่ผิดปกติหรือไม่ เช่น มีการเข้าใช้จากต่างประเทศ หรือเวลาที่ตนเองไม่ได้ใช้ หากพบความผิดปกติ ให้รีบเปลี่ยนรหัสผ่านและเคลียร์เซสชันการล๊อกอิน รวมถึงควรมีการเปิดการตั้งค่าการยืนยันตัวตนแบบสองขั้นตอน (two-factor authentication) เพื่อเพิ่มความมั่นคงปลอดภัยใช้กับการเข้าใช้งาน
4.ให้ตรวจสอบประวัติการทำธุรกรรมออนไลน์ในบัญชีต่าง ๆ อย่างใกล้ชิด หากพบความผิดปกติ ให้รีบปรึกษาผู้ให้บริการที่เกี่ยวข้อง

ร่วมเป็นแฟนเพจเฟสบุ๊คกับ TCIJ ออนไลน์
www.facebook.com/tcijthai

ป้ายคำ