เจาะปม "iCloud ถูกแฮก" เกิดได้อย่างไร-วิธีรับมือ

แอปเปิล (Apple) ออกมาประกาศแล้วว่ากำลังเร่งมือสอบสวนอย่างเต็มที่กรณีเซเลบริตี้คนดังถูกลักลอบนำภาพลับออกจากระบบเก็บข้อมูลของแอปเปิล จนทำให้เซเลบฯหลายคนได้รับความเสียหาย ล่าสุดมีรายงานเบื้องต้นถึงสาเหตุที่ทำให้เกิดภัยขโมยภาพลับเหล่าเซเลบฯ ซึ่งหลายสาเหตุพบว่าชาวออนไลน์สามารถลงมือป้องกันตัวเองได้เพื่อไม่ให้ประวัติศาสตร์ซ้ำรอย

เจนนิเฟอร์ ลอว์เรนซ์ (Jennifer Lawrence) ดาราสาวจากภาพยนตร์ชื่อดัง "เดอะ ฮังเกอร์ เกมส์ (The Hunger Games)" คือหนึ่งในกลุ่มคนดังที่ถูกเผยแพร่ภาพเปลือยไปทั่วโลกออนไลน์ ภาพถ่ายส่วนตัวเหล่านี้เป็นภาพที่ถูกเก็บไว้ในบริการ "ไอคลาวด์ (iCloud)" ซึ่งผู้ใช้ทั่วโลกให้ความเชื่อถือว่าเป็นบริการที่มีความปลอดภัยสูง แต่แฮกเกอร์ใจร้ายผู้เผยแพร่ภาพเปลือยของเหล่าเซเลบฯยืนยันว่าสามารถเจาะระบบ iCloud ได้สำเร็จ

เหตุการณ์ที่เกิดขึ้นทำให้แอปเปิลออกมาให้สัมภาษณ์กับสื่ออเมริกันว่ากำลังอยู่ระหว่างการสอบสวนอย่างจริงจัง ท่ามกลางเซเลบฯบางรายที่ออกมาแสดงความไม่พอใจต่อแอปเปิลที่ปล่อยให้มีช่องโหว่ที่บริการจนทำให้ผู้ใช้ได้รับความเดือดร้อน เช่น ดาราสาว คริสเตน ดัสต์ (Kirsten Dunst) ที่ส่งข้อความประชดประชันแอปเปิลบนทวิตเตอร์

***แฮกได้อย่างไร?

มีการตั้งข้อสังเกตว่าภาพเปลือยของเหล่าเซเลบฯถูกนำไปเผยแพร่บนโลกออนไลน์ทันทีหลังจากที่ชุมชนนักแฮกมีการเปิดเผยช่องโหว่ในบริการติดตามไอโฟนที่สูญหาย "ฟายด์ มาย ไอโฟน (Find My iPhone)" ของแอปเปิล ดังนั้นแอปเปิลจึงตกที่นั่งเป็นจำเลยเต็มตัวในกรณีที่เกิดขึ้น

ไม่เพียงช่องโหว่ใน Find My iPhone แต่โปรแกรมเดาสุ่มรหัสผ่านนามว่า "ibrute" ยังถูกเผยแพร่บนเว็บไซต์ GitHub.com เมื่อวันเสาร์ (30 ส.ค. 57) ที่ผ่านมา โปรแกรมนี้ใช้ประโยชน์จากข้อบกพร่องใน Find My iPhone จนทำให้นักเจาะระบบสามารถเดาสุ่มรหัสผ่านได้จนกว่าจะพบรหัสที่ถูกต้อง ซึ่งเมื่อพบแล้ว ก็จะสามารถนำรหัสผ่านนี้ไปดึงข้อมูลลับทุกอย่างที่เก็บบน iCloud ของผู้ใช้รายนั้น

แม้ข้อบกพร่องของบริการจากแอปเปิลจะไม่น่าให้อภัย แต่ต้องยอมรับด้วยว่าปัจจัยสำคัญที่ทำให้การแฮก iCloud ทำได้สำเร็จคือการเลือกรหัสผ่านที่เดาง่ายเกินไป โดยเฉพาะรหัสผ่านที่ติดอันดับ "500 common passwords" หรือรหัสผ่านยอดนิยมที่เดาง่าย 500 อันดับของโลก เช่นคำว่า "password" หรือ "123456"

นอกจากนี้ การแฮก iCloud ยังจำเป็นต้องใช้อีเมลแอดเดรสที่ผู้ใช้ลงทะเบียนไว้กับแอปเปิล ซึ่งหากอีเมลนั้นใช้รหัสผ่านที่คาดเดาได้ง่าย ไฟล์ต่างๆในอีเมลก็ล้วนมีโอกาสถูกลักลอบแอบอ่านได้เช่นกัน

***รับมือรอบด้าน

สิ่งที่ผู้ใช้ทุกคนควรลงมือป้องกันตัวเองทันทีคือการตั้งรหัสผ่านใหม่ที่ "เดาได้ยาก แต่จดจำง่าย" ขณะเดียวกันก็ควรปรับเปลี่ยนการตั้งค่าในบริการออนไลน์ให้เป็นการยืนยันตัวบุคคล 2 ชั้น เนื่องจากนักวิเคราะห์เชื่อว่ากรณีแฮกภาพเหล่าเซเลบฯครั้งนี้จะเป็นเพียงจุดเริ่มต้นของมหกรรมเจาะระบบ iCloud ที่จะเกิดขึ้นต่อเนื่องนับจากนี้

หนึ่งในเคล็ดไม่ลับของการตั้งรหัสผ่าน คือการใช้วลีแทนคำศัพท์ขนาดสั้น ตัวอย่างเช่น "Steelers?Win!Cowboys?Lose!" หรือ "Volt!Amp!Tesla!Edison?" รหัสผ่านลักษณะนี้จะมีโอกาสน้อยมากที่โปรแกรมคาดเดารหัสผ่านจะเจาะระบบได้สำเร็จ

อย่างไรก็ตาม ขณะนี้มีโปรแกรมบริหารจัดการรหัสผ่านให้บริการมากมาย ถือเป็นอีกทางออกสำหรับผู้ที่หวั่นใจกับการจดจำรหัสผ่านในแต่ละบริการ

นอกจากการตั้งรหัสผ่านที่ปลอดภัย ระบบยืนยันบุคคล 2 ชั้นหรือ two-factor authentication ยังถือเป็นอีกเครื่องมือทรงพลังที่ช่วยให้ชาวออนไลน์ทุกคนสามารถป้องกันข้อมูลของตัวเอง (และของบริษัท) เครื่องมือนี้จะทำให้ผู้ใช้รู้ตัวทันทีที่ถูกลักลอบเข้าใช้งานชื่อบัญชีส่วนตัว เพราะผู้ใช้จะได้รับอีเมลหรือข้อความทางโทรศัพท์มือถือแจ้งรหัสผ่านจากบริการนั้นๆ ซึ่งหากนักเจาะระบบไม่มีรหัสผ่านทางโทรศัพท์มือถือ ก็จะไม่สามารถเข้าใช้งานได้

- ผู้ใช้บริการ iCloud สามารถเปิดการทำงาน two-factor authentication ด้วยขั้นตอนต่อไปนี้

1 ลงชื่อใช้งาน My Apple ID ตามปกติ
2 เลือก "Manage your Apple ID and sign in"
3 คลิกที่ "Password and Security"
4 เลือกเมนู "Two-Step Verification" แล้วจะคลิกที่ "Get Started" จากนั้นให้ทำตามขั้นตอน ซึ่งจะต้องมีการกรอกหมายเลขโทรศัพท์ หรืออีเมลแอดเดรสสำรอง

หากมีการตั้งค่า Apple ID เป็นระบบ two-factor authentication แล้ว การเปลี่ยนแปลงรหัสผ่านทุกครั้งจะต้องทำผ่านระบบ two-factor authentication เสมอ

- ผู้ใช้บริการ Dropbox สามารถเปิดการทำงาน two-factor authentication ด้วยขั้นตอนต่อไปนี้

1 ลงชื่อใช้งาน Dropbox
2 คลิกที่ชื่อผู้ใช้บริเวณมุมขวาบนของเพจ เพื่อเปิดเมนูบัญชีผู้ใช้
3 เลือก "Settings" ที่บัญชีผู้ใช้ ก่อนจะคลิกที่แท็บ "Security"
4 มองหาเมนู "Two-step verification" เมื่อคลิกแล้วเลือกที่ "Enable"
5 จากนั้นคลิก "Get started" และใส่ข้อมูลหมายเลขโทรศัพท์ตามขั้นตอนที่กำหนด

การตั้งค่า Dropbox เป็นระบบ two-factor authentication จะต้องมีการกรอกรหัสผ่านซ้ำอีกครั้งเพื่อเปิดใช้งานระบบ จุดนี้ผู้ใช้จะเลือกได้ว่าจะรับรหัสผ่านจาก Dropbox ทางข้อความหรือจะใช้แอปพลิเคชันบนอุปกรณ์พกพา

- ระบบ two-factor authentication บน Google Drive สามารถเปิดการทำงานตามขั้นตอนต่อไปนี้

1 ลงชื่อใช้งาน Google
2 กรอกหมายเลขโทรศัพท์เคลื่อนที่
3 กรอกรหัสที่ได้รับจากข้อความ SMS หรือจากสายโทรเข้า
4 เพิ่มข้อมูลอื่นๆตามขั้นตอนที่กำหนด

ผู้ใช้ที่เปิด two-factor authentication บนบริการของกูเกิลจะต้องรับรหัสผ่านใหม่ทุกครั้งเมื่อต้องการใช้งานบนเครื่องพีซีหรืออุปกรณ์ใดก็ตาม ดังนั้นในบางบริการอย่าง "Gmail" ที่ผู้ใช้จะผูกเข้ากับสมาร์ทโฟนหรือแท็บเล็ตเพื่อให้สามารถอ่านอีเมลได้ตลอดเวลา ก็จำเป็นที่ผู้ใช้ต้องตั้งรหัสผ่านเฉพาะแอปพลิเคชันในการใช้งานต่อไป

- ขั้นตอนการเปิดระบบ two-factor authentication บน Microsoft OneDrive เริ่มด้วย

1 ลงชื่อใช้งาน Microsoft Account
2 เลือกที่ "Security & Password"
3 มองหาเมนู "Password and security info" จากนั้นให้คลิก "Edit security info"
4 จะปรากฏเมนู "Two-step verification" เมื่อเลือกแล้วให้เปิด "Set up two-step verification"
5 เลือก "Next" แล้วจึงกรอกข้อมูลตามขั้นตอนที่ปรากฏ

เพียงกรอกรหัสผ่านที่ไมโครซอฟท์ส่งให้ทางโทรศัพท์หรืออีเมล ระบบ two-step verification ก็จะทำงานทันที

นอกจากบริการฝากไฟล์ออนไลน์เหล่านี้ บริการเครือข่ายสังคมอย่าง Facebook หรือ Twitter รวมถึงนานาบริการออนไลน์อื่นๆล้วนเปิดให้ผู้ใช้ตั้งค่าระบบ two-factor authentication แล้ว ฉะนั้นผู้ใช้ทุกคนควรปรับตัวป้องกันตัวเองเสียแต่วันนี้ ก่อนที่ทุกอย่างจะสายเกินไป.