ผมเจอเครื่องมือตัวนึงมาครับ เพียงเราส่งโดเมนที่สนใจไป มันก็จะตอบกลับมาให้ ว่ามีรหัสผ่านรั่วเยอะแค่ไหน แถมส่งรหัสผ่านกลับมาให้ด้วย
ก็เลยนึกสนุก ลองเอาเว็บของแต่ละกระทรวง ไปสืบค้นดู ว่าแต่ละที่ผลลัพธ์เป็นยังไงบ้าง และนี่คือผลลัพธ์ที่ได้
แต่เดี๋ยวก่อน ขอ Disclaimer นิดนึง
อย่างแรกที่ต้องย้ำก่อน คือผลการค้นหานี้ไม่ได้แปลว่าระบบของกระทรวงถูกเจาะ และไม่ได้แปลว่าระบบไอทีของกระทรวงนั้นอ่อนแอ
ข้อมูลรหัสผ่านจำนวนมากในชุดข้อมูลลักษณะนี้ มักไม่ได้รั่วจากเซิร์ฟเวอร์ของหน่วยงาน แต่รั่วจากเครื่องของเจ้าหน้าที่เอง เช่น เครื่องคอมพิวเตอร์ของเจ้าหน้าที่ติดไวรัสหรือติดมัลแวร์ แล้วมัลแวร์ก็ดึงข้อมูลที่บันทึกไว้ในเครื่องออกไป ไม่ว่าจะเป็นชื่อผู้ใช้ รหัสผ่าน คุกกี้ หรือข้อมูลการเข้าสู่ระบบอื่นๆ
พูดง่ายๆ คือ ต่อให้ระบบของหน่วยงานทำมาดีแค่ไหน ถ้าเครื่องปลายทางของผู้ใช้งานติดมัลแวร์ รหัสผ่านที่เคยกรอกหรือเคยบันทึกไว้ในเครื่องนั้นก็อาจถูกขโมยออกไปได้อยู่ดี
สาเหตุที่เจอบ่อยก็เช่น ใช้โปรแกรมเถื่อน โหลด crack ใช้ keygen ลงส่วนเสริมแปลก ๆ เปิดไฟล์ที่ไม่น่าไว้ใจ หรือเข้าเว็บเสี่ยงๆ พฤติกรรมเหล่านี้ทำให้เครื่องติดมัลแวร์ได้ทั้งหมด และเมื่อเครื่องติดแล้ว ข้อมูลในเครื่องก็อาจถูกดูดออกไปโดยไม่เกี่ยวกับการเจาะระบบกลางของกระทรวงเลย
ดังนั้น ตัวเลขในบทความนี้ไม่ควรถูกใช้เพื่อตัดสินว่า “กระทรวงไหนระบบอ่อนแอกว่าใคร” แต่ควรมองว่าเป็นสัญญาณว่า บัญชีของเจ้าหน้าที่รัฐจำนวนมากเคยไปปรากฏอยู่ในชุดข้อมูลรั่วไหล และภาครัฐควรให้ความสำคัญกับความปลอดภัยระดับเครื่องผู้ใช้งานมากขึ้น
ข้อมูลส่วนใหญ่เป็นรหัสผ่านเก่าที่รั่วไหลมานานแล้ว จากการตรวจสอบเบื้องต้น มากกว่า 90% ใช้งานไม่ได้ในปัจจุบันแล้ว บางกระทรวง เช่น กระทรวงมหาดไทย และกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ผมลองสุ่มตรวจแล้วยังไม่เจอรหัสที่ใช้ได้จริงในระบบปัจจุบัน ส่วนหนึ่งเพราะหลายระบบย้ายไปใช้ ThaID หรือระบบยืนยันตัวตนแบบใหม่แล้ว
มา มาเริ่มกันเลย
จากข้อมูลที่สำรวจ พบว่าหน่วยงานที่มีจำนวนรหัสผ่านรั่วไหลสูงที่สุด ได้แก่
| อันดับ | กระทรวงหรือเทียบเท่า | โดเมน | จำนวนรหัสผ่านที่รั่วไหล |
|---|---|---|---|
| 1 | กระทรวงมหาดไทย | moi.go.th | 500,000 |
| 2 | กระทรวงศึกษาธิการ | moe.go.th | 500,000 |
| 3 | กระทรวงแรงงาน | mol.go.th | 359,535 |
| 4 | กระทรวงสาธารณสุข | moph.go.th | 212,460 |
| 5 | สำนักนายกรัฐมนตรี | opm.go.th | 198,984 |
| 6 | กระทรวงกลาโหม | mod.go.th | 170,667 |
| 7 | กระทรวงยุติธรรม | moj.go.th | 151,626 |
| 8 | กระทรวงการคลัง | mof.go.th | 107,456 |
| 9 | กระทรวงการต่างประเทศ | mfa.go.th | 54,790 |
| 10 | กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม | mdes.go.th | 25,643 |
กลุ่มที่น่าจับตาเป็นพิเศษคือหน่วยงานที่มีจำนวนข้อมูลรั่วไหลสูงมาก และยังมีภารกิจที่เกี่ยวข้องกับข้อมูลประชาชนจำนวนมาก เช่น กระทรวงมหาดไทย กระทรวงศึกษาธิการ และกระทรวงสาธารณสุข
กระทรวงมหาดไทยและกระทรวงศึกษาธิการพบจำนวนสูงถึง 500,000 รายการเท่ากัน ซึ่งเป็นตัวเลขที่สูงมากเมื่อเทียบกับหน่วยงานอื่น ขณะที่กระทรวงแรงงานและกระทรวงสาธารณสุขก็ตามมาในระดับหลายแสนรายการเช่นกัน
อย่างไรก็ตาม ตัวเลข 500,000 รายการในตาราง ไม่ใช่จำนวนสูงสุดจริง ๆ แต่เป็นเพดานที่ระบบตรวจสอบแสดงผลได้ หมายความว่าถ้าเห็น 500,000 ก็แปลว่าแตะเพดานแล้ว จำนวนจริงอาจสูงกว่านั้น แต่ระบบไม่แสดงผลเกินกว่านี้
หน่วยงานที่ตกเป็นเป้าหมายมากที่สุด
นอกจากจำนวนรหัสผ่านที่รั่วไหลแล้ว จำนวนครั้งที่ถูกสืบค้นก็สำคัญไม่แพ้กัน เพราะสามารถใช้บอกได้ว่าตกเป็นเป้าโจมตีมากน้อยเพียงใด
ตัวอย่างที่น่าสนใจ ได้แก่
| กระทรวงหรือเทียบเท่า | โดเมน | จำนวนรหัสผ่านที่รั่วไหล | จำนวนครั้งที่ถูกสืบค้น |
|---|---|---|---|
| กระทรวงการคลัง | mof.go.th | 107,456 | 80 |
| กระทรวงศึกษาธิการ | moe.go.th | 500,000 | 63 |
| กระทรวงสาธารณสุข | moph.go.th | 212,460 | 44 |
| กระทรวงการต่างประเทศ | mfa.go.th | 54,790 | 27 |
| กระทรวงมหาดไทย | moi.go.th | 500,000 | 25 |
กรณีกระทรวงการคลังน่าสนใจเป็นพิเศษ แม้จำนวนรายการจะไม่สูงที่สุด แต่มีจำนวนครั้งที่ถูกสืบค้นสูงถึง 80 ครั้ง น่าจะเป็นเพราะมีเรื่องงบประมาณเข้ามาเกี่ยวข้องจึงตกเป็นเป้าอันดับหนึ่ง
ข้อมูลเก่าก็ยังมีค่าในมือผู้ไม่หวังดี
หลายคนอาจคิดว่า ถ้ารหัสผ่านใช้ไม่ได้แล้ว ก็จบ ไม่มีอะไรต้องกังวล
แต่ในโลกความมั่นคงปลอดภัย ข้อมูลเก่าก็ยังเอาไปต่อยอดได้ เช่น ใช้ดูรูปแบบการตั้งรหัสผ่านของคนในองค์กร ใช้เดารหัสผ่านซ้ำกับระบบอื่น ใช้ประกอบการหลอกลวงทางอีเมล หรือใช้ตรวจหาบัญชีเก่าที่ยังไม่ได้ปิดใช้งาน
ยกตัวอย่างง่ายๆ ถ้าเจ้าหน้าที่คนหนึ่งเคยใช้รหัสผ่านเดียวกันหลายระบบ ต่อให้รหัสผ่านของระบบหนึ่งใช้ไม่ได้แล้ว ผู้ไม่หวังดีอาจเอาไปลองกับระบบอื่นได้
หรือถ้าผู้ไม่หวังดีรู้ว่าอีเมลนี้เป็นของเจ้าหน้าที่รัฐจริง ก็สามารถนำไปใช้ทำอีเมลหลอกลวงแบบเจาะจงบุคคลได้ เช่น ส่งเอกสารปลอม ส่งลิงก์ปลอม หรือหลอกให้กรอกข้อมูลเพิ่ม
ดังนั้น ถึงรหัสผ่านส่วนใหญ่จะเป็นของเก่า แต่ก็ยังไม่ใช่เรื่องที่ควรปล่อยผ่าน
แล้วควรทำอะไรต่อ
สิ่งที่หน่วยงานรัฐควรทำ ไม่ใช่แค่ออกมาบอกว่าระบบไม่ได้ถูกเจาะ แล้วจบ เพราะแม้ระบบกลางจะไม่ได้ถูกเจาะ แต่ถ้าบัญชีเจ้าหน้าที่เคยหลุดจากเครื่องปลายทางจำนวนมาก ก็ยังเป็นความเสี่ยงที่ควรจัดการ
มาตรการที่ควรทำ เช่น
- ทำ MFA และใช้ ThaID โดยด่วน
- ตรวจสอบบัญชีที่เกี่ยวข้องกับโดเมนของกระทรวงว่าเคยปรากฏในชุดข้อมูลรั่วไหลหรือไม่
- บังคับเปลี่ยนรหัสผ่านของบัญชีที่มีความเสี่ยง
- ตรวจสอบและปิดบัญชีเก่าที่ไม่ได้ใช้งาน
- ห้ามใช้โปรแกรมเถื่อนหรือซอฟต์แวร์จากแหล่งที่ไม่น่าเชื่อถือ
- ตรวจจับมัลแวร์ประเภทขโมยข้อมูลบนเครื่องผู้ใช้งาน
- ลดการบันทึกรหัสผ่านสำคัญไว้ในเบราว์เซอร์
- ให้ความรู้เจ้าหน้าที่เรื่องเว็บเสี่ยง ไฟล์แนบอันตราย และการหลอกให้ติดตั้งโปรแกรม
- เฝ้าระวังข้อมูลรั่วไหลอย่างต่อเนื่อง ไม่ใช่ตรวจครั้งเดียวแล้วจบ
ข้อมูลฉบับเต็ม
| # | กระทรวงหรือเทียบเท่า | โดเมน | จำนวนรหัสผ่านที่รั่วไหล | จำนวนครั้งที่ถูกสืบค้น |
|---|---|---|---|---|
| 1 | สำนักนายกรัฐมนตรี | opm.go.th | 198,984 | 2 |
| 2 | กระทรวงกลาโหม | mod.go.th | 170,667 | 5 |
| 3 | กระทรวงการคลัง | mof.go.th | 107,456 | 80 |
| 4 | กระทรวงการต่างประเทศ | mfa.go.th | 54,790 | 27 |
| 5 | กระทรวงการท่องเที่ยวและกีฬา | mots.go.th | 818 | 2 |
| 6 | กระทรวงการพัฒนาสังคมและความมั่นคงของมนุษย์ | m-society.go.th | 3,709 | 8 |
| 7 | กระทรวงเกษตรและสหกรณ์ | moac.go.th | 2,822 | 1 |
| 8 | กระทรวงคมนาคม | mot.go.th | 12,506 | 9 |
| 9 | กระทรวงทรัพยากรธรรมชาติและสิ่งแวดล้อม | mnre.go.th | 1,734 | 7 |
| 10 | กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม | mdes.go.th | 241 | 3 |
| 11 | กระทรวงพลังงาน | energy.go.th | 20,653 | 0 |
| 12 | กระทรวงพาณิชย์ | moc.go.th | 25,643 | 19 |
| 13 | กระทรวงมหาดไทย | moi.go.th | 500,000 | 25 |
| 14 | กระทรวงยุติธรรม | moj.go.th | 151,626 | 19 |
| 15 | กระทรวงแรงงาน | mol.go.th | 359,535 | 3 |
| 16 | กระทรวงวัฒนธรรม | culture.go.th | 23,939 | 9 |
| 17 | กระทรวงการอุดมศึกษา วิทยาศาสตร์ วิจัยและนวัตกรรม | mhesi.go.th | 2,412 | 5 |
| 18 | กระทรวงศึกษาธิการ | moe.go.th | 500,000 | 63 |
| 19 | กระทรวงอุตสาหกรรม | industry.go.th | 4,658 | 9 |
| 20 | กระทรวงสาธารณสุข | moph.go.th | 212,460 | 44 |
หมายเหตุ:
- ผลการค้นหา ณ วันที่ 10 มิถุนายน พ.ศ.2569 เวลา 00:22-00:38 น.
- ตัวเลข 500,000 คือเพดานสูงสุดที่ระบบแสดงผลได้ ไม่ใช่จำนวนสูงสุดจริง
