ที่มาภาพ: The Register
รหัสผ่านพนักงาน 2,000 คนเก็บในไฟล์ Excel เดสก์ท็อป สร้างช…
⚡ สรุป 30 วิ
องค์กรหนึ่งเก็บรหัสผ่านของพนักงาน 2,000 คนไว้ในไฟล์ Excel บนเดสก์ท็อปโดยไม่มีการเข้ารหัส ทำให้เกิดการละเมิดข้อมูลสองครั้ง การปฏิเสธเปิดใช้ MFA…
การจัดเก็บรหัสผ่านของพนักงาน 2,000 คนทั้งหมดไว้ในไฟล์ Excel หนึ่งไฟล์บนเดสก์ท็อปของผู้บริหารระดับสูง ทำให้เกิดช่องโหว่ด้านความปลอดภัยร้ายแรงที่ถูกเปิดเผยต่อสาธารณะ เหตุการณ์นี้สะท้อนถึงความสำคัญของการปฏิบัติตามมาตรการป้องกันพื้นฐาน เช่น การใช้ MFA (การตรวจสอบหลายปัจจัย) และการจำกัดการเข้าถึงข้อมูลส่วนบุคคลของพนักงาน
Overview
ผู้เขียนบทความจาก The Register รายงานว่า Luke Irwin, ซีอีโอและที่ปรึกษาหลักของบริษัท Aegis Cybersecurity ได้ให้ข้อมูลเกี่ยวกับลูกค้าหนึ่งที่เป็นองค์กรบริการศูนย์กลางระดับชาติ มีพนักงานประมาณ 2,000 คน องค์กรนี้ให้บริการทำความสะอาด, รักษาความปลอดภัย, งานทำความสะอาด facades ด้วยการใช้เทคนิค industrial abseiling รวมถึงบริการอื่น ๆ ที่จำเป็นต่อการดำเนินงานของธุรกิจขนาดใหญ่ อย่างไรก็ตาม ผู้บริหารระดับสูงของบริษัทนั้นมีแนวคิดแปลก ๆ ว่า “ต้องการเข้าถึงข้อมูลล็อกอินของพนักงานทุกคน” เพื่อใช้ประโยชน์ส่วนตัวในการตรวจสอบอีเมลของพนักงาน
Incident Details
ตามที่ Irwin บรรยาย ผู้บริหารได้สร้างไฟล์ Excel ที่บันทึกรายชื่อผู้ใช้และรหัสผ่านของพนักงานทั้งหมดไว้บนเดสก์ท็อปของตนเอง ไฟล์ดังกล่าวสามารถเปิดได้โดยตรงโดยไม่มีการเข้ารหัสหรือการป้องกันใด ๆ การจัดเก็บข้อมูลสำคัญในลักษณะนี้ขัดต่อแนวทางปฏิบัติที่ปลอดภัยขององค์กรใด ๆ เนื่องจากทำให้ผู้ที่เข้าถึงคอมพิวเตอร์ของผู้บริหารสามารถเข้าถึง “กุญแจทั้งหมดของปราสาท” ได้ในครั้งเดียว
Irwin ชี้ว่าผู้บริหารอ้างเหตุผลว่า ต้องการ “เข้าไปลบอีเมลที่ส่งข้อมูลลับโดยไม่ให้คนอื่นเห็น” จึงต้องการเข้าถึงกล่องจดหมายของพนักงานทุกคนโดยตรง เหตุผลนี้ทำให้ผู้บริหารปฏิเสธการใช้งาน MFA เนื่องจากหลายขั้นตอนของ MFA จะทำให้ไม่สามารถเข้าสู่บัญชีของพนักงานได้โดยอัตโนมัติ
Security Practices Ignored
แม้ว่าองค์กรเคยเผชิญกับเหตุการณ์ ransomware ก่อนหน้านี้ ผู้บริหารก็ยังคงยืนหยัดไม่เปิดใช้ MFA Irwin กล่าวว่าทีม IT ได้พยายามอธิบายว่าการจัดการอีเมลในระดับศูนย์กลางสามารถทำได้โดยใช้คำสั่งผู้ดูแลระบบโดยไม่ต้องขอรหัสผ่านของพนักงาน หลังจากการสาธิตดังกล่าว ผู้บริหารจึงยอมลบไฟล์ Excel ที่บันทึกรหัสผ่านออก แต่ยังคงปฏิเสธการเปิดใช้ MFA ต่อไป
ผลลัพธ์คือองค์กรต้องเผชิญกับ สองเหตุการณ์การละเมิดข้อมูล (data breaches) ที่ทำให้ข้อมูลลูกค้าที่สำคัญรั่วไหล การปฏิเสธใช้มาตรการพื้นฐานเช่น MFA ทำให้ความเสี่ยงต่อการโจมตีเพิ่มขึ้นอย่างมีนัยสำคัญ
Consequences
เหตุการณ์ที่ตามมาสะท้อนให้เห็นถึงผลกระทบหลายด้าน ด้านแรกคือความเสี่ยงต่อความเป็นส่วนตัวของพนักงานและลูกค้า เนื่องจากรหัสผ่านที่ถูกเก็บไว้ในไฟล์เปิดทำให้แฮกเกอร์สามารถเข้าถึงระบบได้อย่างง่ายดาย ด้านที่สองคือผลกระทบต่อชื่อเสียงขององค์กร ที่ต้องรับมือกับการรั่วไหลของข้อมูลลูกค้าที่อาจนำไปสู่การเสียสละความเชื่อมั่นจากตลาด ด้านสุดท้ายคือค่าใช้จ่ายในการตอบสนองและฟื้นฟูระบบหลังจากการละเมิดข้อมูล ซึ่งมักมีค่าใช้จ่ายสูงกว่าการลงทุนเพื่อป้องกันล่วงหน้า
Irwin ยังได้ยกตัวอย่างลูกค้าอีกกรณีหนึ่งในอุตสาหกรรมการแพทย์ที่ปฏิเสธการใช้ MFA เนื่องจาก “ทำให้การทำงานของที่ปรึกษาภายนอกยากเกินไป” แม้ว่าในช่วงเวลาที่เขาปรึกษาองค์กรนั้นจะไม่ได้เผชิญการละเมิดข้อมูลโดยตรง แต่ต่อมาข้อมูลขององค์กรถูกพบบน dark web ซึ่งบ่งบอกว่าการปฏิเสธมาตรการความปลอดภัยอาจนำไปสู่ความเสี่ยงที่คาดไม่ถึงในระยะยาว
Lessons Learned
เหตุการณ์นี้สอนบทเรียนสำคัญหลายประการที่องค์กรควรนำไปปฏิบัติ:
- ห้ามให้ผู้ใดเข้าถึงรหัสผ่านของผู้อื่น แม้แต่ผู้บริหารระดับสูงหรือผู้ดูแลระบบควรใช้สิทธิ์ระดับผู้ดูแล (admin) เพื่อดำเนินการโดยไม่ต้องรู้รหัสผ่านส่วนบุคคล
- เปิดใช้ MFA อย่างทั่วถึง การตรวจสอบหลายปัจจัยเป็นมาตรการพื้นฐานที่ช่วยป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต แม้จะต้องมีการปรับกระบวนการทำงานบ้างก็ตาม
- ใช้เครื่องมือจัดการบัญชีศูนย์กลาง เช่น คำสั่งผู้ดูแลระบบ หรือระบบ Identity and Access Management (IAM) เพื่อให้การจัดการอีเมลหรือข้อมูลอื่น ๆ ทำได้โดยไม่ต้องเปิดเผยรหัสผ่าน
การนำ passkeys มาเป็นส่วนหนึ่งของ MFA ยังเป็นแนวทางที่ช่วยลดความซับซ้อนในการยืนยันตัวตนโดยไม่ลดทอนความปลอดภัย
Impact
ในระดับอุตสาหกรรม การเปิดเผยข้อมูลเช่นนี้อาจกระตุ้นให้มีการตรวจสอบและปรับนโยบายด้านความปลอดภัยภายในองค์กรหลายแห่ง โดยเฉพาะบริษัทที่มีพนักงานจำนวนมากและจัดการข้อมูลสำคัญของลูกค้า นอกจากนี้เหตุการณ์ยังเป็นการเตือนใจให้คณะผู้บริหารตระหนักว่าการควบคุมความปลอดภัยไม่ใช่เรื่องของแผนก IT เพียงอย่างเดียว แต่เป็นความรับผิดชอบร่วมของทุกระดับองค์กร
Summary
การเก็บรหัสผ่านของพนักงานทั้งหมดไว้ในไฟล์ Excel บนเดสก์ท็อปของผู้บริหารเป็นการละเมิดหลักการพื้นฐานของความปลอดภัยไซเบอร์ เหตุนี้นำไปสู่การละเมิดข้อมูลสองครั้งและทำให้ความเสี่ยงต่อการโจมตีเพิ่มสูงขึ้น บทเรียนสำคัญคือห้ามแชร์รหัสผ่านและต้องเปิดใช้ MFA อย่างทั่วถึงเพื่อปกป้องข้อมูลขององค์กร.
แชร์บทความนี้:
ชอบบทความแบบนี้?
สมัคร AI Automate Weekly Newsletter — รับเคล็ดลับ AI + how-to ใหม่
ทุกสัปดาห์ตรงถึง inbox ฟรี ไม่มีสแปม
แหล่งข่าวต้นฉบับ
- ชื่อต้นฉบับ
- Every employee’s password was stored in a single Excel file
- ผู้เขียน
- Unknown
- แหล่ง
- The Register
- วันที่เผยแพร่
- 11 มิถุนายน 2569 เวลา 14:00
