66/69 (IT) ประจำวันอังคารที่ 3 กุมภาพันธ์ 2569
นักวิจัยจากบริษัทความมั่นคงปลอดภัยไซเบอร์ Flare เปิดเผยรายงานการโจมตีฐานข้อมูล MongoDB ที่เปิดเผยต่อสาธารณะ (Publicly Exposed) โดยผู้ไม่หวังดีใช้วิธีการสแกนหาเซิร์ฟเวอร์ที่มีการตั้งค่าผิดพลาดและสามารถเข้าถึงได้โดยไม่ต้องยืนยันตัวตน (Unauthenticated Access) จากการสำรวจพบเซิร์ฟเวอร์ MongoDB ที่เข้าถึงได้ผ่านอินเทอร์เน็ตกว่า 208,500 รายการ และมีประมาณ 3,100 รายการที่ไม่มีระบบป้องกันใด ๆ ตรวจพบว่าเกือบครึ่งหนึ่งของเซิร์ฟเวอร์กลุ่มดังกล่าวถูกโจมตี ลบข้อมูล และทิ้งข้อความเรียกค่าไถ่ไว้แล้ว
รูปแบบการโจมตีเป็นการกรรโชกทรัพย์ด้วยจำนวนเงินที่ไม่สูงมากนัก โดยผู้โจมตีเรียกรับเงิน 0.005 BTC (ประมาณ 500-600 ดอลลาร์สหรัฐ) ภายในเวลา 48 ชั่วโมง เพื่อแลกกับการกู้คืนข้อมูล จากการวิเคราะห์เลขกระเป๋าเงินดิจิทัล (Wallet Address) พบว่ากว่า 98% ของกรณีที่พบใช้เลขกระเป๋าเดียวกัน ซึ่งบ่งชี้ว่าการโจมตีนี้ดำเนินการโดยผู้คุกคามเพียงรายเดียว อย่างไรก็ตาม นักวิจัยเตือนว่าไม่มีหลักประกันว่าผู้โจมตีได้สำรองข้อมูลไว้จริง หรือจะกู้คืนข้อมูลให้หลังชำระเงิน เนื่องจากบางกรณีผู้โจมตีเพียงแค่ลบฐานข้อมูลทิ้งโดยไม่เก็บข้อมูลไว้
นอกจากปัญหาการตั้งค่าสิทธิ์เข้าถึงแล้ว ยังพบว่าเซิร์ฟเวอร์กว่า 95,000 รายการใช้ซอฟต์แวร์เวอร์ชันเก่าที่มีช่องโหว่ ซึ่งส่วนใหญ่เสี่ยงต่อการถูกโจมตีแบบ DoS เพื่อป้องกันความเสียหาย ผู้ดูแลระบบควรหลีกเลี่ยงการเปิดเผยฐานข้อมูลสู่สาธารณะหากไม่จำเป็น บังคับใช้มาตรการยืนยันตัวตนที่เข้มงวด ตั้งค่า Firewall อนุญาตเฉพาะการเชื่อมต่อที่เชื่อถือได้ อัปเดตซอฟต์แวร์เป็นเวอร์ชันล่าสุด และหลีกเลี่ยงการตั้งค่าตามคู่มือโดยไม่ทบทวนความเหมาะสมก่อนใช้งานจริง หากพบว่าระบบถูกเปิดเผยสู่สาธารณะ ควรรีบเปลี่ยนรหัสผ่านและตรวจสอบ Log เพื่อหากิจกรรมที่ผิดปกติทันที
