รีบเช็กก่อนเจอความเสี่ยง ! HIBP พบอีเมลเกือบ 2 พันบัญชีรั่วไหลบนโลกอินเทอร์เน็ต

Troy Hunt ผู้ก่อตั้งเว็บไซต์ตรวจสอบข้อมูลรั่วไหล Have I Been Pwned (HIBP) เผยว่า บนอินเทอร์เน็ตมีอีเมลเกือบ 2 พันล้านบัญชี และรหัสผ่านอีก 1.3 พันล้านรหัสที่ไม่ซ้ำกัน ปรากฏอยู่ในหลายๆ แหล่งที่มาของ Hacker พร้อมแนะนำให้คนที่ตั้งหรือใช้รหัสผ่านเดิมซ้ำ ๆ กับเว็บไซต์หรือบริการออนไลน์ในแต่ละบัญชี ทำการเปลี่ยนรหัสใหม่เพื่อความปลอดภัย

ที่มาของข้อมูลดังกล่าวถูกรวบรวมมาจาก Database หรือฐานข้อมูลหลายแห่งบนโลกออนไลน์ ที่อาชญากรรมทางไซเบอร์ (cybercriminals) ไปเผยแพร่เอาไว้ ไม่ว่าจะได้มาด้วยสาเหตุใดก็ตาม เช่น มัลแวร์ขโมยข้อมูล (stealer log data) และการนำอีเมลหรือรหัสผ่านที่เคยรั่วไหลครั้งเก่า ๆ มาสุ่มเข้าสู่ระบบของบริการอื่นซ้ำอีกครั้ง (credential stuffing lists)

สิ่งที่น่าเป็นกังวลก็คือ Credential Stuffing List ที่มักจะถูกอาชญากรรมทางไซเบอร์นำมาปล่อยขายในตลาดมืด จากนั้นผู้ซื้อจะนำไปสุ่มล็อกอินบนเว็บไซต์ต่าง ๆ ซ้ำอีกที เพราะผู้ใช้หลายคนที่มีข้อมูลรั่วไหลมักใช้รหัสผ่านหนึ่งตัวซ้ำ ๆ กับเว็บไซต์เสมอ

ยกตัวอย่างเช่น เว็บไซต์ A ถูกเจาะเข้าสู่ระบบแล้วดึงข้อมูลอีเมลกับรหัสผ่านของผู้ใช้หลายคนไปได้
หลังจากนั้น ชุดข้อมูลอีเมลกับรหัสผ่านสำหรับล็อกอินเข้าเว็บไซต์ A ของนาย ก. ถูกนำไปปล่อยขายบนตลาดมืด
ผู้ที่มาซื้อข้อมูลดังกล่าว อาจนำข้อมูลอีเมลกับรหัสผ่านที่ว่า ไปลองล็อกอินกับเว็บไซต์ B, C และ D ได้สำเร็จ เพราะนาย ก. ใช้รหัสผ่านเดิมกับทุกเว็บไซต์ที่ว่าไป

ทีมเฝ้าระวังภัยคุกคามทางไซเบอร์อย่าง Synthient เป็นผู้รวบรวมข้อมูลทั้งหมด ก่อนจะทำการดัชนี (index) ข้อมูลทั้งหมดให้กับทาง Have I Been Pwned สำหรับใช้บนเว็บไซต์ตรวจสอบข้อมูลของตนเอง โดยมีเป้าหมายเพื่อแจ้งเตือนให้ผู้ใช้ทำการเปลี่ยนรหัสผ่านของเว็บไซต์ต่างๆ ใหม่

ข้อมูลอีเมลกับรหัสผ่านที่หลุดออกมามีมากขนาดไหน?

Troy Hunt ได้ลองทดสอบด้วยการนำอีเมลเก่าของตนเอง มาตรวจสอบดูบ้าง ก่อนจะลองสุ่มตรวจสอบกับผู้ใช้งานเว็บไซต์บางรายที่ให้ความร่วมมือเช่นกัน ผลปรากฏว่ามีทั้งรหัสผ่านเก่าที่เจ้าตัวเลิกใช้ไปแล้ว หรือบางคนก็ยังใช้รหัสผ่านที่ถูกระบุสถานะว่ารั่วไหลกับหลาย ๆ เว็บไซต์ในปัจจุบันอยู่เลย

นอกจากนั้นแล้ว รหัสผ่านบางตัวที่รั่วไหลออกมาก็เป็นรหัสผ่านที่มีทั้ง ตัวพิมพ์ใหญ่-เล็ก ตัวเลข และอักขระพิเศษผสมเข้าด้วยกัน แสดงให้เห็นว่าถึงแม้จะตั้งรหัสผ่านซับซ้อนมากแค่ไหน สุดท้ายก็ยังมีความเสี่ยงอยู่ดี

คำแนะนำสำหรับการเช็คข้อมูล

ใครที่สงสัยว่าอีเมลของตนเองรั่วไหลหรือเปล่า สามารถเข้าไปตรวจสอบได้ที่เว็บไซต์ Have I Been Pwned

หากพบว่าข้อมูลของตนเองมีการรั่วไหล Have I Been Pwned จะทำการระบุให้ดูเป็น Timeline แบบชัดเจนว่าอีเมลบัญชีนั้น ๆ ถูก Pwned ไปตอนไหนบ้าง

เบื้องต้น แนะนำให้เปิดใช้งาน Two-Factor Authentication (2FA) ระบบยืนยันตัวสองชั้นสำหรับการล็อกอินอีเมล หรือเว็บไซต์ที่ใช้อีเมลนั้น ๆ และทำการเปลี่ยนรหัสผ่านใหม่โดยทันที โดยสามารถใช้ Password Manager หรือ Passkey สำหรับการสร้างรหัสผ่านที่รัดกุม และเสริมเกราะป้องกันหลายชั้นให้กับรหัสผ่านหรือทุกการล็อกอิน มีความซับซ้อนและจำเป็นต้องยืนยันตัวตนด้วยตัวเราเองทุกครั้ง

ผู้ใช้งาน Have I Been Pwned สามารถลงทะเบียนกับทางเว็บไซต์ เพื่อรับการแจ้งเตือนทางอีเมลในกรณีที่ข้อมูลของตนเองรั่วไหล หรือมีความเสี่ยงในอนาคตได้ด้วย

This story has suddenly gained *way* more traction in recent hours, and something I thought was obvious needs clarifying: this *is not* a Gmail leak, it simply has the credentials of victims infected with malware, and Gmail is the dominant email provider: https://t.co/S75hF4T1es
— Troy Hunt (@troyhunt) October 27, 2025

Have I Been Pwned คืออะไร ?

เบื้องต้นเว็บไซต์ Have I Been Pwned หรือ HIBP ก่อตั้งขึ้นมาตั้งแต่ปี 2013 โดยมีเป้าหมายเพื่อ ให้บริการตรวจสอบข้อมูลอีเมลหรือรหัสผ่านของผู้ใช้ ว่าอยู่ในฐานข้อมูลหรือรายชื่อที่รั่วไหลหรือเปล่า โดยฐานข้อมูลดังกล่าว ยังรวมไปถึงข้อมูลของบัญชีที่รั่วไหลซึ่งถูกพบหรือสืบเจอจากทาง FBI ด้วยเหมือนกัน

ตัวเว็บไซต์จะใช้การเข้ารหัสแบบ SHA-1 โดยข้อมูลที่เรากรอกไปจะถูกเปลี่ยนเป็นชุดข้อมูลแบบสุ่ม (SHA-1 Hash) ตัวเว็บไซต์ Have I Been Pwned จะเห็นตัวอักษรหรือตัวเลขจากชุดข้อมูลนั้น ๆ เพียงแค่ 5 ตัวอักษรแรก จากนั้นเบราว์เซอร์หรืออุปกรณ์ของเราจะทำการประมวลผล On-device แล้วนำไปเทียบกับชุดข้อมูลบนเว็บที่ได้รับมาจากหน่วยงานหรือ Database อีกทีหนึ่งว่ามีปรากฏอยู่ในรายชื่อของข้อมูลที่เคยรั่วไหลหรือเปล่า

หรือพูดง่าย ๆ ก็คือเว็บไซต์ถูกออกแบบมาไม่ให้มีการเก็บข้อมูล หรือไม่ให้มีข้อมูลใด ๆ หลงเหลืออยู่เลย เพื่อป้องกันการนำข้อมูลส่วนตัวไปใช้ในทางที่ไม่ดี วัตถุประสงค์ของเว็บไซต์คือ ให้บริการตรวจสอบข้อมูลอีเมลหรือรหัสผ่านของผู้ใช้ ด้วยการร่วมมือจากหน่วยงานต่าง ๆ เช่น FBI หรือ Microsoft

สำหรับผู้ที่ก่อตั้ง และดำเนินเว็บไซต์นี้มาตั้งแต่ปี 2013 ก็คือ Troy Hunt ผู้เชี่ยวชาญด้านความปลอดภัย ที่ได้รับตำแหน่ง Regional Director และ Microsoft Most Valuable Professional (MVP) สาขา Developer Security จากทาง Microsoft

บทสรุป

อย่างไรก็ตาม Troy Hunt ระบุเพิ่มเติมว่า ถึงแม้ในชุดข้อมูลที่รั่วไหล จะมีโดเมนที่ลงท้ายด้วย gmail.com มากถึง 394 ล้านบัญชี แต่การที่ข้อมูลรั่วไหลออกมาไม่ได้เกิดจากช่องโหว่เรื่องความปลอดภัยของ Google หรือ Gmail ทั้งนั้น เบื้องต้นข้อมูลที่รวบรวมมา มีโดเมนของอีเมลทั่วโลกกว่า 32 ล้านโดเมน และในจำนวนเหล่านั้นกว่า 80% ไม่มีความเกี่ยวข้องกับ Gmail เลย

ดังนั้นถึงแม้จะไม่พบว่าอีเมลของตนเองมีความเสี่ยง หรือไม่พบการรั่วไหลก็ตาม แต่ขอแนะนำให้ทำการเปลี่ยนรหัสผ่านเพื่อความปลอดภัยเอาไว้ก่อน หรือทำการเปลี่ยนรหัสผ่านทุก ๆ สามเดือน จะดีที่สุดครับ

ที่มา : Troy Hunt