บทสรุปของ iCloud โดนแฮก-ภาพนู้ดดาราว่อนกระจาย เกิดจากอะไร? ป้องกันได้อย่างไร?

เป็นเรื่องเป็นราวที่สาหัสสำหรับ Apple ที่เมื่อวานมีภาพนู้ดของเหล่าเซเลปดาราฮอลีวู้ดมากมายหลุดว่อนเน็ตซึ่งเกิดจากการที่ iCloud โดนแฮกและถูกดูดรูปลับเอาไปเผยแพร่ ซึ่งมีผู้เสียหายรวมแล้วเห็นว่าเกิน 100 ราย¹ และที่เรียกเสียงฮือฮาได้มากที่สุดคงจะเป็นนางเอกชื่อดังอย่าง Jennifer Lawrence จากเรื่อง The Hunger Games ซึ่งหนุ่มน้อยหนุ่มใหญ่ก็ตามหาภาพทั้งหมดกันให้ควั่ก รวมถึงสื่อต่างๆก็รุมทำร้ายต่อด้วยการเอาภาพบางส่วนนั้นมาเผยแพร่ สร้างความเสียใจปนสะอิดสะเอียนให้เหล่าผู้เสียหายไปตามๆกัน² วันนี้เดี๋ยวเรามาทราบถึงเนื้อเรื่องต้นตอของปัญหาความปลอดภัยนี้ พร้อมทั้งวิธีป้องกันกันครับ 

การปล่อยภาพนี้เริ่มต้นจากไหน

Hacker ได้ทำการเจาะระบบของ iCloud ไปเข้าถึงรูปภาพส่วนตัวของเหล่าเซเลป ซึ่งในตอนแรกได้พยายามขายให้สื่อรายหนึ่งมูลค่าสูงถึงหลักสิบล้าน² แต่สื่อไม่เล่นด้วยจึงได้เอาไปปล่อยที่ 4Chan เพื่อแลกกับ Bitcoin แทนแต่กลับได้เงินมาไม่ถึง 5,000 บาทเท่านั้น³

ไม่ต้องไปพยายามตามหาที่ 4Chan หรือที่ไหนๆแล้ว เข้าใจว่าตอนนี้พยายามไล่ลบกันสุดๆ และอย่าทำร้ายผู้เสียหายกันต่อเลย ภาพมันไม่มีอะไรมากมายหรอก 

iCloud คืออะไร?⁵ (สำหรับคนที่เข้ามาอ่านแล้วไม่ได้สนใจเรื่องเทคโนโลยี)

Apple ได้ให้บริการพื้นที่หน่วยความจำออนไลน์ (ชื่อทั่วไปคือ Cloud Storage) สำหรับผู้ใช้ Mac และ iOS ซึ่งลูกค้าสามารถนำเอาข้อมูลส่วนตัว เช่น ภาพ คลิป เพลง หนัง ฯลฯ ขึ้นไปฝากเอาไว้ เพื่อเป็นการสำรองข้อมูล ป้องกันการสูญหาย/เสียหาย หรือเพื่อความสะดวกในการใช้งานหลายเครื่อง เช่น เรามีไอโฟน ไอแพด และแมคบุ๊ค เราก็สามารถเข้าถึงข้อมูลชุดเดียวกันได้ทันทีโดยไม่ต้องมาคอยเสียบสายโอนย้ายข้อมูลไปมา

ซึ่งเหล่าเซเลปดาราพวกนี้ก็เชื่อถือบริการนี้ นำเอาภาพและข้อมูลส่วนตัวไปฝากเอาไว้นั่นเอง

ภาพเหล่าเซเลป ดาราฮอลิวู๊ดนี้เป็นของจริง?²

แม้ว่าหลายๆครั้งที่เราค้นหาภาพนู้ดของดาราใน Google จะมีโชว์ขึ้นมาเพียบ ซึ่งโดยมากแล้วภาพเหล่านั้นเป็นภาพที่มีการตัดต่อเอาหน้าของดาราไปใส่ดาราหนังโป๊อีกที แต่ครั้งนี้มีการยืนยันจากตัวผู้เสียหายว่าเป็นของจริง

อย่างไรก็ดีมีบางคนไม่ยอมรับเช่นกัน เช่น Trisha Hershberger² ที่บอกว่าเธอใช้ Android ไม่ได้ใช้ iPhone และภาพของเธอมันไม่ใช่ภาพจริง

Hey Ahole claiming to have iCloud leaked nudes of me a) I use #Android & b) you’re missing my vampire bite moles! pic.twitter.com/1ZMzUjtCTl

— Trisha Hershberger (@thatgrltrish) September 1, 2014

Hacker เจาะเข้าไปทางไหน?⁴

ช่องโหว่ความปลอดภัยครั้งนี้มีรายงานว่าเกิดจากที่คนร้ายเจาะผ่านบริการ Find my iPhone ซึ่งใช้สำหรับติดตามหาตำแหน่งโทรศัพท์ (มักใช้กันในกรณีเครื่องหาย) โดยบริการนี้ไม่ได้ป้องกันไว้แน่นหนาพอ เปิดให้คนร้ายยิงสคริปเดารหัสผ่านได้แบบ non-stop กล่าวคือ สุ่มรหัสผ่านไปได้เรื่อยๆ ผิดก็ใส่เข้าไปใหม่ สุ่มกันจนเจอ 

[update 3/9/14] ทาง Apple ได้ออกมาปฏิเสธว่า iCloud และ Find my iPhone ไม่ได้ถูกเจาะแต่อย่างใด แต่บอกว่าเป็นการที่ผู้ใช้อาจจะตั้ง username, passwords, หรือ security questions หละหลวมเอง และแนะนำว่าให้ใช้พาสเวิร์ดที่แข็งแรงขึ้นพร้อมเปิดใช้ two-step verification

Apple ทำอย่างไรในกรณีนี้?⁷

Apple ได้ทำการอุดรูรั่วนี้ไปแล้วเรียบร้อยหลังเกิดเรื่องเพียงไม่กี่ชั่วโมง และกำลังสืบหาสาเหตุที่แท้จริงอยู่ เนื่องจากมีเงื่อนงำหลายอย่างว่า ภาพหลุดเหล่านี้อาจไม่ได้เกิดจากช่วงโหว่ของ Find my iPhone เท่านั้น เพราะในช่วงเวลาไม่กี่ชม. Hacker ไม่น่าจะสามารถรวบรวมข้อมูลและภาพได้เยอะขนาดนี้ แต่อาจะมีการเจาะมาก่อนหน้าแล้ว โดยช่องโหว่ที่เปิดให้สามารถเดารหัสแบบ non-stop นี้ได้ถูกเผยแพร่ไปเมื่อวันที่ 30 สิงหาคม ที่ผ่านมา (หรือ 2 วันก่อนเกิดเรื่อง)

ถ้าใครจำได้ Find my iPhone เคยถูกลูบคมไปแล้วทีนึงเมื่อเดือนพฤษภาคมที่ผ่านมา ซึ่งตอนนั้นแฮกเกอร์สามารถสั่งล้างเครื่องได้แม้ว่าเครื่องจะถูกล็อคด้วย Find my iPhone อยู่ก็ตาม (ตอนนี้แก้ไขไปเรียบร้อยแล้ว)…กลับไปอ่าน blog เก่าได้ที่

เรื่องนี้มีสิทธิ์เกิดขึ้นกับเรารึเปล่า

ตามรายงานคือ Apple ได้ทำการอุดรูรั่วต้องสงสัยไปแล้ว แต่ยังไม่มีอะไรการันตีว่าจะไม่มีเหตุการณ์แบบนี้ขึ้นอีก ทางที่ดีคือป้องกันตัวเองให้พร้อมก่อนเสมอ โดยเฉพาะคนที่มีความเสี่ยงสูง มีชื่อเสียง หรือถูกจับตามอง และข้อมูลลับๆเยอะๆยิ่งต้องระวัง และไม่เกี่ยวว่าคุณใช้ iOS หรือ Android หรือ Windows เพราะถ้าคุณไม่ระวังก็มีสิทธิ์ตกเป็นเหยื่อได้ตลอดเวลา

วิธีการป้องกันที่ดีที่สุด (ใช้ได้ทั้ง iOS และ Android)

“เลิกเล่นอินเทอร์เน็ต” คือ คำตอบที่น่าจะใช่ที่สุด แต่ถ้าคุณยังอยากจะใช้ชีวิตอยู่ในโลกแห่งศตวรรษที่ 21 อยู่ล่ะก็ ก็ควรที่จะเรียนรู้การปรับตัว และป้องกันให้มากที่สุด ไม่ใช่เอะอะๆก็เลิกใช้ หรือปิดบริการทิ้ง อย่างที่ผู้เชี่ยวชาญบางคนแนะนำ ซึ่งวิธีที่ถูกแนะนำและดูปลอดภัยที่สุดตอนนี้คือ 2-step verification หรือการยืนยันตัวตนสองระดับ โดยวิธีนี้เราจะต้องใส่รหัสผ่านปกติที่เราตั้งเอาไว้และขอรหัสเพิ่มเติมผ่าน SMS หรือ Apps เพื่อกรอกเข้าไปอีกครั้ง ซึ่งหมายความถ้าคนร้ายไม่มีโทรศัพท์เราก็จะไม่สามารถเข้าถึงข้อมูลส่วนตัวเราได้นั่นเอง

วิธีการตั้ง 2-step verification สำหรับ Android และ iOS (เดี๋ยวไว้จะมาเขียนละเอียดๆให้อีกทีนะ)

งานนี้บอกเลยว่าเป็นเรื่องหนักสำหรับ Apple ก่อนงานเปิดตัว iPhone ในวันที่ 9 กันยายนนี้พอสมควร และน่าจะทำให้สูญเสียความเชื่อถือใน iCloud ไปมาก ซึ่งจริงๆแล้วก็ต้องรวมถึงความปลอดภัยของ Cloud ทั้งหมดด้วย เพราะ iCloud ไม่ใช่ Cloud ตัวแรกที่โดนเจาะได้ ซึ่งพักหลังๆในช่วงที่ 1 ปีที่ผ่านมา เราจะเห็นบริการบนกลุ่มเมฆ โดนเจาะกันอยู่เนืองๆและเปลี่ยนรหัสผ่านกันจ้าละหวั่นเลยทีเดียว

สุดท้ายนี้ หวังว่าจะไม่มีใครเอาเรื่องความปลอดภัยมาข่มกันอีก ไม่ว่าจะเป็น Android หรือ iOS ก็ตาม เพราะสุดท้ายแล้วทางที่ดีคือช่วยกันหาทางป้องกันดีกว่ามาดราม่ากันไปมา ซึ่งเรื่องความปลอดภัยนี้ต่อให้คนที่ทำงานในบริษัทรักษาความปลอดภัยระดับโลกยังบอกว่า “ไม่มีระบบไหนปลอดภัยได้ 100%”

สวัสดี

ข้อมูลอ้างอิง 

¹Time: How That Massive Celebrity Hack Might Have Happened

²9to5Mac: Countless celebrity nude photo leaks being blamed on supposed iCloud hack (Updated)

³Telegraph: Jennifer Lawrence hack: iCloud security explained

⁴9to5Mac: Vulnerability in Find My Phone service and weak passwords may explain alleged celebrity photo leaks

⁵Apple: iCloud

⁶Business Insider : Apple Just Patched A Security Flaw In iCloud That Could’ve Been Used To Hack Celebrity Accounts 

⁷re/code: Apple Says It Is “Actively Investigating” Celeb Photo Hack

⁸Apple Press Info : Update to Celebrity Photo Investigation