สรุปสั้น

สำนักงานอัยการสูงสุดรัฐ Maine ของสหรัฐอเมริกาสั่งปิดพอร์ทัลรายงาน data breach สาธารณะเป็นการชั่วคราว หลังพบว่ามีผู้ไม่หวังดียื่นรายงานข้อมูลรั่วปลอมผ่านระบบรายงานของรัฐ โดยแอบอ้างเป็นบริษัท Discord และ VRChat (แพลตฟอร์มโซเชียล VR) ก่อนหน้านี้ระบบจะเผยแพร่รายงานที่ยื่นเข้ามาขึ้นบนฐานข้อมูลสาธารณะโดยอัตโนมัติ ทำให้รายงานปลอมปรากฏบนเว็บไซต์ทางการของรัฐ

รายงานปลอมในนามของ VRChat อ้างว่าบริษัทถูกเจาะข้อมูลกระทบผู้ใช้กว่า 2.4 ล้านคน พร้อมระบุชื่อพนักงานติดต่อที่ไม่มีตัวตนจริง หลังจาก BleepingComputer ติดต่อ VRChat บริษัทยืนยันว่ารายงานดังกล่าวเป็นของปลอมและไม่ได้ยื่นแจ้งต่อทางการรัฐ Maine สำนักงานอัยการสูงสุดจึงลบรายงานปลอมออกจากฐานข้อมูล ปิดการเข้าถึงสาธารณะชั่วคราว และกำลังทบทวนกระบวนการรายงานเพื่อป้องกันการใช้งานในทางที่ผิดในอนาคต

รายละเอียดข่าว

เว็บไซต์ BleepingComputer รายงานเมื่อวันที่ 12 มิถุนายน พ.ศ. 2569 ว่ารัฐ Maine ได้ปิดพอร์ทัลรายงาน data breach สาธารณะหลังจากพบว่ามีการยื่นรายงานข้อมูลรั่วปลอมในนามของ Discord และ VRChat ระบบรายงาน data breach ของรัฐ Maine เดิมทีเป็นระบบที่รับรายงานจากองค์กรที่ถูกเจาะข้อมูลแล้วเผยแพร่ขึ้นบนฐานข้อมูลสาธารณะโดยอัตโนมัติ ซึ่งเป็นแหล่งข้อมูลสำคัญที่นักข่าว นักวิจัย และบริษัท threat intelligence ใช้ติดตามเหตุการณ์ด้านความปลอดภัยใหม่ ๆ

สำนักงานอัยการสูงสุดรัฐ Maine ออกแถลงการณ์ยอมรับว่ามี “การหลอกลวง” (hoaxes) ที่ถูกยื่นผ่านระบบรายงาน โดยระบุว่า “หลังจากสนทนากับ VRChat ซึ่งเป็นหนึ่งในสองบริษัทที่ได้รับผลกระทบ เป็นที่ชัดเจนว่ารายงาน data breach ดังกล่าวเป็นเรื่องหลอกลวงที่ยื่นโดยหน่วยงานที่ไม่ทราบตัวตน ซึ่งไม่เกี่ยวข้องกับบริษัทใดเลย” รายงานปลอมถูกลบออกจากฐานข้อมูล และสำนักงานฯ ยืนยันว่าไม่พบรายงาน data breach ที่ถูกต้องจาก VRChat หรือ Discord ในช่วงเร็ว ๆ นี้

ขณะนี้บริษัทยังคงสามารถยื่นรายงาน data breach ผ่านระบบได้ตามปกติ แต่ประชาชนที่ต้องการดูสำเนารายงานต้องติดต่อสำนักงานอัยการสูงสุดโดยตรง เหตุการณ์นี้แสดงให้เห็นว่าระบบรายงาน data breach ที่เผยแพร่อัตโนมัติสามารถถูกใช้ในทางที่ผิดเพื่อแพร่กระจายข้อมูลเท็จและทำลายชื่อเสียงของบริษัทได้

วิธีการโจมตี

การโจมตีครั้งนี้ไม่ได้เป็นการเจาะระบบทางเทคนิค แต่เป็นการใช้ประโยชน์จากช่องว่างในกระบวนการ (process vulnerability) ของระบบรายงาน data breach ของรัฐ Maine ผู้ไม่หวังดียื่นรายงานปลอมผ่านระบบออนไลน์โดยแอบอ้างเป็นตัวแทนของ Discord และ VRChat พร้อมระบุข้อมูลเท็จ เนื่องจากระบบไม่มีขั้นตอนยืนยันตัวตนของผู้ยื่นรายงาน จึงเผยแพร่ข้อมูลปลอมขึ้นเว็บไซต์ทางการโดยอัตโนมัติ ทำให้ข่าวปลอมมีความน่าเชื่อถือสูงเพราะมาจากแหล่งทางการของรัฐ

ผลกระทบต่อไทย

เหตุการณ์นี้เป็นบทเรียนสำคัญสำหรับหน่วยงานกำกับดูแลข้อมูลส่วนบุคคลของไทย โดยเฉพาะสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ที่กำกับดูแล พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) หากไทยมีระบบแจ้งเตือน data breach แบบสาธารณะในอนาคต จำเป็นต้องมีกลไกยืนยันตัวตนผู้ยื่นรายงานอย่างเข้มงวด เพื่อป้องกันการใช้ระบบในทางที่ผิดเพื่อสร้างข่าวปลอมหรือทำลายชื่อเสียงองค์กร

คำแนะนำ

  • หน่วยงานที่มีระบบรับแจ้งเหตุละเมิดข้อมูลสาธารณะควรเพิ่มขั้นตอนยืนยันตัวตนผู้แจ้ง เช่น ยืนยันอีเมลองค์กร หรือใช้ digital signature
  • อย่าเผยแพร่รายงาน data breach สู่สาธารณะโดยอัตโนมัติ ควรมีขั้นตอนตรวจสอบเบื้องต้นก่อนเผยแพร่
  • องค์กรที่พบรายงาน data breach ปลอมในนามของตนควรติดต่อหน่วยงานที่เกี่ยวข้องทันทีเพื่อให้ลบรายงานเท็จ
  • ผู้ใช้งานและสื่อมวลชนควรตรวจสอบข้อมูล data breach จากหลายแหล่งก่อนเผยแพร่ต่อ

แหล่งอ้างอิง