Cybercrime News

โทษสำหรับคนที่แฮกอีเมล์ของนักศึกษานับ 1,000 เพื่อจุดประสงค์อนาจาร

ชายชาวสหรัฐฯ ถูกศาลสั่งจำคุก 6 เดือน หลังแฮกอีเมล์ในมหาวิทยาลัยนับ 1,000 บัญชี

ชายอายุ 30 ปีถูกสั่งจำคุก 6 เดือน ฐานแฮกอีเมล์ภายในบริเวณมหาวิทยาลัยใน New York กว่า 1,000 บัญชี โดยมีเป้าหมายเป็นภาพและวิดีโอทางเพศ ของผู้หญิงในวัยเรียน

นาย Jonathan Powell จากรัฐอาริโซน่าได้เข้าถึงเซิร์ฟเวอร์และระบบรีเซ็ทรหัสผ่านที่แผนก IT ใช้ภายในมหาวิทยาลัย ดังนั้นเขาจึงสามารถเข้าถึงอีเมล์ใดๆก็ได้เพียงเขาได้ชื่ออีเมล์ ทำให้เขาสามารถเข้าถึงบัญชีต่างๆของนักเรียนได้ ทั้ง Apple iCloud, Facebook, Google, Linkedln และ Yahoo

อัยการของสหรัฐฯ นาย Geoffrey S. Berman พูดว่า “Jonathan Powell used his computer skills to breach the security of a university to gain access to their students’ personal accounts. Once Powell had access, he searched the accounts for compromising photos and videos,”

                                                                                                                                                                     “No college student should have to fear that personal, private information could be mined by strangers for potentially compromising material.”

จากแถลงการณ์ของกระทรวงยุติธรรม ในบันทึกของมหาวิทยาลัยเปิดเผยว่านาย Powell ได้เข้าถึงอุปกรณ์รีเซ็ทรหัสผ่านถึง 18,640 ครั้ง ในระหว่างเดือนตุลาคม 2015 ถึง กันยายน 2016

นาย Powell เปลี่ยนรหัสผ่านอีเมล์มากกว่า 1,378 ครั้ง จาก 1,035 บัญชี และพบว่าบางบัญชีถูกเข้าถึงหลายครั้ง

เรื่องนี้ทำให้เราเห็นประเด็นหลายอย่างเกี่ยวกับความปลอดภัย

อย่างแรกคือ ทีม IT จำเป็นต้องตั้งค่าระบบให้สามารถป้องกันการเข้าถึงจากผู้ที่ไม่ได้รับอนุญาต โดยเฉพาะระบบที่มีเครื่องมือที่ทำให้แฮกเกอร์สามารถเข้าถึงบัญชี หรือข้อมูลสำคัญของผู้ใช้ได้

การได้เห็นมหาวิทยาลัยถูกแฮกแบบนี้ทำให้เราตั้งคำถามว่าแล้วองค์กรอื่นๆได้มีการรักษาความปลอดภัยให้กับระบบของตัวเองดีแล้วหรือยัง

อย่างที่สองก็คือ หากแฮกเกอร์มีจุดประสงค์อื่นๆ ที่สร้างความเสียหายได้มากกว่าในกรณีนี้ อย่างเช่นการนำบัญชีไปใช้ในการโจมตีอื่นๆ รวมถึงเว็บเมล์และโซเชี่ยลมีเดียด้วย

จากที่ทางกระทรวงยุติธรรมบอกว่าบัญชี Apple iCloud, Facebook, Google, Linkedln และ Yahoo มีระบบรักษาความปลอดภัยที่สามารถแก้สถานการณ์นี้ได้ก็คือ Two-factor authentication เนื่องจากระบบนี้จะส่งรหัส OTP ให้กับเจ้าของบัญชีที่ลงทะเบียนไว้เพื่อ ให้รหัสผ่านอีกชุดหนึ่งใช้ล็อคอิน และแจ้งเตือนผู้ใช้ว่ามีคนอื่นพยายามเข้าใช้บัญชีของตนได้อีกด้วย

นอกจากโทษจำคุก 6 เดือนที่เขาได้รับแล้ว นาย Powell ยังต้องดูจับตาเป็นเวลาอีก 2 ปี และจ่ายเงินค่าปรับอีก 278,855 เหรียญสหรัฐฯ

แต่นอกจากค่าปรับมหาศาลของผู้กระทำความผิดนี้แล้ว ฝ่ายผู้ใช้เองก็ต้องตั้งตนอยู่ในความไม่ประมาท และให้ความสำคัญกับการป้องกันตัวเองก่อนที่จะตกเป็นเหยื่อในวันข้างหน้า

Author: Graham Cluley
Source:
https://www.welivesecurity.com/2018/01/26/jail-hacked-student-email-explicit/
Translated by: Worapon H.

%d bloggers like this: