<?php wp_title('|', true, 'right'); ?>

ผู้ใช้งานยังคงได้รับผลกระทบอย่างร้ายแรงจากการแฮ็ก Email ของ BitMEX

ตั้งแต่ในช่วงวันแรกของเดือนพฤษจิกายนนี้ ปรากฎเหตุการณ์ที่บริษัทซึ่งให้บริการซื้อขายสกุลเงินคริปโตในชื่อ BitMEX ว่าทางบริษัทนั้นทำข้อมูลสำคัญของลูกค้ารั่วไหลหลังจากที่เกิดข้อผิดพลาดในการบังคับใช้ชุดคำสั่ง “Blind Copy Protocol” กับคลังเก็บข้อมูลอีเมล์ ซึ่งทางบริษัทเองได้ตรวจพบปัญหาดังกล่าวหลังจากนั้นเพียงไม่กี่ชั่วโมง 

นาย Vivien Khoo ซึ่งดำรงตำแหน่งรองหัวหน้าฝ่ายปฏิบัติการของบริษัทได้ประกาศเผยแพร่ข้อความเกี่ยวกับกรณีดังกล่าวแก่เหล่าผู้ใช้บริการของบริษัท โดยการส่งอีเมล์ซึ่งระบุชื่อผู้ใช้หลายรายไว้ในช่องผู้ส่งซึ่งมีใจความดังนี้

“พวกเราขอแสดงความเสียใจและขอโทษสำหรับการทำให้ผู้ใช้บริการทั้งหลายต้องกังวลใจ ปัญหานั้นได้เกิดขึ้นจากข้อบกพร่องภายในระบบโปรแกรมซึ่งใช้ในการส่งอีเมล์แก่ผู้ใช้ผู้ใช้บริการ และในทันทีที่พวกเราพบข้อบกพร่องดังกล่าว พวกเราได้ทำการแก้ไขปัญหาเพื่อไม่ให้มีการรั่วไหลเพิ่มขึ้นไปกว่าเดิมอีก และตั้งแต่นั้นมาพวกเราได้พยายามที่จะแก้ไขปัญหาดังกล่าวเพื่อให้มั่นใจว่ามันจะไม่เกิดขึ้นอีก”

นอกจากนั้นแล้วแฮกเกอร์ซึ่งไม่ปรากฎชื่อก็ได้มีการเข้าควบคุมบัญชีทวิตเตอร์หลักของทางบริษัท BitMEX ในช่วงเวลาสั้นๆ ซึ่งในระหว่างนั้นบัญชีดังกล่าวได้มีการโพสข้อความแปลกๆ เช่นการโพสกล่าวในทำนองที่ว่า “ถอน Bitcoin ของคุณหนีไปซะ วันนี้เป็นวันสุดท้ายแล้วที่จะถอนออกได้” หรือการกล่าวว่า “บัญชีนี้ถูกเจาะแล้ว” เป็นต้น 

เพื่อเป็นการโต้ตอบกับกรณีดังกล่าว ทางทีมประชาสัมพันธ์ของบริษัทได้เข้าควบคุมบัญชีและทำการลบข้อความดังกล่าวออกไปในทันที โดยหลังจากนั้นได้มีการประกาศข้อความผ่านทางบัญชีทวิตเตอร์ว่าการเข้าเจาะบัญชีดังกล่าวนั้นไม่มีผลเกี่ยวข้องกับความปลอดภัยของสินทรัพย์ของลูกค้าแต่อย่างใด 

ต่อเนื่องจากกรณีข้างต้น บัญชีผู้ใช้ทวิตเตอร์ในชื่อ “Bitmexdatabaseleak,” ซึ่งได้เคยถูกพักการใช้งานไว้ได้กลับมามีการใช้งานอีกครั้ง โดยครั้งนี้ได้มีการเผยแพร่ข้อมูลส่วนตัวของลูกค้าซึ่งรั่วไหลจากการเจาะระบบดังกล่าวเช่นข้อมูลบัตรประชาชนและข้อมูลอีเมล์ของผู้ใช้บริการ เป็นต้น 

อ้างอิงจากคำกล่าวของนาง Larry Cermak หัวหน้าทีมหน่วยวิจัย The Block ของบริษัท ซึ่งกล่าวว่าเหตุการณ์รั่วไหลของข้อมูลดังกล่าวนั้น เกิดขึ้นตรงกับเหตุการณ์ที่อีเมล์ของผู้ใช้งานกว่า 30,000 รายการถูกปล่อยลงในเว็บไซต์ตลาดมืดหรือ Dark Web ส่งผลให้บุคคลภายนอกมองว่าอีเมล์เหล่านี้อาจถูกนำไปขายต่อให้ผู้ที่ต้องการนำไปใช้ในทางที่ผิดก็เป็นไปได้

นอกจากการส่งข้อความเพื่อแจ้งและกล่าวขอโทษแก่ลูกค้าแล้ว ทางบริษัทยังได้มีการดำเนินการระงับการให้บริการถอนสินทรัพย์ออกจากบัญชีของผู้ใช้ซึ่งได้ทำการเปลี่ยนรหัสผ่านหรือข้อมูลด้านความปลอดภัยอื่นๆ หลังจากที่ได้เกิดเหตุการณ์ดังกล่าวขึ้นโดยยังไม่ได้มีการให้ความเห็นใด ๆ จากทางฝั่ง BitMEX เกี่ยวกับการดำเนินการดังกล่าว

ปริมาณการฝากถอนของ Bitcoin บนแพลตฟอร์มยังไม่ได้รับผลกระทบแต่อย่างใด

หลังจากเกิดเหตุการณ์ดังกล่าวขึ้นนั้น เมื่อพิจารณาข้อมูลปริมาณการฝากถอน Bitcoin บนเว็บไซต์ของ BitMEX ในช่วงวันที่ 1 พฤศจิกายนหลังจากที่มีการรั่วไหลของข้อมูลเกิดขึ้น ปรากฎว่าปริมาณดังกล่าวนั้นยังคงดูเหมือนว่าสถานการณ์ยังคงเป็นปกติ และผู้ใช้จะยังไม่ได้รับผลกระทบแต่อย่างไร 

ทางนาย Jeffery Liu Xun ผู้บริหารของบริษัทอย่าง XanPool ซึ่งเป็นผู้ให้บริการควบคุมและดำเนินการฝาก-ถอนระหว่างสกุลเงินคริปโตและสกุลเงินทั่วไปได้ออกมากล่าวถึงเหตุการณ์ที่กระทบกับชื่อเสียงของบริษัท BitMEX โดยตรงไว้ดังนี้ 

“ตัวผมเองซึ่งเคยได้รับอีเมล์จากการใช้บริการของ BitMEX เป็นปกติมาก่อนโดยที่ไม่มีปัญหาใดๆมองว่าสิ่งที่เกิดขึ้นนี้อาจเป็นผลมาจากการที่บุคลากรภายในด้านการตลาดของบริษัทได้สร้างความผิดพลาดครั้งใหญ่ขึ้นด้วยการทำอะไรที่ไม่เข้าท่า หรือไม่ก็ผู้ให้บริการระบบอีเมล์ของบริษัทนั้นได้เกิดข้อผิดพลาดขึ้น ซึ่งบริษัทดังกล่าวอย่าง MailChimp นั้นไม่น่าที่จะผิดพลาดในรูปแบบนี้ จึงน่าจะเกิดจากปัจจัยแรกมากกว่า ซึ่งปัญหานี้เป็นสิ่งที่เราไม่ควรมองข้ามอย่างแน่นอน”

นอกจากนี้แล้วเค้ายังได้กล่าวเสริมไว้อีกว่าคู่แข่งของ BitMEX นั้นอาจใช้โอกาสนี้ในการส่งข้อความเตือนแก่ลูกค้าของพวกเค้าเพื่อเป็นการลดความน่าเชื่อถือของ BitMEX ลงก็เป็นได้นอกจากนี้แล้วเค้ายังได้ชี้ให้เห็นถึงความเสี่ยงสำคัญที่ว่าผู้ใช้ส่วนใหญ่นั้นอาจมีรหัสผ่านที่ไม่ซับซ้อนมากนัก ดังนั้นแล้วหากข้อมูลดังกล่าวตกไปอยู่ในมือของแฮกเกอร์ที่มีความเชี่ยวชาญสูง มันก็จะเป็นการง่ายในการเจาะเข้าสู่บัญชีผู้ใช้รวมถึง Wallet ของพวกเขาโดยอาศัยเทคนิคการคาดเดารหัสผ่านแบบสุ่ม ซึ่งตัวเค้าได้กล่าวไว้ดังนี้

“การที่อีเมล์ของผู้ใช้งานนั้นถูกเผยแพร่ มันก็เป็นอันตรายต่อผู้ใช้มากพอๆกับการที่รหัสผ่านของพวกเขาถูกเปิดเผย เนื่องจากเหล่าแฮกเกอร์นั้นมีฐานของมูลสำหรับรหัสผ่านซึ่งผู้คนส่วนมากนั้นใช้งานนั่นเอง ความเสี่ยงอื่นนั้นยังรวมไปถึงการที่ผู้ใช้อาจได้รับอีเมล์แสปมหรืออีเมล์หลอกลวงได้อีกด้วย”

นาย Craig Russo ซึ่งเป็นทั้งนักลงทุนคริปโตและเจ้าของบริษัทสตาร์ทอัพอย่าง Peer ซึ่งอยู่เบื้องหลังสำนักข่าวสำคัญอย่าง SludgeFeed ได้กล่าวไปในทางเดียวกันว่าเหตุการณ์ที่เกิดขึ้นกับ BitMEX นั้นเป็นความผิดพลาดด้านความปลอดภัยครั้งสำคัญซึ่งมันจะถูกหยิบยกขึ้นมาในทุกครั้งที่มีเหตุการณ์คล้ายๆกันเกิดขึ้นกับบริษัทอีกอย่างแน่นอน โดยได้กล่าวสรุปไว้ดังนี้

“ความน่าเชื่อถือนั้นเป็นสิ่งสำคัญอย่างมากในธุรกิจด้านนี้ ซึ่งเหตุการณ์การรั่วไหลของข้อมูลในรูปแบบดังกล่าวนี้น่าจะไม่ถูกลืมไปในเวลาอันรวดเร็วนัก โดยในระยะสั้นอาจส่งผลให้ผู้ใช้บริการบางส่วนย้ายไปใช้แพลตฟอร์มอื่น แต่อย่างไรก็ตาม BitMEX นั้นน่าจะไม่ประสบปัญหามากนักเนื่องจากข้อได้เปรียบด้านส่วนแบ่งตลาดและทรัพยากรของบริษัท”

สิ่งที่จะเกิดขึ้นต่อไปหลังจากนี้ สำหรับทั้งบริษัทและเหล่าผู้ใช้บริการ

ในช่วงวันจันทร์ที่ผ่านมาทางบริษัทได้ประการผ่านทางบล๊อกของตัวเองโดยออกมายอมรับและอธิบายถึงเหตุการณ์ความผิดพลาดซึ่งเกิดขึ้นภายในระบบ และด้วยเนื่องจากทางบริษัทได้ใช้ระบบซึ่งออกแบบมาโดยเฉพาะสำหรับการตรวจจับความผิดพลาด ทำให้สามารถตรวจพบและแก้ปัญหาที่เกิดขึ้นได้อย่างรวดเร็ว

อ้างอิงข้อมูลจากผู้ให้บริการด้านข้อมูลอย่างบริษัท Skew ปรากฎว่าข้อมูลส่วนตัวของผู้ใช้กว่า 22,000 รายนั้นน่าจะได้รับการเปิดเผยเป็นที่เรีนยร้อยแล้วบนโลกออนไลน์ ซึ่งในจุดนี้หากอาศัย เครื่องมืออัลกอริทึมสำหรับถอดรหัสคริปโตอย่าง Primitive Crypto ซึ่งออกแบบโดยนาย Dovey Wan แล้ว หน่วยงานของรัฐอาจนำข้อมูลดังกล่าวไปใช้ในการสืบสวนผู้ใช้สำหรับการกรอกแบบรายรับสุทธิในการเสียภาษีได้อีกด้วย และเนื่องจากบริษัท BitMEX นั้นไม่ได้ดำเนินการขึ้นทะเบียนกับทางคณะกรรมการ Commodity Futures Trading Commission หรือ CFTC ของสหรัฐฯ ดังนั้นประชาชนชาวอเมริกันที่เกี่ยวข้องกับบริษัทจึงอาจมีปัญหาด้านการละเมิดกฎหมายได้

ทางหน่วยงานซึ่งดำเนินการจัดเก็บภาษีของสหรัฐฯอย่าง IRS ยังได้มีการออกกฎระเบียบซึ่งวางหลักให้ประชาชนซึ่งมีสินทรัพย์คริปโตอยู่ในครอบครองต้องกรอกรายการสินทรัพย์ที่มี ยื่นต่อหน่วยงานดังกล่าวโดยละเอียด อีกทั้งยังจะต้องถูกเก็บภาษีจากผลกำไรซึ่งได้จากการขายสินทรัพย์หรือการถือสินทรัพย์ไว้ เป็นต้น

นอกจากนี้แล้วนาย Aaron Wagener ซึ่งดำรงตำแหน่งผู้ร่วมก่อตั้งและหัวหน้าฝ่ายปฏิบัติการของมูลนิธิ MXC ซึ่งดำเนินการเกี่ยวกับเครือข่ายข้อมูลแบบ Decentralized ต่างๆทั่วโลก ได้ออกมากล่าวถึงความเป็นไปได้เกี่ยวกับผลทางกฎหมายที่ทางบริษัทอาจต้องเผชิญ โดยอธิบายว่าเนื่องจากทางบริษัทได้มีการให้ผู้ใช้บริการยอมรับข้อตกลงก่อนใช้บริการ ดังนั้นการที่ผู้ใช้จะยื่นฟ้องต่อบริษัทนั้นก็อาจเป็นไปได้ยากเนื่องจากข้อตกลกดังกล่าวนั่นเอง

นาย Aaron Wagener ยังได้กล่าวต่อไปอีกว่าเนื่องจากความผิดพลาดดังกล่าวนั้นเกิดขึ้นเนื่องจากการดำเนินการนั้นขาดการกำกับดูแลจากบุคคลากรซึ่งเป็นมนุษย์จริงๆ ดังนั้นปัญหาจึงอยู่ที่ว่าทางบริษัทจะดำเนินการอย่างไรในรักษาความปลอดภัยให้แก่ผู้ใช้งานที่ข้อมูลส่วนตัวนั้นถูกเผยแพร่สู่สาธารณะเป็นที่เรียบร้อยแล้ว โดยเค้ายังได้กล่าวเสริมไว้ดังนี้

“มันเป็นสิ่งที่ไม่ง่ายดายนักหากจะกล่าวว่าปัญหาที่เกิดขึ้นได้เบาบางลงแล้ว เนื่องจากผู้ใช้ทั้งหลายนั้นยังคงตกอยู่ภายใต้ความเสี่ยงในการถูกโจมตีทั้งในรูปแบบของการหลอกลวงผ่านอีกเมล์ รวมถึงกลฉ้อฉลต่างๆที่อาจเกิดขึ้นได้จากหลายแหล่อ โดยสิ่งเหล่านี้จะยังคงเป็นปัญหาอยู่อีกนานพอสมควรเลยทีเดียว”

เสียงจากอีกมุมมองหนึ่งอย่างนาย Ray Walsh ผู้เชี่ยวชาญด้านความเป็นส่วนตัวบนโลกออนไลน์จากแพลตฟอร์มด้านการศึกษาอย่าง ProPrivacy ได้แสดงความคิดเห็นว่า ภายใต้กฎหมายว่าด้วยการปกป้องข้อมูลส่วนบุคคลหรือ General Data Protection Regulation (GDPR) นั้น ทางบริษัทอาจต้องรับโทษปรับที่หนักพอสมควร หรือแม้กระทั่งอาจได้รับการสอบสวนจากคณะกรรมการด้านการซื้อขายประจำสหรัฐฯหรือ Federal Trade Commission รวมไปถึงการถูกฟ้องร้องเป็นคดีแบบกลุ่ม (Class-action) โดยผู้ใช้บริการในฐานที่ข้อมูลส่วนตัวของพวกเขาถูกส่งมอบอย่างผิดวิสัย

นาย Ray Walsh ยังได้กล่าวถึงข้อมูลส่วนตัวของผู้ใช้ว่ามันได้ถูกนำไปใช้ประโยชน์เรียบร้อยแล้วดังนี้

“หลักจากการรั่วไหลของข้อมูล ผู้ใช้บริการของ BitMEX หลายรายได้มีการรายงานว่าพวกเขาได้รับอีเมล์แปลกๆหลายรายการ ซึ่งเป็นไปได้อย่างมากว่าเกิดมากจากการรั่วไหลดังกล่าว อีกทั้งยังปรากฎว่ามีการนำอีเมล์ของผู้ใช้บริการไปทำการซื้อขายในตลาดมืด ซึ่งอาจนำไปสู่การถูกเจาะรหัสผ่านและการโจรกรรมสินทรัพย์ดิจิทัลก็เป็นได้”

ที่มา : Cointelegraph