Google

ถ้ารหัสผ่าน Google Account ของเราหลุดออกไป จะเกิดความเสียหายอะไรขึ้นบ้าง

ในบล็อกตอนที่แล้ว (Google เก็บข้อมูลอะไรเราบ้าง) ผมได้พูดถึงเรื่องข้อมูลส่วนตัวของเราที่ถูก Google เก็บไว้ ซึ่งมันก็มีประโยชน์ในแง่ของการปรับปรุงคุณภาพบริการของ Google เพื่ออำนวยความสะดวกในการใช้งานของเรา เช่น ปรับผลการค้นหาให้ตรงกับความต้องการ หรือวิเคราะห์คำที่เราพูดให้แม่นยำขึ้น เป็นต้น แต่ในอีกแง่นึงมันก็เป็นประเด็นน่าคิดว่า Google จะเอาข้อมูลส่วนนี้ไปทำอะไรมากกว่าที่บอกไว้รึเปล่า หรือถ้าเกิดวันดีคืนดี Google ถูกแฮ็ก ข้อมูลมันจะหลุดรั่วออกไปมั้ย (ซึ่ง Google ก็บอกว่าได้เก็บข้อมูลพวกนี้แบบเข้ารหัสลับไว้อย่างดี)

แต่ประเด็นอะไรต่างๆ เหล่านี่ผมก็คงละไว้ไม่พูดถึง เพราะจุดประสงค์ของบล็อกตอนนี้คือจะบอกว่าถ้าเกิดวันดีคืนดี Google Account ของเราถูกคนอื่นเข้าถึงได้ (หรือที่ภาษาชาวบ้านเรียกกันว่าถูกแฮ็ก) คนอื่นที่เข้าถึง Google Account ของเราเค้าสามารถที่จะทำอะไรได้บ้าง

แล้วอยู่ๆ คนอื่นจะเข้า Google Account ของเราได้ไง? คำตอบง่ายๆ ก็รหัสผ่านหลุด ซึ่งมันก็สามารถเกิดขึ้นได้หลายช่องทาง เช่น ตั้งรหัสผ่านที่คนอื่นเดาได้ง่ายๆ (ใครตั้งรหัสผ่านเป็นวันเดือนปีเกิด เบอร์โทรศัพท์ ยอมรับมาซะดีๆ!) ถูกหลอกให้กรอกข้อมูลในหน้า Phishing, มี Keylogger หรือมัลแวร์ขโมยข้อมูลติดตั้งอยู่ในเครื่อง ฯลฯ

ไม่ว่าจะด้วยวิธีการอะไรก็ตาม ถ้ามีคนที่รู้รหัสผ่าน แล้วสามารถเข้า Google Account ของเราได้ นอกจากจะอ่านอีเมลใน Gmail, ดูรายชื่อคนที่เราติดต่อด้วยใน Contacts, ดูภาพถ่ายทั้งหมดใน Google Photos (ที่หลายคนน่าจะตั้งให้มือถือมันอัพโหลดภาพขึ้นโดยอัตโนมัติ) หรือข้อมูลความเป็นส่วนตัวอื่นๆ (อ้างอิงจากบล็อกตอนที่แล้ว :p) มันยังมีอะไรที่น่ากลัวกว่านั้นเยอะ

Saved Passwords (https://passwords.google.com/settings/passwords)

ใน Google Chrome เราสามารถสั่งให้เบราว์เซอร์บันทึกรหัสผ่านของเว็บไซต์ไว้ เพื่อที่จะได้ไม่ต้องมากรอกใหม่ทีหลัง ซึ่งเดี๋ยวนี้มันมีระบบ Sync รหัสผ่านขึ้นไปเก็บบน Google ได้ด้วย ข้อดีของการทำแบบนี้คือถ้าเกิดเราใช้คอมหลายเครื่อง (หรือเครื่องเดียวแต่หลาย OS) หรือใช้ Chrome บนมือถือ/แท็บเล็ต มันก็จะ Sync รหัสผ่านไปให้ทุกเครื่อง

แต่ข้อเสีย … ก็แน่นอนว่าถ้าคนอื่นมาใช้เครื่องเรา เขาก็จะสามารถเห็นรหัสผ่านของเว็บอื่นๆ ที่เราเซฟไว้ได้ทั้งหมด แต่ก็โอเคหน่อยตรงที่ Chrome ในคอมเวลาจะกดดูรหัสผ่านที่บันทึกไว้มันต้องใส่รหัสผ่านของตัว OS เพื่อยืนยันอีกขั้นนึงก่อนถึงจะโชว์รหัสผ่านมาให้เห็น (ซึ่งก่อนหน้านี้ถ้ากดดูก็เห็นหมดเลย) แต่สำหรับหน้า Saved Password นี้การป้องกันมีแค่ถามรหัสผ่าน Google Account เท่านั้น (แน่นอนว่าเรา assume ว่ารหัสผ่านมันรั่วไปแล้ว) เพราะงั้นถ้ามีคนที่รู้รหัสผ่าน Google Account ของเรา และเข้ามาดูในหน้า Saved Password ก็จะเห็นหมดเลยว่าเราเคยมีการบันทึกรหัสผ่านของเว็บอื่นๆ ที่ไหนอีกบ้าง (ใครเคยบันทึกรหัสผ่านของเว็บธนาคารหรือเว็บซื้อของออนไลน์ไว้ ยอมรับมาซะดีๆ!)

Google Wallet (https://wallet.google.com/)

สำหรับใครที่ใช้ Android ก็น่าจะมีการ Add บัตรเครติดเพื่อเอาไว้ซื้อของจาก Play Store ซึ่งในหน้า Google Wallet นี้ ถ้าเกิดผู้ไม่หวังดีเข้ามาดูได้ เค้าก็สามารถกดเข้าไปดูที่หน้า Payment Methods เพื่อดูข้อมูลบัตรเครดิตของเราได้

โชคดีหน่อยที่หมายเลขบัตรเครดิตกับรหัส CVV จะไม่ถูกแสดงให้เห็น แต่ข้อมูลอื่นๆ ที่เราผูกกับบัตรเครดิต เช่น ชื่อ-นามสกุล ที่อยู่ เบอร์โทรศัพท์ ส่วนใหญ่น่าจะเป็นชื่อจริงที่เราเปิดบัญชีกับธนาคารหรือกับบริษัทบัตรเครดิต

google-wallet

ซึ่งข้อมูลส่วนนี้ ถึงแม้มันจะยังเอาไปซื้อของไม่ได้ แต่ในเมื่อมันเป็นข้อมูลที่เกี่ยวข้องกับการเงิน ผมเองก็ยังไม่แน่ใจเหมือนกันว่าถ้าคนไม่หวังดีรู้ข้อมูลส่วนนี้เข้า ความเสียหายมันจะขนาดไหน

Google Play Store (https://play.google.com/store)

ก็น่าจะมีผลเฉพาะกับคนใช้ Android อีกน่ะแหละ เพราะหน้านี้ก็คือเอาไว้สั่งติดตั้งแอปลงในมือถือ/แท็บเลตได้จากหน้าเว็บเลย ความน่ากลัวของมันอยู่ที่ถ้าคนร้ายมีความรู้ในการเขียนแอป Android ซักหน่อย ก็อาจจะสร้างแอปที่ทำตัวเนียนๆ เหมือนชื่อแอปปกติที่น่าจะมีอยู่ในเครื่อง แล้วก็สั่งให้ติดตั้งลงไปในเครื่องของเหยื่อ ซึ่งก็อาจจะซ่อนไอคอนไม่ให้โผล่ใน Launcher ด้วย

ข้อดี (รึเปล่า?) ของการติดตั้งแอปผ่านหน้าเว็บ Play Store ก็คือ ต่อให้แอปมันขอ Permission เยอะแยะแหลกราญขนาดไหน มันก็จะโชว์ขึ้นมาให้เห็นแค่ตอนกด Install จากหน้าเว็บ เมื่อเรากดยอมรับ Permission ไปแล้ว แอปก็จะถูกติดตั้งลงในเครื่องของเหยื่อทันทีโดยที่เหยื่อไม่สามารถรู้ตัวล่วงหน้าหรือป้องกันอะไรได้เลย (ถึงจะปิดเน็ตแต่ถ้าต่อใหม่ก็โดนอยู่ดี)

เมื่อสั่งติดตั้งแอปลงในเครื่องของเหยื่อได้แล้ว จะสั่งให้มันขโมยข้อมูล SMS OTP เวลาเข้าเว็บธนาคาร (ซึ่งผมไม่แน่ใจว่าจะมีใครบันทึกรหัสผ่านเว็บธนาคารไว้ในเบราว์เซอร์หรือจะมีธนาคารไหนส่งลิงก์ Reset รหัสผ่านมาทางอีเมลรึเปล่า) ก็น่าจะทำได้ หรือจะสั่งให้มันแอบส่งพิกัดที่อยู่ อัดเสียง ถ่ายรูป ฯลฯ ก็น่าจะได้หมด

Android Device Manager (https://www.google.com/android/devicemanager)

จริงๆ เรื่องนี้ก็ไม่ใช่ฟีเจอร์ลับอะไร เพียงแต่ผู้ใช้ Android หลายคนอาจจะยังไม่รู้ว่าเราสามารถที่จะดูตำแหน่งมือถือของเราว่าตอนนี้มันอยู่ตรงไหนของโลก เปลี่ยนรหัสล็อคหน้าจอ หรือแม้แต่สั่ง Factory Reset เครื่องได้จากหน้านี้เลย ซึ่งก็ถ้าเกิดว่ามีคนอยากกลั่นแกล้งเรา เค้าก็อาจจะสั่งล็อคเครื่อง หรือสั่ง Factory Reset เครื่องทิ้งไปเลยก็ได้

android-device-manager

ข้อดีของ Android Device Manager เวอร์ชันหลังๆ คือเวลาที่เราเปิดหน้าเว็บนี้เพื่อค้นหาพิกัดมือถือหรือสั่งให้มันส่งเสียงร้อง จะมี Notification แจ้งบอกให้ผู้ใช้ทราบด้วย (ก่อนหน้านี้ไม่มี)

Google Takeout (https://www.google.com/settings/takeout)

ผมว่าอันนี้น่าจะเป็น Critical Damage สุดๆ แล้วล่ะถ้าเกิดว่ามีใครเข้า Google Accout ของเราได้ เพราะมันสามารถที่จะ Archive ข้อมูลทุกอย่างใน Google Account ของเรา ทั้งรูปภาพ อีเมล ปฏิทิน รายชื่อผู้ติดต่อ คลิปที่เราอัพลง YouTube ฯลฯ ออกมาเป็นไฟล์ .zip ให้ดาวน์โหลดได้แค่ในไม่กี่อึดใจ

google-takeout

ทั้งหมดที่ว่ามานี้เป็นแค่ตัวอย่างคร่าวๆ เท่านั้นว่าถ้าเกิดรหัสผ่าน Google Account ของเราหลุดออกไปแล้วมันจะเกิดความเสียหายขึ้นขนาดไหนบ้าง บางอย่างอาจจะฟังดูโอเวอร์เนื่องจากผมประเมิณแบบกรณีที่เลวร้ายที่สุดที่น่าจะเกิดขึ้นได้ (Worst Case)

… แล้วแบบนี้จะป้องกันยังไงดี?

อย่างน้อยๆ ก็ต้องป้องกัน Google Account ของเราไม่ให้ถูกใครเข้ามาล็อกอินใช้งานได้ง่ายๆ อาจจะด้วยการตั้งรหัสผ่านที่มันคาดเดาได้ยาก เปิดใช้งาน 2-Step Verification รวมถึงการตั้ง Security Alert ว่าถ้าเกิดมีพฤติกรรมอะไรที่อาจจะเกิดความไม่ปลอดภัยขึ้นกับ Account ของเรา ก็ให้ Google ส่งอีเมลหรือส่ง SMS มาแจ้งเราด้วย เพื่อจะได้รับมือได้ทันท่วงที เป็นต้นครับ

ซึ่งทั้งหมดนี้ผมก็คงไม่ลงรายละเอียดอะไรมาก เพราะเราสามารถที่จะเข้าไปที่หน้า My Account (https://myaccount.google.com/security) แล้วปรับปรุงข้อมูลด้าน Security ให้มันมีความมั่นคงปลอดภัยมากขึ้นได้ ซึ่งหน้าเว็บของ Google เองก็อธิบายขั้นตอนวิธีชัดเจนอยู่แล้ว สามารถทำตามได้ง่ายๆ เลย

ถ้าใครเห็นว่าเรื่องนี้มันสำคัญ ผมก็อยากให้เข้าไปตั้งค่าความปลอดภัย Google Account ของตัวเองซะตั้งแต่ตอนนี้เลย เพราะถ้าคิดว่าเอาไว้ว่างๆ ค่อยทำ บางทีมันอาจจะสายเกินไปแล้วก็ได้ 🙂

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s