ข้อมูลรั่วไหลทั่วโลกทำให้รหัสผ่าน 16 พันล้านรายการตกอยู่ในอันตราย! การรั่วไหลของข้อมูลครั้งประวัติศาสตร์นี้อาจเป็น "การประกาศจุดจบของยุครหัสผ่าน" หรือไม่

1. คลื่นยักษ์ "ข้อมูลประจำตัว" ที่ใหญ่ที่สุดในประวัติศาสตร์ —— เกิดอะไรขึ้น

เช้าตรู่วันที่ 20 มิถุนายน NDTV Profit ของอินเดียได้เผยแพร่บทความที่มีชื่อว่า "Massive Data Breach: 16 Billion Passwords Leaked" โดยรายงานว่า "ข้อมูลประจำตัว 16 พันล้านรายการที่ไม่เคยมีมาก่อนได้รับการยืนยันในฟอรั่มมืด" และกลายเป็นหัวข้อข่าวทั่วโลกในทันทีndtvprofit.com

ตามบทความดังกล่าว ชุดข้อมูลที่รั่วไหล 30 ชุดมีบรรทัดตั้งแต่หลายสิบล้านถึง 3.5 พันล้านรายการต่อชุด รวมถึง Apple ID, บัญชี Google, การเข้าสู่ระบบ Facebook, GitHub สำหรับนักพัฒนา และโทเค็นเซสชันของบริการรัฐบาล

2. การกลับมาของ "Mother of All Breaches"?

ตัวเลขนี้มีผลกระทบมากเมื่อเทียบกับ "MoAB (Mother of All Breaches: รวม 26 พันล้านรายการ)" ที่สร้างความฮือฮาในเดือนมกราคม 2024 แต่ในขณะที่ MoAB เป็น "สุสาน" ของการรั่วไหลที่รู้จักในช่วง 10 ปีที่ผ่านมา ชุดข้อมูลในครั้งนี้มี "คุกกี้และโทเค็น 'สด' จำนวนมากที่ถูกดึงมาจากอุปกรณ์ที่ติดเชื้อ InfoStealer ล่าสุด" ซึ่งเป็นจุดที่แตกต่าง นักวิจัยชี้ให้เห็นnews.com.au

3. รั่วไหลจากไหน? —— ด้านมืดของเศรษฐกิจ InfoStealer

Forbes อธิบายว่า "ไม่ได้เป็นการแฮ็กบริษัทที่ได้รับผลกระทบโดยตรง แต่เป็น PC หรือสมาร์ทโฟนที่ติดมัลแวร์และข้อมูลประจำตัวที่บันทึกในเบราว์เซอร์ถูกดึงออกมา"forbes.com

ในความเป็นจริง MaaS (Malware-as-a-Service) เช่น Raccoon, Vidar, Lumma ที่สามารถใช้งานได้ในราคาไม่กี่สิบดอลลาร์ต่อเดือนเป็นแหล่งที่มาของการกระทำผิด "ล็อก" ที่ขายในรูปแบบ ZIP ที่เข้ารหัสไม่เพียงแต่มีรหัสผ่าน แต่ยังมีโทเค็นเซสชันที่ใช้ในการเข้าสู่ระบบอัตโนมัติและที่อยู่และบัตรเครดิตสำหรับการกรอกข้อมูลอัตโนมัติซึ่งทำให้อาชญากรสามารถเข้าควบคุมได้ทันทีโดยไม่ต้องใช้การหลอกลวง 2FA หรือฟิชชิ่ง

4. การประเมินของผู้เชี่ยวชาญและเสียงที่เย็นชา

Troy Hunt นักวิจัยด้านความปลอดภัยของสหราชอาณาจักร (ผู้ดูแล Have I Been Pwned) โพสต์ใน X ว่า "หัวข้อ '16 Billion' นั้นน่าสนใจ แต่การรั่วไหลใหม่มีเพียงประมาณ 1 ใน 4 ของทั้งหมด ไม่จำเป็นต้องตื่นตระหนกเพียงเพราะตัวเลข"twitter.com
ใน Reddit ของ r/cybersecurity มีการเพิ่มขึ้นอย่างรวดเร็วของกระทู้ที่สงสัยว่า "เป็นเพียงการบรรจุใหม่ของข้อมูลเก่า" และ "สื่อใช้วิธีการทั่วไปในการดึงดูดคลิก"reddit.com

ในขณะเดียวกัน การอัปเดตสดของ Tom's Guide เตือนว่า "แม้ว่าจะมีการผสมผสานระหว่างข้อมูลเก่าและใหม่ข้อมูลประจำตัว VPN ของบริษัทที่สดใหม่กว่า 25 ล้านรายการตั้งแต่ไตรมาส 2 ปี 2025 เป็นต้นไป"tomsguide.com

5. SNS สะท้อน "สองอุณหภูมิที่แตกต่าง"

• กลุ่มตื่นตระหนก: "16 พันล้านรายการเหรอ!? ต้องเปลี่ยนรหัสผ่านทั้งหมดเดี๋ยวนี้ 💀" — โพสต์ของผู้ใช้ทั่วไปกลายเป็นเทรนด์ใน Xtwitter.com

• กลุ่มไม่สนใจ: "อีกครั้งกับ 'ใหญ่ที่สุด' เหรอ นี่มันซ้ำรอย MoAB ชัดๆ" — ใน Reddit /r/pcmasterrace มีคอมเมนต์ที่เต็มไปด้วยการเสียดสีได้รับอัพโหวตมากกว่า 3000 ครั้งreddit.com

• กลุ่มผู้เชี่ยวชาญ: Paolo Ardoino ซีอีโอของ Tether ประกาศว่า "แนวคิดของรหัสผ่านถึงขีดจำกัดแล้ว เรากำลังย้ายไปยัง 'PearPass' ที่เชื่อมโยงชีวมิติและกุญแจเข้ารหัส" ซึ่งได้รับความสนใจจากวงการ Web3twitter.com

ปฏิกิริยาเหล่านี้แสดงให้เห็นถึงความเป็นจริงที่ผู้ใช้ปลายทางแบ่งออกเป็นสองกลุ่ม: กลุ่มที่รับรู้ถึงวิกฤตว่าเป็นเรื่องส่วนตัว และกลุ่มที่ชินกับการเตือนภัยเนื่องจากข้อมูลที่มากเกินไป

6. สถานการณ์คาดการณ์ความเสียหาย — อะไรที่อาจเกิดขึ้นได้

1. การโจมตีด้วยการใช้ข้อมูลประจำตัวจำนวนมาก
   ใช้เครื่องมืออัตโนมัติเพื่อเข้าสู่ระบบ Netflix, Steam, Apple ID พร้อมกัน แม้แต่มีอัตราความสำเร็จ 1% ก็สามารถเจาะได้ถึง 160 ล้านรายการ

2. การใช้เมลของรัฐบาลเพื่อเจาะระบบ APT
   มีการยืนยันว่ารายการที่รั่วไหลมีโดเมน .gov และ .mil ซึ่งสามารถใช้เป็นฐานในการโจมตีแบบเจาะจงthe-sun.com

3. การโจมตีวอลเล็ตคริปโต
   ด้วยการขโมยคุกกี้เซสชันแทนที่จะเป็น Seed ทำให้สามารถข้ามการยืนยันสองขั้นตอนและโอนเงินได้ทันทีในทางเทคนิค

4. การเพิ่มความแม่นยำของฟิชชิ่งที่สร้างโดย AI
   การใช้เมลที่รั่วไหลเป็นข้อมูลในการเรียนรู้ ทำให้ "Vishing AI" ที่หลอกด้วยข้อความที่คล้ายกับเจ้าของเมลเข้าสู่ขั้นตอนการทดสอบแล้ว

7. ปฏิกิริยาของบริษัท

• Google ได้ประกาศในบล็อกอย่างเป็นทางการในวันเดียวกันว่า "จะเปิดใช้งานการใช้พาสคีย์เป็นค่าเริ่มต้นในทุกบัญชีภายในปี 2025"

• Apple มีรายงานว่ากำลังทดสอบ "ผู้ช่วยย้ายพาสคีย์อัตโนมัติ" ใน iOS 19 beta

• Meta มีแผนที่จะนำเสนอการลงชื่อเข้าใช้ "Meta Verified" ที่ไม่ต้องใช้รหัสผ่านใน Business Suite สำหรับองค์กร
  (※เนื้อหาที่ประกาศโดยแต่ละบริษัทมาจากการสัมภาษณ์ของ NDTV, Forbes, Tom’s Guide)ndtvprofit.com

8. 6 ขั้นตอนที่ผู้ใช้ทั่วไปควรทำ

1. ทำให้รหัสผ่านของบริการหลักทั้งหมดไม่ซ้ำกัน

2. ใช้โปรแกรมจัดการรหัสผ่าน (เช่น 1Password / Bitwarden)

3. เปลี่ยนจาก SMS เป็น TOTP (เช่น Google Authenticator) สำหรับ MFA

4. ตรวจสอบการรั่วไหลของอีเมลใน HaveIBeenPwned เป็นประจำ (ฟรี)reddit.com

5. ลบบัญชีที่ไม่จำเป็น & ยกเลิกโทเค็น OAuth เก่า

6. ปิดการบันทึกคุกกี้อัตโนมัติในเว็บไซต์สำคัญด้วยการตั้งค่า "Cannot autologin"

9. กฎหมายและอนาคตของการไม่ใช้รหัสผ่าน

ในสหภาพยุโรป คำสั่ง NIS2 มีกำหนดบังคับใช้ในเดือนตุลาคม 2025 โดยมีข้อความว่า "หากเก็บข้อมูลการยืนยันที่มีความลับสูงในรูปแบบข้อความธรรมดา จะถูกปรับสูงสุด 7% ของรายได้ต่อปี" สหรัฐอเมริกายังได้เสนอการบังคับใช้พาสคีย์ในหน่วยงานรัฐบาลกลางใน "National Cybersecurity Strategy" กฎระเบียบเหล่านี้มีโอกาสสูงที่จะสนับสนุนการเปลี่ยนแปลงจากรหัสผ่าน→พาสคีย์

10. สรุป

การรั่วไหล 16 พันล้านรายการในครั้งนี้ หากดูแค่ตัวเลขก็ถือว่าเป็น "ใหญ่ที่สุดในประวัติศาสตร์" แต่ในความเป็นจริงคือ**การรวบรวมข้อมูลเก่าและใหม่ และแก่นของภัยคุกคามอยู่ที่"ขีดจำกัดของรหัสผ่านเอง" และ "ความประมาทของผู้ใช้" การแก้ปัญหาทางเทคนิคกำลังค่อยๆ รวมไปที่พาสคีย์ แต่แนวหน้าในขณะนี้ยังคงเป็น "การเปลี่ยนแปลงพฤติกรรมของมนุษย์" เราทุกคนกำลังถูกทดสอบว่า**สามารถเป็น "ไฟร์วอลล์อีกชั้นหนึ่ง" ได้หรือไม่