สภาวิศวกรโดนแฮก เซิร์ฟเวอร์อย่างอุกอาจ ส่งผลให้ข้อมูลส่วนบุคคลของสมาชิกวิศวกรทั่วประเทศกว่า 300,000 ราย หลุดไปอยู่ในความครอบครองของกลุ่มมิจฉาชีพ โดยเหตุการณ์ดังกล่าวเกิดขึ้นในช่วงที่มีการปรับปรุงระบบฐานข้อมูลสารสนเทศ ซึ่งคนร้ายได้อาศัยช่องโหว่ทางเทคนิคเข้าถึงข้อมูลสำคัญ ทั้งนี้มีการยืนยันข้อมูลผ่านการลงบันทึกประจำวันเพื่อเป็นหลักฐาน พร้อมแจ้งเตือนสมาชิกให้เพิ่มความระมัดระวังสูงสุดต่อการติดต่อที่ผิดปกติ 📑
รายละเอียดเหตุการณ์: ช่องโหว่ช่วงอัปเกรดระบบ COE Service
จากการเปิดเผยของ นายชูเลิศ จิตเจือจุน กรรมการสภาวิศวกร สมัยที่ 8 ผ่านช่องทางโซเชียลมีเดียส่วนตัว ระบุว่าเหตุการณ์ความไม่ปลอดภัยทางไซเบอร์ครั้งนี้เกิดขึ้นในช่วงเทศกาลสงกรานต์ที่ผ่านมา 📍 ซึ่งเป็นช่วงเวลาที่ทางสภาวิศวกรกำลังดำเนินการยกระดับระบบจาก COE Service 2 ไปสู่ COE Service 3 ในช่วงเปลี่ยนผ่านดังกล่าว ได้เกิดความผิดพลาดในการกำหนดสิทธิ์การเข้าถึงข้อมูล (Access Control) โดยปกติแล้วกรรมการผู้ชำนาญการจะมีสิทธิ์เรียกดูข้อมูลสมาชิกเฉพาะในส่วนที่ตนเองรับผิดชอบเพียงหลักสิบรายเท่านั้น แต่ระบบที่ผิดพลาดกลับเปิดช่องให้สามารถเข้าถึงฐานข้อมูลสมาชิกทั้งหมดได้ มิจฉาชีพจึงฉวยโอกาสนี้สวมรอยใช้บัญชีผู้ใช้งาน (Username) และรหัสผ่าน (Password) ระดับผู้ดูแลระบบ (Admin) และบัญชีของกรรมการผู้ชำนาญการรวม 3 บัญชี เพื่อทำการดึงข้อมูล (Data Scraping) ออกไปทั้งหมด 💻
ข้อมูลที่หลุดไปและผลกระทบต่อสมาชิก
ข้อมูลที่ถูกโจรกรรมไปในครั้งนี้ประกอบด้วยข้อมูลสำคัญที่ระบุตัวตนได้ชัดเจน ได้แก่:
-
ชื่อ-นามสกุล และประวัติส่วนบุคคล
-
ที่อยู่ปัจจุบันและที่ทำงาน
-
หมายเลขโทรศัพท์ติดต่อ
-
ข้อมูลระดับวุฒิวิศวกรของแต่ละบุคคล
💬 นายชูเลิศระบุเพิ่มเติมว่า หนึ่งในบัญชีที่ถูกมิจฉาชีพนำไปใช้ในการดึงข้อมูลปรากฏเป็นชื่อของตนเอง รวมถึงชื่อของวิศวกรชั้นผู้ใหญ่ระดับราชบัณฑิต ซึ่งแสดงให้เห็นถึงความพยายามของมิจฉาชีพในการเจาะระบบโดยใช้บัญชีที่มีความน่าเชื่อถือสูง ข้อมูลเหล่านี้อาจถูกนำไปใช้ในกระบวนการของ แก๊งคอลเซ็นเตอร์ เพื่อสร้างบทสนทนาที่ดูสมจริง โดยการแอบอ้างเรื่องการต่อใบอนุญาตประกอบวิชาชีพ หรือประเด็นทางวิศวกรรมเพื่อหลอกลวงทรัพย์สิน 🏛️
FAQs | คำถามที่พบบ่อยเกี่ยวกับเหตุการณ์ข้อมูลหลุด
ถาม: ข้อมูลที่หลุดไปรวมถึงเลขบัตรประชาชนหรือข้อมูลทางการเงินหรือไม่? ตอบ: เบื้องต้นข้อมูลที่ยืนยันว่าหลุดออกไปคือข้อมูลทั่วไป ที่อยู่ เบอร์โทร และระดับวิศวกร อย่างไรก็ตาม สมาชิกควรตรวจสอบและเฝ้าระวังบัญชีทางการเงินที่ผูกกับเบอร์โทรศัพท์ไว้อย่างใกล้ชิด
ถาม: สมาชิกสภาวิศวกรควรปฏิเสธสายเรียกเข้าจากเบอร์แปลกอย่างไร? ตอบ: หากมีการติดต่อโดยอ้างชื่อสภาวิศวกรเพื่อขอทำธุรกรรมหรือขอข้อมูลเพิ่มเติม ให้วางสายและติดต่อกลับไปยังช่องทางหลักของสภาวิศวกรโดยตรงเพื่อตรวจสอบข้อเท็จจริง
ถาม: ทางสภาวิศวกรมีการดำเนินการทางกฎหมายอย่างไร? ตอบ: ขณะนี้มีการลงบันทึกประจำวันและแจ้งความดำเนินคดีเพื่อสืบสวนหาตัวผู้กระทำผิด และกำลังเร่งปิดช่องโหว่ของระบบ COE Service 3 เพื่อความปลอดภัยของข้อมูลที่เหลืออยู่
สรุปข่าว
กรณี สภาวิศวกรโดนแฮก เป็นอุทาหรณ์สำคัญของการรักษาความปลอดภัยบนโลกไซเบอร์ในช่วงที่มีการเปลี่ยนผ่านเทคโนโลยี ข้อมูลสมาชิก 3 แสนรายที่หลุดไปนั้นเป็นข้อมูลที่มีความละเอียดอ่อนและสามารถนำไปสร้างความเสียหายได้ในวงกว้าง ขอให้วิศวกรทุกท่านมีสติในการรับสายโทรศัพท์หรือข้อความแปลกปลอม และติดตามประกาศอย่างเป็นทางการจากสภาวิศวกรเกี่ยวกับมาตรการเยียวยาและการป้องกันในอนาคตต่อไป
