HaveIBeenPwned (HIBP) คืออะไร มีวิธีใช้งานอย่างไร
4 มิถุนายน 2021
แม้จะมีบทความ ข่าวด้าน IT security ที่เน้นย้ำให้ระมัดระวังภัยคุกคามทางไซเบอร์ที่เกิดจาก การตั้งค่ารหัสที่คาดเดาง่าย หรือ ใช้รหัสผ่านเดียวกันทุกบัญชี ซึ่งเป็นสาเหตุหลักของการถูกแฮกข้อมูลเสมอ แต่ก็ยังพบเห็นข่าวการถูกโจมตีอยู่ต่อเนื่องและไม่มีท่าทีจะลดน้อยลง โดยมีสถิติจากศูนย์ปฏิบัติการ Security Operation Center (SOC) ของ NT cyfence ที่ได้รวบรวมสถิติภัยคุกคามตลอดปี 2020 พบว่าภัยอันดับหนึ่งคือ Authentication Failed (การยืนยันตัวตนล้มเหลว) สาเหตุเกิดจากการจำรหัสผ่านบัญชีออนไลน์ของตัวเองไม่ได้ หลาย ๆ คนจึงเลือกใช้รหัสผ่านเดียวกันทุกบัญชี จึงทำให้ตกเป็นเหยื่อแฮกเกอร์แบบไม่รู้ตัว
ซึ่งนักวิจัยด้านความปลอดภัยต่างก็ได้ออกมาเตือนผ่านบทความ ข่าว ต่าง ๆ มากมาย และยังมีการพัฒนาเครื่องมือป้องกันต่าง ๆ รวมถึงเว็บไซต์ที่ใช้สำหรับตรวจสอบบัญชีและรหัสผ่านด้วย เพื่อที่จะให้ผู้ใช้งานทั่วไปที่มีความปลอดภัยมากขึ้น ในบทความนี้จะแนะนำเว็บไซต์ haveibeenpwned (HIBP) ที่เป็นเว็บไซต์สำหรับตรวจสอบบัญชีและรหัสผ่านของตนเองว่าเคยถูกแฮกจากเว็บไซต์ต่าง ๆ หรือไม่ โดยจะรวบรวมฐานข้อมูลบัญชีที่เคยถูกแฮกทั่วโลกมาไว้ในเว็บไซต์เดียว เพื่อให้ผู้ใช้งานตรวจสอบหากพบว่ามีข้อมูล Username และ Password ชุดเดียวกัน ที่เอาไปใช้ในเว็บไซต์อื่น จะได้เปลี่ยนได้อย่างทันท่วงที ก่อนที่จะโดนแฮกในทุก Account
HaveIBeenPwned (HIBP) คืออะไร
เป็นเว็บไซต์ที่อนุญาตให้ผู้ใช้อินเทอร์เน็ตสามารถตรวจสอบได้ว่าข้อมูลส่วนบุคคลของตนเองถูกบุกรุกหรือถูกละเมิดข้อมูลหรือไม่ ถูกพัฒนาขึ้นโดย Troy Hunt ผู้เชี่ยวชาญด้านความปลอดภัยชาวออสเตรเลีย โดยเว็บไซต์นี้จะมีการเก็บรวบรวมและวิเคราะห์ฐานข้อมูลบัญชีที่ถูกแฮกทั่วโลกทั้งในฟอรั่มแฮกเกอร์ Darkweb ฐานข้อมูลจากสำนักงานสอบสวนกลาง (FBI) ฯลฯ มาลงไว้ในเว็บไซต์ โดยที่ผ่านมามีข้อมูลเกี่ยวกับบัญชีที่ถูกรั่วไหลจำนวนหลายร้อยล้านรายการ เช่น Gmail, Hotmail, ชื่อบัญชี Facebook เป็นต้น โดยเว็บไซต์นี้จะช่วยให้ผู้ใช้งานอินเทอร์เน็ตสามารถค้นหาข้อมูลของตนเองได้โดยการป้อนชื่อผู้ใช้ หรือที่อยู่อีเมล นอกจากนั้นยังสามารถลงทะเบียน เพื่อรับการแจ้งเตือนหากที่อยู่ Email ถูกบุกรุกในอนาคตได้อีกด้วย
สามารถเข้าไปใช้งานได้ที่เว็บไซต์ https://haveibeenpwned.com/
ภาพ : รูปหน้าเว็บไซต์ haveibeenpwned.com
แต่ละเมนูบนเว็บไซต์ haveibeenpwned ใช้งานอย่างไรบ้าง
-
Home
Hompage เป็นหน้าแรกเมื่อเข้ามายังในเว็บไซต์ จะบอกส่วนต่าง ๆ ที่จะเชื่อมโยงไปยังเมนูอื่น ๆ และ เพื่อแสดงข้อมูลสำคัญต่าง ๆ ของ haveibeenpwned
-
Notify me
เป็นเมนูสำหรับผู้ที่ต้องการสมัครรับการแจ้งเตือนล่วงหน้า หากเกิดกรณีบัญชีของตัวเองถูกแฮก ระบบจะส่งข้อมูลแจ้งเตือนไปยังอีเมลที่ลงข้อมูลไว้ทันที
ภาพ: เมนู Notify me สำหรับให้ผู้ใช้งานลงทะเบียนอีเมลเพื่อรับการแจ้งเตือนกรณีถูกแฮกในอนาคต
-
Domain Search
ใช้สำหรับค้นหาบัญชี pwned ( pwned คือ ภาษาของกลุ่มแฮกเกอร์ แปลว่า โดนยึดหรือโดนเจาะข้อมูล ) ทั้ง Domainname และที่อยู่อีเมล รวมทั้งรับการแจ้งเตือนในอนาคต
ภาพ: เมนู Domain Search ซึ่งจะมีคำอธิบายรวมถึงให้ใส่ Domainname ที่ต้องการค้นหา
-
Who’s been pwned
รวบรวมเว็บไซต์ทั้งหมดที่ถูกแฮกฐานข้อมูล เช่น ข้อมูลบัญชีลูกค้า Username Password หมายเลขโทรศัพท์ ข้อมูลวันเกิด ที่อยู่ เป็นต้น ซึ่งสามารถเลือกดูได้ว่ามีเว็บไซต์ที่เราเคยใช้บริการหรือสามารถเช็คว่าข้อมูลของเราที่สมัครในเว็บไซต์นั้นถูกแฮกหรือไม่
-
Password
เมนูนี้เป็นการตรวจสอบความปลอดภัยของรหัสผ่านตนเอง โดยในเมนูนี้จะรวบรวมรหัสผ่านที่ถูกแฮกทั้งหมด 600 ล้านรายการ วิธีการคือ ใส่รหัสผ่านของตนเองแล้วกดปุ่ม pwned? เพื่อตรวจสอบว่า รหัสผ่านที่กำหนดเองเข้าข่ายถูกแฮกง่ายหรือไม่
ภาพ: ตัวอย่างการใส่รหัสผ่าน เพื่อตรวจสอบความแข็งแรงของรหัสผ่านว่าเข้าข่ายถูกแฮกง่ายหรือไม่
-
API
คือ ระบบปฏิบัติการ Application Programming Interface ( API ) เป็นระบบที่ช่วยนำส่งข้อมูลไปยังเว็บไซต์ผู้ให้บริการ ซึ่งในเว็บไซต์ haveibeenpwned ได้พัฒนาและประยุกต์ขึ้นสำหรับองค์กร หน่วยงานที่ต้องการตรวจสอบบัญชี หรือ IP address ที่เข้ามาใช้งานในเว็บไซต์ ว่าเป็นแฮกเกอร์ หรือเป็นลูกค้าของตัวเอง โดยระบบนี้จะช่วยบันทึกการใช้งานทั้งหมด องค์กร หรือ หน่วยงาน สามารถค้นหาบัญชี หรือ IP Address ที่ต้องการตรวจสอบเพื่อลดปัญหาข้อมูลลูกค้าโดนแฮก แต่จะมีค่าบริการในการใช้งาน สามารถเข้าไปอ่านรายละเอียดเพิ่มเติมได้ค่ะ
-
About
เป็นการรวบรวมข้อมูลเกี่ยวกับเว็บไซต์ ข้อมูลผู้พัฒนาเว็บไซต์ รวมทั้งคำถามเกี่ยวการใช้งานบนเว็บไซต์
-
Donate
เมนูนี้คือการบริจาคให้กับเว็บไซต์เพื่อพัฒนาและเพิ่มประสิทธิภาพให้ดียิ่งขึ้น สามารถบริจาคเป็นเหรียญ Bitcoin หรือ Paypal ผ่าน QR code
ต่อมาส่วนของฟีเจอร์อื่นบนหน้าเมนู Home จะมีช่องว่างให้ใส่ข้อมูลที่ต้องการตรวจสอบ ซึ่งจะคล้ายเมนู Domain Search โดยฟีเจอร์นี้เหมาะแก่ผู้้ใช้งานทั่วไปที่ต้องการตรวจสอบข้อมูลตัวเอง วิธีการคือ ใส่อีเมล เบอร์โทร ที่ต้องการตรวจสอบจากนั้นกด pwned
ภาพ: ฟีเจอร์อื่นในเมนู Home ใช้สำหรับการตรวจสอบอีเมล หมายเลขโทรศัพท์
ในส่วนสุดท้ายด้านล่างนี้ คือการรวบรวมจำนวนข้อมูลที่รั่วไหลทั้งหมด โดยจะอัปเดตแบบเรียลไทม์ แบ่งเป็น เว็บไซต์ที่พบจำนวนกี่บัญชี และ แอปพลิเคชันที่พบจำนวนกี่บัญชี
ภาพ: ข้อมูลถูกแฮกที่รวบรวมทั้งหมดในเว็บไซต์ haveibeenpwned
ทั้งหมดนี้เป็นส่วนต่าง ๆ ที่สำคัญสำหรับการใช้งานบนเว็บไซต์ haveibeenpwned ซึ่งถือว่ามีประโยชน์มาก ๆ สำหรับผู้ใช้งานทุกคน เพราะการมีตัวช่วยในการตรวจสอบก็จะยิ่งทำให้เกิดความตระหนักถึงภัยคุกคามมากขึ้น และทำให้เกิดการใช้งานบนโลกออนไลน์อย่างปลอดภัย
ที่มา: https://haveibeenpwned.com/
บทความที่เกี่ยวข้อง