เวทีสัมมนาด้านความปลอดภัยไซเบอร์ระดับโลก “Kaspersky Security Analyst Summit (SAS)” Ignacio Navarro แฮกเกอร์สายจริยธรรม (Ethical Hacker) ได้สร้างแรงสั่นสะเทือนต่อภาคธุรกิจ ด้วยการเปิดเผยให้เห็นว่า องค์กรขนาดใหญ่ในหลากหลายอุตสาหกรรม ตั้งแต่ค้าปลีก, ขนส่ง, อสังหาริมทรัพย์ ไปจนถึงอีคอมเมิร์ซ กำลังยืนอยู่บนรากฐานทางดิจิทัลที่เปราะบางอย่างน่าใจหาย
การบรรยายที่อัดแน่นด้วยสไลด์กว่า 140 สไลด์ใน 20 นาที ไม่เพียงแต่เป็นการโชว์เทคนิคการแฮกที่น่าทึ่ง แต่ยังเป็นการ “ตีแสกหน้า” ภาคธุรกิจให้ตระหนักถึงต้นทุนทางเศรษฐกิจมหาศาลที่ซ่อนอยู่ภายใต้ช่องโหว่เล็กๆ ที่ถูกมองข้าม ซึ่งอาจนำไปสู่การล่มสลายของรายได้ ความน่าเชื่อถือ และความอยู่รอดขององค์กรในยุคเศรษฐกิจดิจิทัล
เมื่อช่องโหว่ไซเบอร์คือ “หนี้สิน” ทางเศรษฐกิจที่รอวันระเบิด
ในโลกที่ “ข้อมูล” คือน้ำมันหล่อเลี้ยงเศรษฐกิจใหม่ (Data-Driven Economy) องค์กรต่าง ๆ เร่งสร้างแพลตฟอร์มดิจิทัลเพื่อแย่งชิงส่วนแบ่งการตลาด แต่บ่อยครั้งที่ความเร็วนั้นต้องแลกมากับความหละหลวมด้านความปลอดภัย เวที SAS 2025 ที่จัดโดย แคสเปอร์สกี้ ครั้งล่าสุดนี้ได้ฉายภาพความจริงอันน่าเจ็บปวด โดยมี Ignacio Navarro ผู้เชี่ยวชาญด้านการแฮกอย่างมีจริยธรรม ซึ่งทำงานให้กับบริษัทประกันภัย และเป็นที่รู้จักในฐานะชายผู้รักสนีกเกอร์และมีจักรเย็บผ้าเป็นของตัวเอง เป็นผู้นำเสนอความจริงดังกล่าว
Navarro ไม่ใช่นักวิชาการที่มาพร้อมทฤษฎี แต่เขาคือนักปฏิบัติที่ลงมือ “เจาะ” ระบบจริง และสิ่งที่เขาพบก็คือความเสี่ยงทางการเงินที่ประเมินค่าไม่ได้ เขาย้ำเตือนผู้ชมด้วยคำเตือนที่จริงจังว่า “อย่าพยายามทำสิ่งเหล่านี้ที่บ้าน… อย่าทำผิดกฎหมาย” ซึ่งในมุมมองของนักเศรษฐศาสตร์ นี่คือคำเตือนว่า “สิ่งที่ผมกำลังจะโชว์ให้ดูนี้ มันง่ายดายเสียจนอาชญากรตัวจริงสามารถสร้างความเสียหายทางเศรษฐกิจได้อย่างมหาศาล”
เขานิยามการแฮกว่าเป็น “การแสดงออกทางศิลปะ” (Artistic Expression) ซึ่งเป็นการค้นหาว่า “โค้ดแต่ละชิ้นอยู่ตรงนั้นเพื่ออะไร” สำหรับภาคธุรกิจ นี่คือคำจำกัดความของ “ผู้ตรวจสอบบัญชี” (Auditor) ในโลกดิจิทัล หน้าที่ของพวกเขาคือการค้นหา “ช่องโหว่” หรือ “จุดบกพร่อง” ในระบบ ที่อาจไม่ใช่แค่การทำงานผิดพลาด แต่คือช่องทางที่นำไปสู่การทุจริต การโจรกรรม หรือการล่มสลายของทั้งระบบ
กรณีศึกษา: จากซูเปอร์มาร์เก็ตถึงอีคอมเมิร์ซ จุดจบของธุรกิจที่เริ่มจาก “ID”
Navarro ได้นำเสนอ 4 กรณีศึกษาที่เขาค้นพบด้วยตัวเอง ซึ่งสะท้อนภาพรวมของปัญหาที่กำลังกัดกินรากฐานของเศรษฐกิจดิจิทัลอย่างเงียบๆ
กรณีศึกษาที่ 1: ซูเปอร์มาร์เก็ต กับความสามารถในการ “เปลี่ยนราคาทั้งร้าน”
จุดเริ่มต้นคือความสงสัยในโปรแกรมสะสมแต้มของลูกค้าทั่วไป เขาพบช่องโหว่คลาสสิกที่เรียกว่า IDOR (Insecure Direct Object Reference) หรือแปลเป็นภาษาธุรกิจง่ายๆ คือ “การที่ระบบอนุญาตให้ใครก็ได้เข้าถึงข้อมูลของคนอื่น เพียงแค่เปลี่ยนตัวเลข ID ใน URL” จากจุดเล็กๆ นี้ Navarro ได้ไต่ระดับเข้าไปจนถึง “Employee Portal” หรือระบบสำหรับพนักงาน และ “Client Portal” หรือระบบสำหรับลูกค้า ซึ่งเปิดให้ “ใครก็ได้” ลงทะเบียนเป็นพนักงานใหม่ได้
แม้ว่าบัญชีใหม่จะไม่มีสิทธิ์ในทันที แต่เขาก็สามารถเข้าถึงไฟล์ Text Editor ที่พนักงานใช้จดโน้ต และสิ่งที่เขาพบคือ “ขุมทรัพย์ของอาชญากร” พนักงานมักง่ายจด “Credentials” หรือรหัสผ่านสำคัญๆ ไว้ในนั้น ทั้งรหัสผ่านของฐานข้อมูล (DBR), รหัสผ่านของ WordPress ที่ใช้ทำพอร์ทัล, รหัสผ่านเซิร์ฟเวอร์ FTP ที่เก็บไฟล์ทั้งหมด และที่เลวร้ายที่สุดคือ รหัสผ่าน SSH ที่มีสิทธิ์ระดับ Root (สิทธิ์สูงสุดในการควบคุมเซิร์ฟเวอร์)
แต่หายนะที่แท้จริงอยู่ตรงที่ เขาพบว่าเซิร์ฟเวอร์เปิดพอร์ต 3306 ซึ่งเป็นพอร์ตฐานข้อมูลหลักทิ้งไว้สู่สาธารณะ เมื่อรวมกับรหัสผ่านที่เก็บไว้ในโน้ต ผลลัพธ์คือ Navarro ได้รับสิทธิ์ “Read and Write” (อ่านและเขียน) ฐานข้อมูลทั้งหมดของซูเปอร์มาร์เก็ตแห่งนี้
ในเชิงเศรษฐศาสตร์ นี่ไม่ใช่แค่ “ข้อมูลรั่วไหล” (Data Breach) นี่คือ “หายนะทางการเงิน” Navarro กล่าวอย่างติดตลกว่า “บางทีคุณอาจจะไปเดินซูเปอร์มาร์เก็ตแล้วหยิบของฟรีได้เลย” เพราะเขาสามารถ “เปลี่ยนราคาสินค้าทั้งหมด” ในฐานข้อมูลได้ตามต้องการ ลองจินตนาการถึงความโกลาหลหากสินค้าทั้งร้านกลายเป็น 0 บาท ธุรกิจนี้จะล้มละลายภายในไม่กี่ชั่วโมง ไม่เพียงเท่านั้น เขายังเข้าถึง “ข้อมูลพนักงานและลูกค้าทั้งหมด” ซึ่งหมายถึงค่าปรับมหาศาลตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล (เช่น PDPA หรือ GDPR) และความเชื่อมั่นของผู้บริโภคที่พังทลายลงในพริบตา
กรณีศึกษาที่ 2: งานเรฟ กับการ “พิมพ์ตั๋วฟรี” ได้ไม่จำกัด
กรณีต่อมาเกิดขึ้นเมื่อเพื่อนชวนเขาไปงานดนตรี (Rave) เขาจองตั๋วและพบช่องโหว่ IDOR อีกครั้ง แต่คราวนี้ร้ายแรงกว่า เพราะเขาสามารถเปลี่ยนคำสั่งจาก “GET” (การดึงข้อมูล) เป็น “PUT” (การแก้ไขข้อมูล) ได้ ทำให้เขาสามารถ “แก้ไข” ข้อมูลผู้ใช้งานคนใดก็ได้ในระบบ
Navarro ตั้งสมมติฐานว่าผู้ใช้คนแรก (ID 1) น่าจะเป็นผู้ดูแลระบบ (Administrator) เขาจึงใช้ช่องโหว่นี้ “เปลี่ยนอีเมล” ของแอดมินให้เป็นอีเมลของเขา แล้วจึงกด “ลืมรหัสผ่าน” ผลคือ ระบบได้ส่งลิงก์ตั้งรหัสผ่านใหม่ของ “แอดมิน” มาให้เขา
เมื่อเขาล็อกอินในฐานะแอดมิน เขาก็เห็นภาพทั้งหมด “เขาสามารถเห็นรายได้ทั้งหมดที่ผู้จัดงานทำได้… และสามารถสร้างตั๋วฟรีเพิ่มเท่าไหร่ก็ได้”
นี่คือฝันร้ายของอุตสาหกรรมอีเวนต์ ธุรกิจที่รายได้ 100% มาจากการขายตั๋ว กลับถูกเจาะระบบจนสามารถพิมพ์ตั๋วผีที่ “ถูกกฎหมาย” ได้ไม่จำกัด มันคือการทำลายโมเดลธุรกิจลงอย่างสิ้นเชิง ยิ่งไปกว่านั้น เมื่อเขารายงานเรื่องนี้ไปยังผู้จัดงาน คำตอบที่ได้คือ “นี่เป็นซอฟต์แวร์ที่เราซื้อมา” ซึ่งเป็นการชี้ให้เห็นถึงความเสี่ยงที่น่ากลัวอีกประการหนึ่งในเศรษฐกิจยุคใหม่ นั่นคือ “ความเสี่ยงจากบุคคลที่สาม” (Third-Party Risk) องค์กรกำลังนำเข้าความเสี่ยงโดยไม่รู้ตัว ผ่านการใช้ซอฟต์แวร์จากผู้ให้บริการที่หละหลวม
กรณีศึกษาที่ 3: บริษัทรถบัส กับตั๋วราคา “0.0 ดอลลาร์”
ในลักษณะเดียวกันกับกรณีซูเปอร์มาร์เก็ต เขาพบว่าระบบจองตั๋วรถบัสไม่มีการตรวจสอบความถูกต้องของการแก้ไขข้อมูล (Tampering Validation) ในฝั่งเซิร์ฟเวอร์ เมื่อทำการจ่ายเงิน ระบบจะส่งข้อมูลราคาสุดท้าย (Transaction Amount) ไปพร้อมกับคำสั่งซื้อ Navarro เพียงแค่แก้ไขตัวเลขนั้น
เขาสามารถตั้งราคาตั๋วให้เหลือเพียง “5 เปโซ” (ประมาณ 0.0 ดอลลาร์) และการชำระเงินก็ “ผ่าน” ฉลุย นี่คือช่องทางที่อาชญากรสามารถกว้านซื้อตั๋วทั้งหมดในระบบด้วยราคาเกือบฟรี แล้วนำไปขายต่อในตลาดมืด (Black Market) บริษัทรถบัสจะไม่เหลือรายได้แม้แต่บาทเดียว และยังต้องรับมือกับลูกค้าที่โกรธแค้นเพราะตั๋วเต็มตลอดเวลา
กรณีศึกษาที่ 4: แพลตฟอร์มอีคอมเมิร์ซ กับ “การแจกรหัสผ่าน” ให้ทุกคน
กรณีศึกษาสุดท้ายคือความล้มเหลวที่สมบูรณ์แบบที่สุด เขาพบบริษัทที่ใช้ระบบอีคอมเมิร์ซสำหรับให้พนักงานแลกแต้มเป็นบัตรของขวัญ (Gift Card) เขาพบ Log Files ที่มีคอมเมนต์จากโปรแกรมเมอร์บ่นว่า “อันนี้ใช้ไม่ได้” ถูกทิ้งไว้ในระบบจริง (Production) ซึ่งสะท้อนถึงความไม่เป็นมืออาชีพอย่างรุนแรง
แต่จุดตายอยู่ที่ Endpoint ที่ชื่อว่า “Pre-Login” ซึ่งใช้สำหรับตรวจสอบว่าผู้ใช้มีตัวตนในระบบหรือไม่ เมื่อเขาลองยิง Post Request ธรรมดาๆ พร้อม ID มั่วๆ ระบบไม่เพียงแต่ตอบกลับมาว่ามีผู้ใช้นี้อยู่จริง แต่ยัง “ส่งข้อมูลส่วนตัวทั้งหมด” รวมถึง “String ปริศนา” ที่ดูเหมือน Base64 กลับมาด้วย
Navarro ลองนำ String ปริศนานั้นไป “ล็อกอิน” และมันก็ “ใช้ได้” เขาสรุปสั้นๆ แต่เจ็บปวดว่า “สรุปคือ ตอนที่คุณ Pre-Login เพื่อเช็กว่าผู้ใช้มีตัวตนมั้ย ระบบมันตอบกลับมาว่า ‘มีตัวตนครับ และนี่คือรหัสผ่านด้วย'”
นี่ไม่ใช่การแฮกอีกต่อไป นี่คือการที่บริษัท “เปิดประตูตู้เซฟทิ้งไว้” และเรื่องราวยังพีคขึ้นไปอีก เมื่อเขาค้นพบช่องโหว่นี้ในระหว่างที่กำลังประชุมกับ CTO (ประธานเจ้าหน้าที่ฝ่ายเทคโนโลยี) ของบริษัทนั้นพอดี! CTO คนนั้นยืนกรานว่า “ไม่ๆ นั่นมัน Endpoint เก่า เราไม่ใช้แล้ว”
Navarro จึงใช้เวลาไม่กี่นาที ค้นหาเลข ID ของ CTO คนนั้นใน Google นำมา Pre-Login และ “ล็อกอินเข้าบัญชีของ CTO คนนั้นได้สำเร็จในระหว่างการประชุม” เขายังพบว่า CTO คนนี้ใช้จ่ายเงินเดือนละ 2,000 ดอลลาร์ไปกับบัตรของขวัญ นี่คือหลักฐานที่ชัดเจนว่าอาชญากรสามารถ “ดูดเงิน” ออกจากบัญชีของพนักงานทุกคนได้ในทันที และเป็นตัวอย่างคลาสสิกของ “วัฒนธรรมองค์กรที่ล้มเหลว” ที่ผู้บริหารปฏิเสธความจริงจนกว่าจะเห็นหลักฐานคาตา
จาก “ภัยคุกคาม” สู่ “สินทรัพย์” ทางเศรษฐกิจ
สิ่งที่ Ignacio Navarro พยายามสื่อสาร ไม่ใช่การโอ้อวดความสามารถ แต่คือการชี้ให้เห็นถึง “ความล้มเหลวของตลาด” (Market Failure) เขายืนยันว่าเครื่องมือที่ใช้ในการเจาะระบบเหล่านี้ “เป็นเครื่องมือพื้นฐาน” ที่ใครๆ ก็หาได้ นั่นหมายความว่า “ต้นทุนในการสร้างความเสียหายทางเศรษฐกิจ” นั้นต่ำเตี้ยเรี่ยดินอย่างน่ากลัว
เขาได้พูดถึงกระบวนการ “การเปิดเผยช่องโหว่” (Disclosure) ซึ่งในมุมมองทางเศรษฐกิจ นี่คือ “กลยุทธ์การบริหารความเสี่ยง” (Risk Management Strategy) ที่มีประสิทธิภาพสูงสุด
- Responsible Disclosure (การเปิดเผยอย่างรับผิดชอบ): คือการที่แฮกเกอร์แจ้งบริษัทโดยตรงและให้เวลาในการแก้ไข
- Bug Bounty Programs (โครงการล่ารางวัลช่องโหว่): ไม่ใช่ “ค่าใช้จ่าย” ด้านไอที แต่คือ “การลงทุน” ในการทำ Crowd-Sourced Auditing (การตรวจสอบโดยมวลชน) ที่คุ้มค่าที่สุด มันคือการจ่ายเงินเล็กน้อยให้กับแฮกเกอร์สายดี เพื่ออุดรูรั่วก่อนที่อาชญากรตัวจริงจะเจอมันและสร้างความเสียหายมูลค่าหลายล้าน
ทว่าความจริงที่น่าเศร้าคือ องค์กรส่วนใหญ่ยังมองคนเหล่านี้เป็นศัตรู Navarro ระบายความในใจว่า “คุณส่งอีเมลไปเป็นตั้ง แต่ไม่มีใครสนใจ” หรือ “90% ของเคส คุณจะไม่ได้รับคำตอบ” นี่คือโศกนาฏกรรมทางเศรษฐกิจ องค์กรกำลังได้รับ “บริการที่ปรึกษาด้านความเสี่ยง” มูลค่ามหาศาลแบบฟรีๆ แต่กลับเลือกที่จะ “โยนมันทิ้งถังขยะ”
สุขภาพจิตของแฮกเกอร์ และความอยู่รอดขององค์กร
ในช่วงท้ายของการบรรยาย Navarro ได้พูดถึงสิ่งที่สำคัญกว่าเทคนิค นั่นคือ “สุขภาพจิต” และการ “ออกไปสัมผัสโลกภายนอก” (Touch Grass) เขาย้ำว่า “เราก็เป็นคน เราต้องอยู่ในคอมมูนิตี้” นี่คือการส่งสัญญาณไปยังภาคธุรกิจว่า แฮกเกอร์สายจริยธรรมไม่ใช่เครื่องจักร แต่คือมนุษย์ที่พยายามจะ “ช่วย”
คำขอร้องสุดท้ายของเขาคือ “ถ้าคุณเป็นอีกฝั่ง (บริษัท) ที่ได้รับรายงาน… ได้โปรดใส่ใจมันหน่อย… เราไม่ได้อยากได้เงินคุณ เราแค่อยากทำให้มันปลอดภัยขึ้น”
การบรรยายของ Ignacio Navarro ในครั้งนี้ จึงไม่ใช่แค่การสาธิตทางเทคนิค แต่คือ “รายงานการตรวจสอบสถานะทางเศรษฐกิจ” (Economic Due Diligence) ของภูมิทัศน์ดิจิทัล เขากำลังเตือนทุกองค์กรว่า ธุรกิจนับไม่ถ้วนกำลังสร้างอยู่บน “รากฐานของทรายดิจิทัล” ต้นทุนของการเพิกเฉยต่อช่องโหว่ “5 เปโซ” หรือ “การแจกรหัสผ่าน” นี้ ไม่ใช่แค่ค่าปรับทางกฎหมาย แต่คือการล่มสลายทางการเงิน การพังทลายของชื่อเสียง และความล้มเหลวโดยสิ้นเชิงของการกำกับดูแลกิจการในยุคใหม่
เศรษฐกิจที่แท้จริงในปัจจุบันคือเศรษฐกิจดิจิทัล และความอยู่รอดของมันก็ขึ้นอยู่กับว่า องค์กรต่างๆ จะ “กล้า” ที่จะรับฟัง “สินทรัพย์” ทางเศรษฐกิจที่ทรงคุณค่าที่สุดกลุ่มหนึ่ง ซึ่งก็คือ Ethical Hacker หรือไม่ ก่อนที่ทุกอย่างจะสายเกินไป
#ข่าวเศรษฐกิจ #เศรษฐกิจดิจิทัล #Cybersecurity #EthicalHacking #IgnacioNavarro #theSAS2025 #ความเสี่ยงทางธุรกิจ #ช่องโหว่ความปลอดภัย #DataBreach #DigitalTransformation #การบริหารความเสี่ยง #PDPA #BugBounty #TechNews
