จับแล้ว แฮกเกอร์สุดป่วน แฮกศาลรัฐธรรมนูญ ดีกรี ปริญญาวิทยาศาสตร์การแพทย์

Constitutional-Court-hacked-2

จับแล้ว แฮกเกอร์สุดป่วน แฮกศาลรัฐธรรมนูญ ดีกรี ปริญญาวิทยาศาสตร์การแพทย์

แฮกศาลรัฐธรรมนูญ,constitutional

เมื่อวันที่ 13 พฤศจิกายน 2564 ที่ผ่านมาได้มีข่าวการจับกุมแฮกเกอร์ที่แฮกศาลรัฐธรรมนูญ และเปลี่ยนหน้าเว็บไซต์เป็นเพลง Death Grips ทำให้ต้องปิดเว็บไซต์เพื่อรวบรวมพยานหลักฐานในการจับกุมแฮกเกอร์ดังกล่าว และได้กู้กลับคืนมาใช้งานได้แล้ว

รูปที่ 1

อ้างอิง https://thairath.co.th

จากรูปที่ 1 ในข้างต้นพบว่าแฮกเกอร์ได้ใช้ Browser Chrome ในการเข้าเว็บไซต์ของศาลรัฐธรรมนูญเป็นจำนวนหลายรายการเพื่อที่จะพยายามเข้าสู่ระบบหลังบ้านของเว็บไซต์ จนสามารถเข้าสู่ระบบได้สำเร็จ โดยการใช้เทคนิคที่ชื่อว่า SQL Injection และได้ดำเนินการเปลี่ยนหน้าเว็บไซต์เป็นเพลง Death Grips พร้อมยังเปลี่ยนชื่อ Title ของเว็บเป็น Kangkaroo Court ที่มีความหมายว่าศาลเตี้ย

จากการสืบสวนรวบรวมพยานหลักฐานมีร่องรอยหลักฐานจากระบบที่ถูกโจมตีได้มีการเชื่อมต่อกับหมายเลข IP Address หนึ่งเป็นจำนวนหลายรายการและมีความหน้าสงสัยเมื่อวันที่ 11 พฤศจิกายน 2564 ช่วงเวลา 06.30 น. พบว่าเป็น IP ของนายวชิระ (สงวนนามสกุล) สถานที่ตั้ง ต.แสนสุข อ.วารินชำราบ จ.อุบลราชธานี

อ้างอิง https://thairath.co.th

ต่อมาตำรวจได้ดำเนินการขออนุมัติหมายค้นบ้านของผู้ต้องสงสัย และเข้าตรวจค้น โดยเจ้าตัวให้การสารภาพว่าเป็นผู้แฮกเว็บศาลรัฐธรรมนูญจริง

บทสัมภาษณ์คำรับสารภาพลงมือก่อเหตุจริง

สามารถดูบทสัมภาษณ์ได้ที่ลิงก์ https://www.youtube.com/watch?v=ba2y7yBXVig

อ้างอิง http://arit.mcru.ac.th

โดยการกระทำดังกล่าวมีความผิดตาม พรบ. คอมพิวเตอร์ 2560 ตามมาตราที่ 5, 7 “ผู้ใดเข้าถึงโดยมิชอบซึ่งระบบคอมพิวเตอร์ที่มีมาตรการป้องกันการเข้าถึงโดยเฉพาะและมาตรการนั้นมิได้มีไว้สำหรับตน” มีโทษจำคุก 6 เดือน ถึง 2 ปี และปรับไม่เกิน 40,000 บาท

และการกระทำความผิดตาม พรบ. มาตราที่ 9 “ผู้ใดทำให้เสียหาย ทำลาย แก้ไข เปลี่ยนแปลง หรือเพิ่มเติมไม่ว่าทั้งหมดหรือ บางส่วน ซึ่งข้อมูลคอมพิวเตอร์ของผู้อื่นโดยมิชอบ” มีโทษจำคุกไม่เกิน 5 ปี ปรับไม่เกิน 100,00 บาท

แนวทางการป้องกัน

1. พัฒนาเว็บไซต์ให้มีมาตรฐานการรักษาความมั่นคงปลอดภัยสำหรับเว็บไซต์ [1]
2. ควรทำการตั้งรหัสผ่านให้มีความมั่นคงปลอดภัยและยากต่อการคาดเดา
3. ควรมีการเข้ารหัสลับข้อมูลที่จะทำการเก็บเข้าสู่ฐานข้อมูล
4. ควรมีการอัพเดตและตรวจสอบระบบอย่างสม่ำเสมอ
5. ควรมีการเก็บ Log ผู้ใช้งานเว็บไซต์
6. ควรตรวจสอบความถูกต้องของข้อมูล (Input Validation) ก่อนที่จะนำไปประมวลผล
7. ควรมีการจำกัดสิทธ์การเข้าถึงข้อมูลภายใน
8. ไม่ควรทำการ Comment ข้อมูลสำคัญบนเว็บไซต์
 

อ้างอิง :

https://www.thairath.co.th/news/crime/2241446

https://www.dailynews.co.th/news/472787/

https://www.thansettakij.com/economy/503199

[1] https://standard.etda.or.th/?page_id=7799

ผู้เขียน : นาย วสุพล ไชยสง่าศิลป์

ผู้ตรวจทาน : นายเจษฏา ทองก้านเหลือง

เผยแพร่ : วันที่ 18 พฤศจิกายน 2564