เว็บไซต์ทางการของ ‘ศาลรัฐธรรมนูญ’ ถูกแฮก เปลี่ยนหน้าเว็บไซต์เป็นเพลง Death Grips

alert-logo-laptop-computer.jpg

เมื่อวันที่ 11 พฤศจิกายน 2564 ที่ผ่านมาได้ถูกแฮกเกอร์เปลี่ยนหน้าเว็บไซต์ทางการของ ‘ศาลรัฐธรรมนูญ’ เป็นเพลง Death Grips ดังรูปภาพที่ 1

Constitutiona-Cour-websit-hacked-1.png

รูปที่ 1

อ้างอิง https://www.bangkokbiznews.com

จากรูปที่ 1 ในข้างต้น เกิดจากแฮกเกอร์มือดีมาเปลี่ยนหน้าเว็บไซต์เป็นเพลง Death Grips ของวง Guillotine อัลบั้ม It goes Yah ทั้งนี้สาเหตุในเบื้องต้นอาจจะเกิดจากคำวินิจฉัยของศาลรัฐธรรมนูญซึ่งมีมติ 8:1 ให้ลงโทษ 3 แกนนำ ได้แก่ น.ส.ปนัสยา สิทธิจิรวัฒกุล นายอานนท์ นำภา และนายภาณุพงศ์ จาดนอก กรณีการชุมนุมปราศรัยวันที่ 10 ส.ค. 2563 ที่เป็นการใช้สิทธิเสรีภาพเพื่อล้มล้างการปกครองตามระบอบประชาธิปไตยอันมีพระมหากษัตริย์ทรงเป็นประมุข ทำให้เกิดความไม่พอใจจากกลุ่มผู้ชุมนุม

 

ในเบื้องต้นผู้ดูแลเว็บไซต์ได้ดำเนินการปิดเว็บไซต์ของศาลรัฐธรรมนูญลงดังรูปที่ 2 เพื่อเก็บรวบรวมข้อมูลพยานหลักฐาน และหาผู้กระทำผิดมาลงโทษ พร้อมทั้งแก้ไขช่องโหว่ที่เกิดขึ้นบนเว็บไซต์ และวางมาตรการป้องกันในการพัฒนาเว็บไซต์ให้ได้มาตราฐานความมั่นคงปลอดภัย

Constitutiona-Cour-websit-hacked-2.png

รูปที่ 2

อ้างอิง www.tnetitsolution.co.th

ต่อมาเมื่อวันที่ 12 พฤศจิกายน 2564 นายชัยวุฒิ ธนาคมานุสรณ์ รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอีเอส) ดังรูปที่ 3 ได้มีการประสานกับทางศาลรัฐธรรมนูญ และทางศาลรัฐธรรมนูญ ได้มีการว่าจ้างบริษัทเอกชนแห่งหนึ่งเข้ามาดูแล เนื่องจากทางบริษัทอาจมีมาตรการป้องกันไม่เพียงพอซึ่งตอนนี้ได้ดำเนินการปิดเว็บไซต์ไปแล้ว สันนิษฐานว่า ข้อมูลชื่อผู้ใช้ (ยูสเซอร์เนม) และรหัสผ่าน (พาสเวิร์ด) อาจหลุดจากแอดมิน หรือแฮกเกอร์ภายนอกอาจลองเจาะระบบ ซึ่งอยู่ในระหว่างการสืบสวน

Constitutiona-Cour-websit-hacked-3.png

รูปที่ 3

อ้างอิง https://www.dailynews.co.th/

จากการตรวจสอบเบื้องต้นเว็บไซต์ศาลรัฐธรรมนูญพบว่ายังไม่มีข้อมูลที่ได้รับความเสียหาย เป็นเพียงการดิสเครดิตเท่านั้น โดย นายชัยวุฒิ กล่าวว่า “รู้อยู่แล้วว่ากลุ่มไหนที่พยายามแฮกเข้ามา” และหลายฝ่ายมีการเชื่อมโยงว่า เกี่ยวข้องกับที่ศาลรัฐธรรมนูญมีคำวินิจฉัย #ม็อบ10 สิงหา ว่าเข้าข่ายล้มล้างการปกครอง ที่ศาลจะมีคำวินิจฉัย ซึ่งนายชัยวุฒิ กล่าวอีกว่า “ในช่วงนี้ได้มีข่าวเว็บไซต์ของหน่วยงานภาครัฐถูกโจมตีอยู่บ่อย ๆ เนื่องจากหน่วยงานมีข้อจำกัดเรื่องงบประมาณ” จึงทำให้ระบบรักษาความมั่นคงความปลอดภัยระบบสารสนเทศไม่เพียงพอ นอกจากนี้หากงบประมาณไม่เพียงพอก็อาจใช้งบประมาณจากกองทุนพัฒนาดิจิทัลเพื่อเศรษฐกิจและสังคม ที่มีอยู่ปีละ 4-5 พันล้านบาทมาปรับปรุงระบบความปลอดภัยให้ทุกหน่วยงานภาครัฐ

 

นายชัยวุฒิ กล่าวทิ้งท้ายว่า “ขอฝากไปยังเว็บไซต์หน่วยงานราชการ ต้องระวังเรื่องยูสเซอร์เนมและพาสเวิร์ด ทีมแอดมินต้องมีระบบป้องกันการจู่โจม มีรหัสผ่านที่จำได้ยาก ทั้งนี้บริษัทที่ดูแลเว็บไซต์ต้องมีมาตรฐาน มีความพร้อมดูแลข้อมูลขององค์กรด้วย”

 

แนวทางการป้องกัน

1.พัฒนาเว็บไซต์ให้มีมาตรฐานการรักษาความมั่นคงปลอดภัยสำหรับเว็บไซต์ [1]

2.ควรมีการสำรองข้อมูลของเว็บไซต์

3.ควรตั้งรหัสผ่านให้ยากต่อการคาดเดา

4.ควรมีการเก็บ Log ผู้ใช้งานเว็บไซต์

5.ควรมีการกำหนดรูปแบบไฟล์ที่ทำการอัพโหลดเข้ามายังเว็บไซต์ เช่น .jpg, .png, .svg เป็นต้น

6.ควรตรวจสอบความถูกต้องของข้อมูล (Input Validation) ก่อนที่จะนำไปประมวลผล

7.ควรอัพเดตระบบป้องกันไวรัสอย่างสม่ำเสมอ

8.ควรมีการแบ่งความสำคัญของข้อมูลในระบบ และสำรองข้อมูลอย่างสม่ำเสมอ

9.จำกัดการเข้าถึงของเครือข่ายในองค์กร

 

อ้างอิง :

https://www.dailynews.co.th/news/468110/

 

https://www.matichon.co.th/politics/news_3038328

 

[1] https://standard.etda.or.th/?page_id=7799

ผู้เขียน : นาย วสุพล ไชยสง่าศิลป์

ผู้ตรวจทาน : นายเจษฏา ทองก้านเหลือง

เผยแพร่ : วันที่ 14 พฤศจิกายน 2564