API Keys และรหัสผ่านของ DeepSeek กว่า 12,000 รายการรั่วไหล
อีกหนึ่งเหตุการณ์ข้อมูลรั่วไหลครั้งใหญ่ที่สะเทือนวงการไซเบอร์ซีเคียวริตี้ เมื่อล่าสุด DeepSeek แพลตฟอร์ม AI จากจีน ถูกพบว่ามีข้อมูล API Keys และรหัสผ่านที่ยังใช้งานได้จริงกว่า 12,000 รายการหลุดออกสู่สาธารณะ ซึ่งอาจเป็นช่องทางให้แฮกเกอร์เข้าถึงระบบสำคัญของบริษัทและองค์กรต่าง ๆ ได้โดยตรง
รายละเอียดของการรั่วไหล
Truffle Security บริษัทด้านความปลอดภัยไซเบอร์ ได้ทำการวิเคราะห์ข้อมูลจาก Common Crawl (ธันวาคม 2024) ซึ่งเป็นฐานข้อมูลขนาดใหญ่ที่เก็บเนื้อหาของเว็บไซต์จากทั่วโลก โดยการใช้เครื่องมือ TruffleHog เพื่อตรวจสอบข้อมูลที่อาจรั่วไหล และนี่คือสิ่งที่พวกเขาพบ
- API Keys ที่ยังใช้งานได้จริงกว่า 11,908 รายการ สามารถใช้เข้าถึงบริการต่าง ๆ เช่น AWS, Slack, Mailchimp และระบบอื่น ๆ ที่สำคัญ
- 2.76 ล้านหน้าเว็บ มีข้อมูลยืนยันตัวตนรั่วไหล ซึ่งทำให้แฮกเกอร์สามารถรวบรวมข้อมูลเพื่อใช้โจมตีได้ง่ายขึ้น
- 63% ของ API Keys ถูกใช้ซ้ำ ในหลายระบบ ซึ่งหมายความว่าหากแฮกเกอร์ได้กุญแจดอกหนึ่ง อาจเปิดประตูสู่ระบบอื่น ๆ ได้อีกเพียบ
- พบ AWS Root Keys ฝังอยู่ใน HTML หน้าเว็บ ซึ่งเป็นระดับสิทธิ์ที่สูงมาก หากตกไปอยู่ในมือของผู้ไม่หวังดี อาจถูกใช้เข้าถึงข้อมูลสำคัญหรือแม้แต่ลบข้อมูลทั้งหมดของบริษัทนั้น ๆ
- Mailchimp API Keys ถูกเปิดเผยกว่า 1,500 รายการ ซึ่งเป็นอันตรายอย่างยิ่ง เพราะ Mailchimp เป็นแพลตฟอร์มที่ใช้ส่งอีเมลเพื่อใช้ในการตลาดดิจิทัล หากตกไปอยู่ในมือแฮกเกอร์ อาจถูกใช้เพื่อแพร่กระจายอีเมลฟิชชิ่งไปยังเหยื่อจำนวนมาก
ทำไมเรื่องนี้ถึงอันตราย
การรั่วไหลของ API Keys และรหัสผ่านนี้ ไม่ได้เป็นเพียงแค่ “ข้อมูลที่หลุด” แต่เป็นช่องทางที่แฮกเกอร์สามารถใช้เข้าถึงระบบสำคัญขององค์กรได้จริง ๆ ซึ่งอาจส่งผลให้เกิดการโจมตีไซเบอร์รูปแบบต่าง ๆ เช่น
- การเข้าถึงระบบโดยไม่ได้รับอนุญาต – แฮกเกอร์สามารถใช้ API Keys เพื่อเชื่อมต่อกับบริการที่เกี่ยวข้อง เช่น ฐานข้อมูล, ระบบจัดการอีเมล หรือบริการคลาวด์ต่าง ๆ
- การใช้ API Keys ซ้ำในหลายโปรเจกต์ – องค์กรที่ใช้ API Keys เดียวกันในหลายระบบ อาจเสี่ยงต่อการถูกโจมตีหลายระดับ หากแฮกเกอร์สามารถเข้าถึงหนึ่งระบบ อาจขยายผลในการโจมตีระบบอื่น ๆ ได้
- LLMs อาจซึมซับพฤติกรรมที่ไม่ปลอดภัย – เนื่องจากข้อมูลที่รั่วไหลถูกนำไปใช้ในการฝึก AI ทำให้ โมเดล AI อาจเรียนรู้แนวทางที่ผิด เช่น การฝัง API Keys ไว้ในโค้ด หรือการใช้โทเค็นจำลอง (Placeholder Tokens) โดยไม่ตรวจสอบความปลอดภัย สิ่งนี้อาจทำให้ AI สร้างโค้ดที่มีช่องโหว่โดยไม่รู้ตัว
วิธีป้องกันข้อมูลรั่วไหล และลดความเสี่ยง
- เพื่อป้องกัน API Keys และข้อมูลสำคัญไม่ให้ตกไปอยู่ในมือของแฮกเกอร์ องค์กรและนักพัฒนาควรนำแนวทางป้องกันต่อไปนี้ไปใช้
- ใช้ AI Coding Tools ที่มีมาตรการป้องกัน เช่น GitHub Copilot’s Custom Instructions เพื่อป้องกันไม่ให้ฝัง API Keys ในโค้ดโดยอัตโนมัติ
- เพิ่มระบบตรวจสอบข้อมูลที่รั่วไหลอย่างต่อเนื่อง โดยขยายขอบเขตการตรวจสอบให้ครอบคลุมข้อมูลที่ถูกเก็บไว้ในเว็บไซต์เก่า และข้อมูลที่อาจหลุดไปอยู่ในชุดข้อมูลฝึกของ AI
- ใช้ Constitutional AI เพื่อปรับแต่งโมเดล AI ให้ปฏิบัติตามมาตรฐานความปลอดภัย และลดโอกาสในการสร้างโค้ดที่มีช่องโหว่หรือเปิดเผยข้อมูลสำคัญ
- แยก API Keys ออกจากโค้ด โดยใช้ Environment Variables หรือ Secret Management Systems แทนการฝัง API Keys ลงไปในโค้ดโดยตรง
การรั่วไหลของ API Keys และรหัสผ่านในครั้งนี้ ไม่ใช่แค่เรื่องของ DeepSeek แต่เป็นปัญหาของทั้งอุตสาหกรรมเทคโนโลยี หากไม่มีมาตรการป้องกันที่ดีพอ API Keys และข้อมูลยืนยันตัวตนอาจกลายเป็น “ขุมทรัพย์” ของแฮกเกอร์ ดังนั้นองค์กรและนักพัฒนาต้องปรับตัว เพื่อป้องกันข้อมูลสำคัญไม่ให้เกิดการรั่วไหล และสร้างมาตรฐานความปลอดภัยที่แข็งแกร่งกว่าเดิม
“ความปลอดภัยของข้อมูลไม่ใช่ทางเลือก แต่เป็นสิ่งที่ทุกองค์กรต้องให้ความสำคัญ”
นึกถึงเรื่องความปลอดภัยทางไซเบอร์ ไว้ใจ BAYCOMS
Your Trusted Cybersecurity Partner
ติดต่อสอบถามหรือปรึกษาเราได้ที่ :
Bay Computing Public Co., Ltd
Tel: 02-115-9956
Email: info@baycoms.com
Website: www.baycoms.com
#BAYCOMS #YourTrustedCybersecurityPartner #Cybersecurity #API #DeepSeek
โฆษณา
- ดาวน์โหลดแอปพลิเคชัน
- © 2025 Blockdit
