‘ข้อมูล DNA เรา’ ถูกแฮกง่ายกว่าที่คิด ความเสี่ยงใหม่ที่หลายคนกำลังมองข้าม

‘ข้อมูล DNA เรา’ ถูกแฮกง่ายกว่าที่คิด ความเสี่ยงใหม่ที่หลายคนกำลังมองข้าม

เปิดความเสี่ยงสำคัญที่หลายคนมองข้าม เมื่อ “พันธุกรรมของเรา” สามารถหลุดสู่มือผู้ไม่หวังดี ซึ่งเป็นข้อมูลที่ไม่สามารถเปลี่ยนใหม่ได้เหมือนรหัสผ่าน และบ่งบอกถึงตัวตนจริงของเรา

KEY

POINTS

  • “23andMe” บริษัทที่เก็บข้อมูล DNA ของลูกค้าไว้จำนวนมากได้ทำข้อมูลหลุด และที่น่าตกใจ คือ จำนวนข้อมูลลูกค้าที่หลุดไปนั้นมากถึง 6.9 ล้านคน
  • แฮกเกอร์ที่ล้วงข้อมูลจาก 23andMe ประกาศว่า ยินดีขายข้อมูล DNA ให้กับใครก็ได้ที่จ่ายเงินถึง ราคามีตั้งแต่ราว 3 หมื่นถึง 3 ล้านบาท
  • ความแตกต่างระหว่าง “ข้อมูลทางพันธุกรรม” กับ “ข้อมูลรหัสตัวเลข” คือ ข้อมูลอย่างหลังสามารถเปลี่ยนเป็นชุดใหม่ได้ เมื่อรู้ตัวว่าทำหาย แต่ข้อมูลทาง DNA “เปลี่ยนแปลงไม่ได้”

ในช่วงการระบาดโควิด-19 ที่ผ่านมา หลายคนเข้าไปสวอปโพรงจมูก เพื่อตรวจว่าเราติดเชื้อโควิดด้วยหรือไม่ สิ่งที่ผู้ตรวจเก็บไว้ไม่ใช่เพียงข้อมูลส่วนตัวทั่วไป แต่ยังรวมถึง “ข้อมูลทางพันธุกรรม” ของเราด้วย ซึ่งเป็นเหมือน “ขุมทรัพย์ก้อนโต” ของมิจฉาชีพ ถ้าข้อมูล DNA เหล่านี้ยังคงเป็นความลับอยู่ ก็คงไม่มีปัญหาอะไร

แต่เมื่อช่วงฤดูใบไม้ร่วงในปีที่แล้ว เรื่องใหญ่ก็เกิดขึ้น เมื่อ “23andMe” บริษัทที่เก็บข้อมูล DNA ของลูกค้าไว้จำนวนมากได้ทำข้อมูลหลุด โดยแฮกเกอร์ที่ใช้ชื่อว่า “Golem” เป็นผู้อยู่เบื้องหลัง และที่น่าตกใจ คือ จำนวนข้อมูลลูกค้าที่หลุดไปนั้นมากถึง 6.9 ล้านคน

‘ข้อมูล DNA เรา’ ถูกแฮกง่ายกว่าที่คิด ความเสี่ยงใหม่ที่หลายคนกำลังมองข้าม - DNA (เครดิต: Freepik) -

ดูเหมือนว่าแฮกเกอร์ Golem พุ่งเป้าไปที่รหัสพันธุกรรมของคนที่มีเชื้อสายยิวอัชเกนัซ (Ashkenazi Jews) พร้อมประกาศว่า ยินดีขายข้อมูล DNA เหล่านี้ให้กับใครก็ได้ที่จ่ายเงินถึง ราคาเสนอขายมีตั้งแต่ 100 โปรไฟล์ในราคา 1,000 ดอลลาร์ (36,400 บาท) จนถึง 100,000 โปรไฟล์ในราคา 100,000 ดอลลาร์ (3.6 ล้านบาท) หลายคนจึงมองว่า แรงจูงใจพวกเขาอาจมาจาก “ความเกลียดชังชาวยิว” (Antisemitic)

ประเด็นนี้ค่อนข้างสำคัญ เนื่องจากข้อมูล DNA รากเหง้าทางชาติพันธุ์ และความเจ็บป่วยที่ควรเป็นความลับ การหลุดออกสู่สาธารณะอาจกระทบชีวิตส่วนตัวของพวกเขาได้

ยิ่งในช่วงนี้ ความขัดแย้งทางเชื้อชาติระหว่าง “ยิว” กับ “ปาเลสไตน์” ค่อนข้างรุนแรง ยังไม่นับรวมเชื้อชาติ “จีน” ที่ถูกกระแสอคติขึ้นในโลกตะวันตก เพราะถูกมองแบบเหมารวมไปกับการระบาดโควิด-19

ข้อมูล DNA ถ้าหลุดไปแล้ว แทบแก้ไขไม่ได้

เบรทท์ แคลโลว (Brett Callow) นักวิเคราะห์ด้านภัยคุกคามทางความมั่นคงไซเบอร์ของบริษัท Emsisoft ให้ความเห็นว่า เหตุการณ์ข้อมูลหลุดสู่สาธารณะสามารถพบเห็นได้เรื่อย ๆ และไม่มีบริษัทใดสามารถปกป้องได้ 100%

แต่ความแตกต่างระหว่าง “ข้อมูลทางพันธุกรรม” กับ “ข้อมูลตัวเลข” อย่างรหัสผ่าน ตัวเลขเครดิตการ์ด หรือข้อมูลธนาคาร คือ ข้อมูลอย่างหลังสามารถเปลี่ยนเป็นชุดใหม่ได้ เมื่อรู้ตัวว่าทำหาย แต่ข้อมูลทาง DNA กลับ “เปลี่ยนแปลงไม่ได้” และเป็นสิ่งที่ระบุตัวตนของเรา ซึ่งหากข้อมูลทางพันธุกรรมหลุด คุณไม่สามารถทำอะไรได้เลย

เหล่ามิจฉาชีพจึงใช้ข้อมูลลับ DNA ที่เข้าถึงได้ ช่วยสร้าง “โปรไฟล์ปลอม” ให้มีความน่าเชื่อถือมากขึ้น และนำตัวตนเลียนแบบนี้เข้าไปหลอกลวงคนอื่นต่อ

นอกจาก DNA ที่หลุดได้ถูกซื้อขายเป็นข้อมูลแล้ว ประเด็นการแปะป้ายทางชาติพันธุ์ก็สำคัญไม่แพ้กัน ในช่วงสงครามโลกครั้งที่ 2 ทหารเยอรมันภายใต้การนำของฮิตเลอร์ ได้บังคับให้ชาวยิวทุกคนสวมปลอกแขนเป็นรูปดาวสีเหลืองหกแฉก เพื่อให้ง่ายต่อการแยกแยะ ซึ่งในภายหลังก็เกิดเหตุโศกนาฏกรรมฆ่าล้างเผ่าพันธุ์ขึ้น

กลับมาที่ภาพปัจจุบัน ข้อมูลทางพันธุกรรมต่าง ๆ พร้อมชื่อ รูปถ่าย และที่อยู่อาศัย ดูคล้ายกับปลอกแขนรูปดาวสมัยนั้น ซึ่งไม่ว่าคนเชื้อชาติยิว มุสลิม จีน หรือใด ๆ คงรู้สึกไม่ค่อยสบายใจ ถ้าข้อมูลส่วนตัวเหล่านี้หลุดรอดออกไป

แฮกเกอร์ที่เจาะ 23andMe ไม่ได้จำกัดเพียงชาวยิว

สำหรับข้อมูลชีววิทยาที่หลุดจาก 23andMe จากเดิมที่คิดว่าแฮกเกอร์คงพุ่งเป้าเฉพาะชาวยิว ตอนนี้ดูเหมือนจะใหญ่กว่าที่คาด แฮกเกอร์เผยว่า พวกเขาพร้อมเสนอขายข้อมูลของชาวอังกฤษ เยอรมนี และชาวจีนด้วย อีกทั้งอ้างว่ามีข้อมูลลับของ แอนน์ วอยซิกกี (Anne Wojcicki) ซีอีโอของบริษัท 23andMe, อีลอน มัสก์ (Elon Musk) ซีอีโอบริษัทรถยนต์ Tesla และสมาชิกของราชวงศ์อังกฤษ

เมื่อดูระบบรักษาความปลอดภัยของบริษัทนี้ จะพบว่าก่อนเดือน ต.ค. 2566 23andMe ไม่ได้บังคับให้ผู้ใช้บริการต้องกรอกรหัสผ่าน 2 ชั้น (Two-Factor Authentication) จึงกลายเป็น “ความหละหลวม” ที่ผู้ไม่หวังดีใช้ช่องโหว่จนสามารถเข้าถึงข้อมูลทาง DNA  ซึ่งหลังจากเหตุการณ์ข้อมูลรั่วไหล บริษัทก็ทำการล้อมคอกแล้ว ด้วยการบังคับให้ผู้ใช้งานต้องกรอกรหัสผ่านแบบ 2 ชั้น

ในปัจจุบัน 23andMe กำลังเผชิญคดีความฟ้องร้องต่าง ๆ จากกรณีรักษาข้อมูลลูกค้าอย่างไม่เข้มงวดมากพอ และบริษัทก็ยอมรับว่า แฮกเกอร์ได้แอบแทรกซึมในบัญชีลูกค้าตั้งแต่เดือน เม.ย. 2566

เหตุการณ์เหล่านี้ “ย้ำเตือน” ว่า นอกจากรหัสผ่าน และข้อมูลทางธนาคารที่ต้องระวังแล้ว ข้อมูลทางพันธุกรรมของเราก็เป็นสิ่งที่ต้องใส่ใจอย่างยิ่ง และในบางครั้งอาจสำคัญกว่าด้วยซ้ำ เพราะเป็นสิ่งที่บ่งบอกตัวตนจริงของเรา ไม่สามารถเปลี่ยนใหม่ได้เหมือนรหัสผ่าน

ยิ่งไปกว่านั้น ระบบรักษาความปลอดภัยทุกวันนี้ ไม่ว่าการเข้าประตู เปิดโทรศัพท์ และสตาร์ทรถ ก็หันมาใช้ข้อมูลทางชีวภาพในการปลดล็อกมากขึ้น ดังนั้น การคัดเลือกบริษัทที่เก็บรักษาข้อมูลเหล่านี้ไว้ ควรมีความเข้มงวดและมีระบบยืนยันตัวตนก่อนเข้าถึงข้อมูลอย่างน้อย 2 ชั้น

อ้างอิง: theguardianbbctechcrunchtimecbs