18 มกราคม 2543 เวลา 14:50 น.
การจับจ่ายซื้อสินค้าบนอินเทอร์เน็ตผ่านบัตรเครดิต มีความปลอดภัยแค่ไหน? จากเหตุการณ์ที่แฮกเกอร์สามารถเข้าไปขโมยข้อมูลบัตรเครดิตได้อย่างง่ายดาย ทำให้บริษัทอีคอมเมิร์ซต้องเร่งแก้ไข ปรับปรุงจุดบกพร่องของเว็บไซต์ตน เพราะเท่าที่ผ่านมาเว็บไซต์ส่วนใหญ่หละหลวมต่อเรื่องความปลอดภัยมากจนแทบไม่ น่าเชื่อ ในข่าวนี้แสดงให้เห็นถึงวิธีการขโมยบัตรเครดิตว่ามันง่ายดายเพียงใด!
สิ่งที่เป็นอันตรายแฝงอยู่ในระบบอีคอมเมิร์ซ คือเหล่าอาชญากรไซเบอร์ที่คอยจ้องมองหาช่องโหว่ของบรรดาเว็บไซต์มือใหม่ ที่ไม่มีระบบรักษาความปลอดภัยข้อมูลหนาแน่นพอ จากเหตุการณ์ที่แมกซัส โจรหนุ่มชาวรัสเซียแฮกฐานข้อมูลลูกค้าของ ซีดี ยูนิเวิร์สและสามารถขโมยข้อมูลบัตรเครดิตลูกค้าไปจำนวนมากได้อย่างง่ายดาย เรื่องนี้ทำให้ประเด็นความปลอดภัยของการจับจ่ายซื้อสินค้าบนอินเทอร์เน็ต ผ่านบัตรเครดิต กลายเป็นทอล์คออฟเดอะทาวน์ไปแล้วในขณะนี้ โดยสิ่งที่ทุกคนสงสัยคือวิธีการที่แมกซัสใช้ในการขโมยข้อมูลครั้งนี้
ผู้เชี่ยวชาญด้านความปลอดภัยบนเน็ต ต่างให้ความเห็นในลักษณะเดียวกันว่า บางทีแมกซัสอาจไม่ได้ใช้วิธีซับซ้อนเลย ในการขโมยข้อมูลครั้งนี้ เพราะจากประสบการณ์ที่ผ่านมาบรรดาเว็บไซต์อีคอมเมิร์ซทั้งเล็กและใหญ่ ต่างก็มองข้ามเรื่องความปลอดภัย ส่วนใหญ่จะพยายามเร่งเปิดเว็บขึ้นมาเพื่อหวังโกยเงินให้ได้เร็ว และมากที่สุด โดยพิถีพิถันกับตัวสินค้า ความสวยงามของเว็บไซต์เพื่อพยายามดึงดูดความสนใจของลูกค้าให้มากที่สุด แต่กลับสร้างระบบรักษาความปลอดภัยของข้อมูลลูกค้าอย่างลวกๆ
เว็บไซต์ SecurityFocus.com เป็นไซต์แรกที่รายงานเรื่องข้อมูลของ ซีดี ยูนิเวิร์ส ถูกขโมยไป ได้รายงานว่าไม่เฉพาะเว็บของซีดี ยูนิเวิร์ส เท่านั้นที่มีช่องโหว่ให้แฮกเกอร์เจาะระบบได้อย่างสบาย แต่จากการตรวจสอบพบว่ามีเว็บไซต์ลักษณะนี้อยู่อีกมากมาย โดยเพิ่งได้รับแจ้งจากบริษัท Strategy LLC ซึ่งเป็นบริษัทซอฟต์แวร์ของรัสเซียว่า บริษัทนี้ได้เขียนซอฟต์แวร์ให้กับเว็บไซต์หลายแห่งที่ต้องการเปรียบเทียบ ราคาสินค้าบนเน็ต ทำให้นักเขียนเว็บไซต์ของบริษัทคุ้นเคยกับโครงสร้างข้อมูลของไซต์อีคอมเมิร์ ซนับร้อยไซต์ ซึ่งสิ่งที่คาดไม่ถึงคือเว็บไซต์ส่วนใหญ่มีช่องโหว่เรื่องความปลอดภัยทั้ง สิ้น
อนาโตเลีย โปรโครอฟ ซีอีโอของบริษัท Strategy LLC กล่าวว่า "บริษัทอีคอมเมิร์ซส่วนใหญ่ไม่มีความเป็นมืออาชีพเลย คนของผมรู้สึกประหลาดใจมากเมื่อพบว่าเว็บไซต์ของบริษัทเหล่านี้เต็มไปด้วย ช่องโหว่ ง่ายต่อการแฮกข้อมูลเครดิตการ์ดของลูกค้าจนแทบไม่น่าเชื่อ" และขณะนี้โปรโครอฟ ได้ส่งข้อมูลที่บริษัทเขาตรวจสอบพบจุดบกพร่องด้านความปลอดภัยของเว็บไซ ต์ต่างๆ ให้กับ SecurityFocus.com แล้ว
เช่นเดียวกับ MSNBC ที่ได้ทดลองเข้าไปสำรวจเว็บไซต์อีคอมเมิร์ซ 7 แห่ง และพบว่าสามารถเข้าไปดูข้อมูลหมายเลขบัตรเครดิตลูกค้าได้เกือบ 2,500 ราย โดยใช้เวลาเพียง 2-3 นาทีเท่านั้น และที่สำคัญคือ ไม่เพียงแต่ข้อมูลบัตรเครดิตเท่านั้นที่สามารถเข้าไปดูได้ แต่ยังมีข้อมูลส่วนตัวอื่นๆ เช่นที่อยู่ หมายเลขโทรศัพท์ และหมายเลขบัตรประชาชน เป็นต้น วิธีการเข้ายังฐานข้อมูลเหล่านี้ก็ทำได้ง่ายดายเหลือเกิน เพียงแต่ทำตามขั้นตอนและใช้เครื่องมือของโปรแกรมฐานข้อมูลเท่านั้นเอง บางไซต์ไม่มีแม้แต่รหัสผ่านของเซิร์ฟเวอร์ฐานข้อมูล
ใน 4 เว็บไซต์ที่ MSNBC เข้าไปทดสอบ สามารถดูข้อมูลสำคัญของเว็บไซต์ได้โดยพิมพ์ "::$DATA" ที่ท้าย address ของเพจนั้น เพื่อดูข้อมูลซึ่งปกติปิดอยู่ เช่น ชื่อ รหัสผ่าน และข้อมูลลับอื่นๆ ความจริงแล้วข้อผิดพลาดในเรื่องของโค้ดนี้ถูกเปิดเผยตั้งแต่ 2 ปีก่อนแล้ว และมีการทำแพตช์ออกมาแก้ แต่ก็ยังมีเว็บไซต์ที่มักง่ายบางแห่ง ไม่ยอมแก้ไขข้อผิดพลาดนี้
บางไซต์แม้แต่ผู้ที่ไม่มีความรู้ด้านเทคนิคก็สามารถเข้าไปดูข้อมูล ได้ เนื่องจากใช้ชื่อผู้ใช้เป็นชื่อดีฟอลต์ คือ "sa" (แทน system administrator) แล้วใช้รหัสผ่านเป็นชื่อบริษัท ซึ่งแฮกเกอร์ส่วนใหญ่ทราบดีอยู่แล้ว
เว็บไซต์ที่มีความเสี่ยงสูงต่อการถูกเจาะระบบ ก็คือเว็บไซต์เล็กๆ ทุนน้อยที่ไม่มีผู้เชี่ยวชาญด้านคอมพิวเตอร์ และตัวเจ้าของเว็บเองไม่มีความรู้ทางด้านเทคนิค ทำให้บางครั้งโดยนักพัฒนาเว็บไซต์หลอกว่า เว็บของเขาได้รับการออกแบบให้มีความปลอดภัยสูงแล้ว ในขณะที่จริงๆ ยังไม่มีเลย
รัสส์ คูเปอร์ ผู้เชี่ยวชาญเรื่องนี้ ให้ความเห็นว่า "น่าจะมีการวางเงื่อนไขในสัญญาระหว่างนักพัฒนาเว็บไซต์และเจ้าของเว็บไซ ต์นั้น ว่าเว็บไซต์ที่ได้ส่งมอบนี้จะต้องผ่านการทดสอบเรื่องความปลอดภัยแล้วเป็น อย่างดี เพราะในขณะนี้เท่าที่ทราบ บรรดานักพัฒนาเว็บไซต์ จะไม่รับผิดชอบต่อความเสียหายใดๆ ที่เกิดขึ้นหลังจากส่งงานแล้ว โดยเจ้าของเว็บไซต์ต้องรับภาระนี้แทน ดังนั้นผลที่ออกมาก็คือได้เว็บไซต์เพื่อใช้งานได้แต่ไม่มีความปลอดภัย" และ สิ่งที่ผู้เชี่ยวชาญด้านความปลอดภัย มองว่าเป็นการกระทำที่แย่ที่สุด คือความมักง่ายในการเก็บข้อมูลลูกค้าบนเครื่องคอมพิวเตอร์ เป็นแบบเท็กซ์ธรรมดา ทั้งๆที่สามารถป้องกันได้โดยใช้เทคนิคการเข้ารหัสข้อมูล แต่ก็ไม่ทำ
คำแนะนำจากผู้เชี่ยวชาญคนหนึ่ง ในเรื่องการป้องกันปัญหานี้คือ เว็บไซต์อีคอมเมิร์ซ ไม่ควรเก็บข้อมูลลูกค้าไว้ในเครื่องคอมพิวเตอร์ที่สามารถต่อกับเน็ตได้ ที่ดีที่สุดคือควรลบข้อมูลสำคัญของลูกค้าทุกครั้งหากพบว่ามีตกค้างอยู่บน เครื่อง
ทางด้านผู้บริโภค ที่ส่วนใหญ่ไม่ทราบว่าข้อมูลของตัวเองได้รับความปลอดภัยมากน้อยเพียงไร ก็คงต้องระมัดระวังในเรื่องการใช้บัตรเครดิตบนเน็ต โดยผู้เชี่ยวชาญคนหนึ่งให้คำแนะนำว่า "ผู้บริโภคควร มีส่วนรวมรับผิดชอบในเรื่องการใช้บัตรเครดิตในเรื่องอื่นๆ ด้วยนอกเหนือจากที่ต้องรับผิดชอบเงินสูงสุด 50 เหรียญหากมียอดที่ไม่ได้ใช้ โดยเราควรใช้บัตรเครดิตเพียงใบเดียว ในการจับจ่ายสินค้าบนเน็ต และหมั่นตรวจสอบรายการค่าใช้จ่ายบัตรเครดิต หากพบยอดที่ไม่ได้ใช้ ก็รีบแจ้งเจ้าหน้าที่เร็วที่สุด"
