23/67 (IT) ประจำวันศุกร์ที่ 17 มกราคม 2568
คณะกรรมาธิการการค้าของสหรัฐฯ (FTC) ซึ่งเป็นหน่วยงานอิสระเพื่อคุ้มครองผู้บริโภค ได้ออกมาเผยแพร่รายงานระบุว่า GoDaddy ผู้ให้บริการโฮสติ้งรายใหญ่ที่ดูแลชื่อโดเมนกว่า 82 ล้านชื่อ ล้มเหลวในการใช้มาตรการรักษาความปลอดภัยพื้นฐานสำหรับแพลตฟอร์มของตนมาตั้งแต่ปี 2018 จนทำให้ลูกค้าและผู้เยี่ยมชมเว็บไซต์ ต้องตกอยู่ในความเสี่ยงต่อภัยคุกคามทางไซเบอร์ โดยรายงานระบุว่า GoDaddy ขาดการจัดการทรัพย์สินและการบำรุงรักษาซอฟต์แวร์อย่างเหมาะสม ไม่มีการประเมินความเสี่ยงต่อบริการโฮสติ้ง ทั้งขาดการยืนยันตัวตนโดยใช้หลายปัจจัย (MFA) และไม่มีการบันทึกเหตุการณ์ด้านความปลอดภัย นอกจากนี้ยังละเลยการแบ่งส่วนเครือข่าย และการรักษาความปลอดภัยสำหรับการเชื่อมต่อที่สำคัญ ส่งผลให้ระบบถูกโจมตีหลายครั้งในระหว่างปี 2019-2022 ซึ่ง GoDaddy ถูกโจมตีหลายครั้ง และผู้ไม่หวังดีสามารถเข้าถึงเว็บไซต์และข้อมูลของลูกค้าได้อย่างต่อเนื่อง สร้างความเสียหายทั้งในแง่ข้อมูลส่วนตัวและความน่าเชื่อถือ แม้ GoDaddy จะไม่ยอมรับหรือปฏิเสธข้อกล่าวหาดังกล่าว แต่ก็ได้บรรลุข้อตกลงกับ FTC ที่กำหนดให้บริษัทต้องดำเนินการแก้ไขดังนี้
1. จัดตั้งระบบการรักษาความปลอดภัยข้อมูลที่ครอบคลุมภายใน 90 วัน
2. ใช้เครื่องมือวิเคราะห์ความปลอดภัยอัตโนมัติ เช่น SIEM เพื่อตรวจสอบเหตุการณ์แบบเรียลไทม์
3. ใช้ MFA สำหรับพนักงานและผู้เกี่ยวข้องทั้งหมดที่เข้าถึงระบบ
4. เรียกใช้ API ด้วยโปรโตคอลที่ปลอดภัย เช่น HTTPS
5. ห้ามให้ข้อมูลบิดเบือนเกี่ยวกับมาตรการความปลอดภัย
นอกจากนี้ GoDaddy ต้องจ้างผู้ประเมินอิสระ เพื่อตรวจสอบประสิทธิภาพของโปรแกรมรักษาความปลอดภัย หากไม่ปฏิบัติตามเงื่อนไข อาจถูกปรับสูงสุดถึง 51,744 ดอลลาร์ต่อการละเมิดแต่ละครั้ง โดยโฆษกของ GoDaddy ยืนยันว่าบริษัทได้เริ่มปรับปรุงระบบความปลอดภัยแล้ว พร้อมย้ำว่าบริษัทให้ความสำคัญกับการปกป้องข้อมูลลูกค้าและจะลงทุนต่อไปในมาตรการป้องกันภัยคุกคามที่เปลี่ยนแปลงตลอดเวลา
แหล่งข่าว https://www.theregister.com/2025/01/15/godaddy_ftc_order/
