ผู้ดูแลระบบ CISA ทำคีย์ AWS GovCloud หลุดบน GitHub

 (krebsonsecurity.com)
1 คะแนน โดย GN⁺ 4 시간 전 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • รีโพสาธารณะ Private-CISA ที่ผู้รับเหมาของ CISA เป็นผู้ดูแล ได้เปิดเผยข้อมูลรับรองของบัญชี AWS GovCloud สิทธิ์สูงและระบบภายใน
  • บัญชี GitHub มีร่องรอยการปิดการตั้งค่าเริ่มต้นที่ป้องกันการเผยแพร่ข้อมูลลับ และยังมี รหัสผ่านแบบข้อความล้วน, โทเคน และล็อก
  • ไฟล์ที่หลุดชื่อ importantAWStokens มีข้อมูลรับรองผู้ดูแลของเซิร์ฟเวอร์ AWS GovCloud 3 เครื่อง และไฟล์ CSV มีข้อมูลเข้าสู่ระบบของระบบภายใน
  • Seralys ระบุว่าคีย์ที่หลุดยังสามารถยืนยันตัวตนด้วยสิทธิ์สูงได้ และการเข้าถึง artifactory ภายในเพิ่มความเสี่ยงของการฝัง backdoor ในแพ็กเกจและการเคลื่อนที่ในเครือข่ายภายใน
  • หลังแจ้ง CISA ไม่นาน บัญชีก็ออฟไลน์ แต่คีย์ AWS ยังใช้งานได้ต่ออีก 48 ชั่วโมง และ CISA ระบุว่ายังไม่พบสัญญาณการถูกเจาะระบบ

ข้อมูลรับรองภายในของ CISA ที่ถูกเปิดเผยในรีโพสาธารณะบน GitHub

  • รีโพสาธารณะบน GitHub ที่ผู้รับเหมาของ CISA ดูแล ได้เปิดเผยข้อมูลรับรองของหลายบัญชี AWS GovCloud สิทธิ์สูงและระบบภายในของ CISA
  • รีโพนี้ใช้ชื่อว่า Private-CISA และยังมีไฟล์ที่เกี่ยวข้องกับวิธีที่ CISA ใช้สร้าง ทดสอบ และปรับใช้ซอฟต์แวร์ภายใน
  • ในรีโพมีคีย์คลาวด์ โทเคน รหัสผ่านแบบข้อความล้วน ล็อก และทรัพย์สินอ่อนไหวอื่น ๆ ของ CISA จำนวนมาก
  • Guillaume Valadon จาก GitGuardian พบรีโพนี้ระหว่างการสแกนรีโพโค้ดสาธารณะอย่างต่อเนื่องเพื่อตรวจหาความลับที่รั่วไหล และส่งการแจ้งเตือนอัตโนมัติไปยังเจ้าของบัญชี
  • Valadon ระบุว่าเจ้าของรีโพไม่ตอบกลับ และเนื่องจากข้อมูลที่เปิดเผยมีความอ่อนไหวมาก เขาจึงติดต่อ KrebsOnSecurity

การปิดระบบตรวจจับความลับของ GitHub และไฟล์สำคัญที่รั่วไหล

  • Valadon มองว่าเหตุข้อมูลรับรองของ CISA หลุดครั้งนี้เป็นตัวอย่างชัดเจนของ สุขอนามัยด้านความปลอดภัย ที่ย่ำแย่
  • ในบันทึกคอมมิตของบัญชี GitHub ที่เป็นปัญหา มีร่องรอยว่าผู้ดูแล CISA ได้ปิดการตั้งค่าเริ่มต้นของ GitHub ที่ป้องกันไม่ให้เผยแพร่ SSH key หรือข้อมูลลับอื่น ๆ ลงในรีโพสาธารณะ
  • Valadon กล่าวว่าเขาพบ “รหัสผ่านที่เก็บเป็นข้อความล้วนใน CSV, ไฟล์สำรองที่ถูกใส่ไว้ใน Git, และคำสั่งที่ระบุชัดเจนให้ปิดฟังก์ชันตรวจจับความลับของ GitHub”
  • ไฟล์ที่หลุดชื่อ importantAWStokens มีข้อมูลรับรองผู้ดูแลของเซิร์ฟเวอร์ Amazon AWS GovCloud 3 เครื่อง
  • อีกไฟล์หนึ่งชื่อ AWS-Workspace-Firefox-Passwords.csv มีชื่อผู้ใช้และรหัสผ่านแบบข้อความล้วนของระบบภายใน CISA หลายสิบระบบ
  • ตามข้อมูลของ Philippe Caturegli ระบบเหล่านั้นยังรวมถึง LZ-DSO ซึ่งดูเหมือนจะย่อมาจาก “Landing Zone DevSecOps” สภาพแวดล้อมพัฒนาโค้ดด้านความปลอดภัยของหน่วยงาน

ความเสี่ยงจากสิทธิ์สูงและการเข้าถึงระบบภายใน

  • Philippe Caturegli ผู้ก่อตั้งบริษัทที่ปรึกษาด้านความปลอดภัย Seralys กล่าวว่าเขาตรวจสอบเพียงว่าคีย์ AWS ที่หลุดยังใช้งานได้หรือไม่ และบัญชีที่รั่วไหลเข้าถึงระบบภายในใดได้บ้าง
  • Caturegli ยืนยันว่าข้อมูลรับรองที่หลุดสามารถใช้ยืนยันตัวตนกับ บัญชี AWS GovCloud 3 บัญชี ได้ในระดับสิทธิ์สูง
  • ในไฟล์เก็บถาวรยังมีข้อมูลรับรองแบบข้อความล้วนของ artifactory ภายในของ CISA ด้วย
  • artifactory ดังกล่าวเป็นที่เก็บแพ็กเกจโค้ดที่ CISA ใช้ในการสร้างซอฟต์แวร์ และอาจเป็นเป้าหมายที่น่าสนใจหากผู้โจมตีต้องการสร้างฐานที่มั่นถาวรในระบบของ CISA
  • Caturegli มองว่าจุดนี้เหมาะอย่างยิ่งต่อการเคลื่อนที่ภายในเครือข่าย และหากฝัง backdoor ลงในแพ็กเกจซอฟต์แวร์ ก็อาจทำให้ซอฟต์แวร์ที่ถูกสร้างใหม่ในภายหลังทุกตัวกระจาย backdoor ไปด้วย

รูปแบบการใช้งานรีโพและผู้ที่ดูแล

  • Caturegli มองว่าบัญชี GitHub นี้ดูเหมือนถูกใช้เป็น สมุดจดงาน หรือวิธีซิงก์ไฟล์ของผู้ปฏิบัติงานรายบุคคล มากกว่าจะเป็นรีโพโปรเจกต์ที่จัดระเบียบดีแล้ว
  • มีการใช้ทั้งอีเมลที่เกี่ยวข้องกับ CISA และอีเมลส่วนตัว จึงเป็นไปได้ว่ารีโพนี้ถูกใช้งานข้ามสภาพแวดล้อมที่ตั้งค่าแตกต่างกัน
  • Caturegli ระบุว่าจาก Git metadata ที่มีอยู่เพียงอย่างเดียว ไม่สามารถพิสูจน์ได้ว่ามีการใช้ endpoint หรืออุปกรณ์ใดบ้าง
  • จากการตรวจสอบบัญชี GitHub และรหัสผ่านที่รั่วไหล พบว่ารีโพ Private-CISA ถูกดูแลโดยพนักงานของผู้รับเหมารัฐบาล Nightwing ในเมืองดัลเลส รัฐเวอร์จิเนีย
  • Nightwing ปฏิเสธที่จะแสดงความเห็นและส่งคำถามต่อไปยัง CISA

การตอบสนองของ CISA และช่วงเวลาที่ข้อมูลเปิดเผย

  • โฆษกของ CISA ระบุว่าหน่วยงานรับทราบเหตุการเปิดเผยข้อมูลที่มีการรายงานแล้ว และกำลังสืบสวนสถานการณ์ต่อไป
  • CISA ระบุว่าขณะนี้ยังไม่พบสัญญาณว่าข้อมูลอ่อนไหวถูกเจาะจากเหตุการณ์นี้
  • CISA ระบุว่าทีมงานต้องรักษามาตรฐานความซื่อสัตย์และการตระหนักรู้ในการปฏิบัติงานในระดับสูง และกำลังจัดทำมาตรการป้องกันเพิ่มเติมเพื่อไม่ให้เกิดซ้ำ
  • CISA ไม่ตอบคำถามเกี่ยวกับช่วงเวลาที่เป็นไปได้ของการเปิดเผยข้อมูล
  • ตามข้อมูลของ Caturegli รีโพ Private-CISA ถูกสร้างขึ้นเมื่อวันที่ 13 พฤศจิกายน 2025 และบัญชี GitHub ของผู้รับเหมารายนี้ถูกสร้างในเดือนกันยายน 2018
  • ไม่นานหลังจาก KrebsOnSecurity และ Seralys แจ้ง CISA ถึงการรั่วไหล บัญชี GitHub ที่มีรีโพ Private-CISA ก็ถูกนำออฟไลน์
  • Caturegli ระบุว่าคีย์ AWS ที่รั่วไหลยังคงใช้งานได้ต่ออีก 48 ชั่วโมง อย่างยากจะอธิบาย

รหัสผ่านเดาง่ายและความเสี่ยงของการขยายการเจาะระบบ

  • รีโพ Private-CISA ที่ปิดไปแล้ว ยังมีร่องรอยว่ามีการใช้รหัสผ่านที่เดาได้ง่ายกับทรัพยากรภายในหลายรายการ
  • ข้อมูลรับรองจำนวนมากใช้รหัสผ่านในรูปแบบชื่อแพลตฟอร์มตามด้วยปีปัจจุบัน
  • Caturegli มองว่าแนวปฏิบัติเช่นนี้เป็นภัยคุกคามด้านความปลอดภัยร้ายแรงในทุกองค์กร แม้จะไม่ได้รั่วไหลออกสู่ภายนอกก็ตาม
  • ผู้โจมตีมักขยายขอบเขตการเข้าถึงหลังได้จุดเริ่มต้นในระบบเป้าหมายแล้ว โดยอาศัยข้อมูลรับรองสำคัญที่ถูกเปิดเผยภายในเครือข่าย
  • Caturegli ตั้งข้อสันนิษฐานว่า ผู้รับเหมาของ CISA รายนี้อาจใช้ GitHub เพื่อซิงก์ไฟล์ระหว่างแล็ปท็อปทำงานกับคอมพิวเตอร์ที่บ้าน โดยอิงจากข้อเท็จจริงที่ว่าเขาคอมมิตเข้ารีโพนี้เป็นประจำตั้งแต่เดือนพฤศจิกายน 2025
  • Caturegli มองว่านี่เป็นการรั่วไหลที่น่าอับอายสำหรับทุกบริษัท แต่ในกรณีนี้ยิ่งร้ายแรงกว่าเพราะเป็น CISA

บริบทระดับองค์กร

  • ขณะนี้ CISA ดำเนินงานด้วยงบประมาณและกำลังคนเพียงบางส่วนของระดับปกติ
  • CISA สูญเสียบุคลากรไปเกือบหนึ่งในสามนับตั้งแต่เริ่มรัฐบาล Trump ชุดที่สอง
  • การลดกำลังคนดังกล่าวอธิบายว่าเกิดจากการบังคับเกษียณก่อนกำหนด buyout และการลาออกในหลายส่วนของหน่วยงาน
  • รายงานที่เกี่ยวข้อง: CISA has lost nearly a third of its workforce

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 4 시간 전
ความเห็นจาก Hacker News

  • เหตุผลที่ Valadon ติดต่อไปคือเจ้าของไม่ตอบสนอง และข้อมูลที่เปิดเผยมีความอ่อนไหวมาก เรื่องที่ผู้รับเหมาช่วงของ CISAทำข้อมูลรับรองรั่วไหลก็น่าตกใจพออยู่แล้ว แต่การไม่ตอบแม้ได้รับการแจ้งเตือนยิ่งแย่กว่าอีก
    แถมใน AWS-Workspace-Firefox-Passwords.csv ยังมีชื่อผู้ใช้และรหัสผ่านแบบข้อความล้วนของระบบภายใน CISA หลายสิบระบบอยู่ด้วย
    ผมเข้าใจและเสียใจกับสถานการณ์ที่ CISA กำลังถูกลดขนาดลง แต่ passwords.csv ที่มีรหัสผ่านอ่อนแออยู่ข้างในนั้นเป็นความไร้ความสามารถที่แก้ตัวไม่ได้ และตัวจัดการรหัสผ่านก็ไม่ได้ต้องใช้งบประมาณมากมายอะไร

    • คำที่กำลังมองหาคือ ความประมาทเลินเล่ออย่างร้ายแรง
    • ไม่ได้จะปกป้องคนนี้นะ แต่มีร่องรอยชัดเจนว่าใช้ GitHub เหมือนเป็นเครื่องมือซิงก์ไฟล์
      Firefox-passwords.html กับ firefox-bookmarks.html เป็นไฟล์ที่เคย export แล้ว import กลับตอนย้ายไปเครื่องใหม่ ซึ่งเป็นวิธีเก่าก่อนจะมี Firefox Sync
      ในบทความก็พูดถึงเรื่องนี้เหมือนกัน แต่ก็น่าสะดุดตาพอที่จะหยิบมาพูดแยก
    • ด้านหนึ่ง CISA กำลังถูกลดขนาดลง แต่อีกด้านการสืบสวนเรื่องความมั่นคงไซเบอร์ ผลประโยชน์ของชาติ และโครงสร้างพื้นฐานสำคัญ กลับยังขยายตัวต่อไป
    • คนรู้จักส่วนใหญ่ที่อยู่ CISA ถูกปลดออกไปตอนช่วงแคมเปญ DOGE เดือน 1–3 ปี 2025
      เป็นแนว “พวกเราอายุยี่สิบกว่า ไม่รู้ว่าคุณทำอะไรอยู่ งั้นก็ไล่ออก” โดยไม่มีการแจ้งล่วงหน้า
      แม้แต่ทีมที่ทำเรื่องช่องโหว่ความปลอดภัยของระบบลงคะแนน Diebold และการแฮ็กอุปกรณ์ฝังตัวจากต่างประเทศก็หายไปด้วย
    • “การแฮ็ก” ครั้งแรกที่ผมเคยรายงาน คือการเจอไฟล์รหัสผ่านแบบข้อความล้วนในเครือข่ายคอมพิวเตอร์ของโรงเรียนมัธยม และนั่นเกิดขึ้นในปี 1987
      โลกเปลี่ยนไปมาก แต่บางอย่างก็ยังเหมือนเดิม

  • สิ่งหนึ่งที่คนประเมินต่ำเกินไปคือ การส่งข้อมูลลับจำนวนมากให้ OpenAI, Anthropic หรือ OpenRouter ทั้งที่ไฟล์อย่าง .env หรือซีเคร็ตยังวางอยู่บนดิสก์ในรีโพ และแค่ยังไม่ได้ commit เท่านั้น
    LLM ยินดีอ่านไฟล์ทั้งหมด และอาจส่งต่อไปเป็นข้อมูลฝึกของ ChatGPT ภายหลังโดยไม่เตือนอะไรเลย
    เพราะการตรวจว่า environment variables ถูกตั้งครบหรือยัง หรือรหัสผ่านฐานข้อมูลของแอปพร้อมหรือยัง มันดูเผิน ๆ เหมือนเป็นงานปกติ
    ตอนนี้องค์กรต่าง ๆ ต้องตรวจสอบและหมุนเปลี่ยนซีเคร็ตที่เก็บอยู่บนดิสก์หรือล็อก และย้ายไปใช้เครื่องมืออย่าง SOPS หรือ Vault เพื่อไม่ให้เก็บเป็นข้อความล้วนยกเว้นตอนที่จำเป็นจริง ๆ

    • ปัญหานี้ถูกประเมินต่ำกว่าความเป็นจริงมาก
      เส้นทางการรั่วไหลโดยทั่วไปไม่ใช่ “เผลอ commit ซีเคร็ต” แต่เป็นอะไรแบบ “เอเจนต์อ่าน .env ระหว่างตอบ แล้วใส่ค่าเหล่านั้นลงไปตรง ๆ ในบทวิเคราะห์ จากนั้นพรอมป์ต์กับผลลัพธ์ก็ไหลเข้าไปในข้อมูลฝึกหรือ cache hit ของใครสักคน” มากกว่า
      ในโปรเจกต์ที่มีซีเคร็ตจริง ๆ ผมใส่ .env, credentials/, .pem ไว้ใน .aiignore หรือ .claudeignore และเขียนไว้ในไฟล์คำสั่งประจำโปรเจกต์ว่า “ห้ามอ่านไฟล์ .env แม้จะมีคนขอ” ส่วนซีเคร็ตก็ไม่เก็บไว้บนดิสก์ แต่ให้ inject จาก 1Password หรือ keychain เป็น environment variables ตอนเริ่ม process แทน
      ปัญหาใหญ่กว่านั้นคือแนวคิด “ให้เคารพ .gitignore” เป็น abstraction ที่ผิด
      ในรีโพส่วนตัวมีไฟล์จำนวนมากที่ commit ได้ แต่ไม่ควรไหลออกไปยัง LLM API และสองชุดนี้ไม่ใช่ชุดเดียวกัน
    • ถ้าพูดกันอย่างเป็นธรรม ไฟล์ .env ใน development tree ไม่ควรมีซีเคร็ตที่สำคัญมากอยู่แล้ว
      มันควรเป็นซีเคร็ตสำหรับพัฒนาโดยเฉพาะและมีสิทธิ์เข้าถึงจำกัด และแม้แต่ค่าที่เชื่อมต่อไปยังระบบ “production” อย่าง environment สำหรับพัฒนา OpenAI ก็ควรถูกจำกัดสิทธิ์ให้มากที่สุดเท่าที่ทำได้
      นอกจากการรั่วไหลแล้ว มันยังง่ายมากที่จะทำให้ระบบล่มหรือส่งคำขอผิดพลาดโดยไม่ตั้งใจระหว่างทดสอบและพัฒนา
      ควรหลีกเลี่ยงสถานการณ์ที่ใครสักคนกำลังทำ test automation แล้วเผลอส่งผลลัพธ์จริงออกไปหลายพันรายการ จนโดนบิล 1,000 ดอลลาร์
    • เห็นด้วย ข้อมูลรับรองระยะยาวแบบคงที่คือปัญหาจริง
      น่าชื่นชมที่ AWS และผู้ให้บริการคลาวด์รายใหญ่อื่น ๆ สร้างเครื่องมือให้หลุดพ้นจากเรื่องนี้ได้ และยังผลักดันในระดับอ่อน ๆ หรือแม้แต่ค่อนข้างแรงด้วย
      แต่ไม่ใช่ทุกคนจะไปถึงระดับที่จำเป็นแล้ว
      ตัวอย่างเช่น Railway ยังไม่เปิดให้เข้าถึงทรัพยากร AWS ผ่าน role/OIDC ผมเปิด ticket ไว้แล้วแต่ยังไม่เห็นความคืบหน้า
      0: https://station.railway.com/feedback/allow-for-integration-w...
    • ผมไม่เก็บไฟล์ dotenv เป็นข้อความล้วนอีกต่อไปแล้ว
      ตอนนี้เก็บไฟล์ environment ที่เข้ารหัสด้วย sops และใช้เครื่องมืออย่าง direnv เพื่อให้ shell ระหว่างทำงานใช้งานได้
      แน่นอนว่า LLM อาจยังพิมพ์ซีเคร็ตพวกนี้ออกมาได้ แต่โอกาสก็น้อยลง
      อย่างน้อย Claude ก็ดูพยายามหลีกเลี่ยงการอ่าน dotenv และสุดท้ายแล้วก็ไม่ควรทำให้ซีเคร็ตในเครื่อง local มีความสำคัญมากเกินไป
      ควรใช้ขอบเขตสิทธิ์ที่จำกัด บัญชีสำหรับพัฒนา ฯลฯ
    • ช่วงหลังผมสังเกตว่าอย่างน้อย Claude ก็พยายามไม่อ่านไฟล์ environment ค่อนข้างมาก
      ยกตัวอย่างเช่น ถ้าจะให้มันอ่านฐานข้อมูลและเข้าถึงได้จริง ๆ ต้องย้ำแรงพอสมควรในพรอมป์ต์

  • ถ้าในปี 2026 ยังเก็บข้อมูลรับรองของหน่วยงานรัฐไว้ในรีโพ และไม่มีสแกนเนอร์จับเรื่องนี้ได้ ก็ควรโดนสอบสวนแล้ว
    ใครที่ทำแบบนี้ในงานวิชาชีพ ผมมองว่าน่าสงสัยมาก
    ถ้าหน่วยข่าวกรองต่างชาติเป็นคนเห็นเรื่องนี้ ผมว่าปฏิกิริยาแรกคงคิดว่าเป็นฮันนีพอต เพราะมันโจ่งแจ้งเกินไป จนดูเหมือนกับดักที่ขาดจินตนาการ

    • ดีจังที่รัฐบาลไล่คนเก่ง ๆ ออกไปหมดแล้ว
    • เรารู้อยู่แล้วว่า DOGE พยายามดึงข้อมูลของรัฐบาลสหรัฐฯออกไป เช่นข้อมูลพนักงานรัฐบาลสหรัฐฯ ทั้งหมด หรือหมายเลขประกันสังคมทั้งหมด
      ถ้าเป็นรัฐบาลชุดก่อน ผมคงคิดว่า CISA กำลังทำปฏิบัติการล่อเป้า แต่เมื่อดูจากความคอร์รัปชันและความไร้ความสามารถของรัฐบาลชุดนี้ รวมถึงการปลดคนจำนวนมากใน CISA ก็อาจเป็นความผิดพลาดจริง ๆ ก็ได้

  • ยังอัปโหลดเอกสารอ่อนไหวขึ้น ChatGPT ด้วย [1]
    [1] https://www.politico.com/news/2026/01/27/cisa-madhu-gottumuk...

    • พออ่านบทความนั้นแล้ว เหมือนว่า Trump/Noem เติมตำแหน่งต่าง ๆ ด้วยสายลับต่างชาติ
      สักวันหนึ่งประชาชนอเมริกันคงจะเอาเรื่องพวกเขา

  • น่าแดกดันที่จริง ๆ แล้วAWS keyนั้นสามารถใช้บริการ AWS ที่ปลอดภัยกว่านี้ได้หลายอย่าง
    เช่น S3, หรือถ้าเป็นไปได้ก็ S3 ที่ผูกกับ KMS, Parameter Store, EBS, EFS, AWS Secrets Manager หรือแม้แต่ใช้ KMS เข้ารหัสไฟล์โดยตรงไปเลย
    เอาจริง ๆ คือบริการ AWS อะไรก็ได้ที่รองรับ KMS และไม่จำเป็นต้องให้ service principal มีสิทธิ์เข้าถึงคีย์

  • สิ่งที่ทำให้แปลกใจคือเรื่องนี้ดำเนินต่อเนื่องมานานถึง6–7 เดือน
    ผมนึกว่าบริษัทอย่าง GitGuardian หรือแม้แต่นักวิจัยอิสระที่ใช้ trufflehog จะเจอคีย์ที่รั่วภายในไม่กี่วัน
    อาจเป็นไปได้ว่า GitHub โตขึ้นมากจนสแกนเนอร์ตามไม่ทันแล้ว

  • ชื่อรีโพคือ Private-CISA แบบตรงตัวเลย
    น่าสนุกดีถ้าลองหารีโพที่มีคำอย่าง private, internal อยู่ในชื่อ แล้วมองหาชื่อหน่วยงานรัฐหรือบริษัทที่ไม่ใช่สายเทคซึ่งปกติไม่น่าจะโผล่ในชื่อรีโพ
    จากนั้น clone มาทั้งหมดแล้วให้ LLM ช่วยกวาดดูอย่างรวดเร็วว่ามีอะไรน่าสนใจไหมก็ได้
    แต่บน GitHub ไม่มีสแกนเนอร์อัตโนมัติสำหรับพวกข้อมูลรับรอง AWS พื้นฐานแบบนี้อยู่แล้วหรือ?

    • มีเฉพาะถ้าเปิดใช้ไว้ ตามบทความบอกว่าผู้ใช้คนนี้ปิดฟังก์ชันนั้นอยู่

  • เรื่องที่น่าเสียดายจริง ๆ คือรัฐบาลกลางมี CAC ซึ่งเป็นการยืนยันตัวตนด้วยสมาร์ตการ์ดมาตั้งแต่หลายสิบปีก่อนแล้ว
    แต่เพราะสแต็กอินเทอร์เน็ตสาธารณะทำงานอยู่บนฐานของรหัสผ่าน โครงสร้างพื้นฐานของภาครัฐก็เลยยังต้องใช้รหัสผ่านอยู่ดี