สำนักงานสอบสวนแห่งชาติของสำนักงานตำรวจแห่งชาติยืนยันว่า สิทธิ์การเข้าถึงบัญชี GitHub (โทเคนการเข้าถึงส่วนบุคคล หรือ PAT) จำนวนมากรั่วไหลออกไปภายนอก และได้เริ่มการสืบสวนแล้ว

  • ข้อมูลที่รั่วไหลคือโทเคนการเข้าถึงส่วนบุคคล (PAT) ซึ่งเป็นวิธีการยืนยันตัวตนที่ใช้สำหรับเข้าถึง private repository ของ GitHub

  • หากผู้โจมตีนำ PAT ไปใช้ในทางที่ผิด อาจเข้าถึง private repository ของเหยื่อเพื่อรวบรวมข้อมูลการเชื่อมต่อระบบภายในขององค์กร และใช้เป็นฐานในการขโมยข้อมูลละเอียดอ่อน เช่น ข้อมูลส่วนบุคคลและความลับทางธุรกิจ

  • สำนักงานสอบสวนแห่งชาติได้แจกจ่ายคำแนะนำด้านความปลอดภัย โดยแนะนำให้เพิกถอนและออก PAT เดิมใหม่ทันที และตรวจสอบว่ามีการเข้าถึงโดยไม่ได้รับอนุญาตหรือไม่

  • คำแนะนำเพิ่มเติม: ใช้การยืนยันตัวตนหลายปัจจัย (MFA) กับสิทธิ์การเข้าถึง, ลดและแบ่งขอบเขตสิทธิ์ให้น้อยที่สุด, ไม่บันทึกข้อมูลการเชื่อมต่อระบบไว้ในซอร์สโค้ด, ตรวจสอบสถานะความปลอดภัยของ PC นักพัฒนาเป็นระยะ

  • มีรายงานว่า GitHub ได้เพิกถอน PAT ที่รั่วไหลและส่งการแจ้งเตือนไปยังผู้ใช้ที่เกี่ยวข้องแล้ว

ที่มา: MoneyToday (2026.07.14)

ยังไม่มีความคิดเห็น

ยังไม่มีความคิดเห็น